wireshark简介

官网：https://www.wireshark.org/

1,安装：

Installingfromrpm’sunderRedHatandalike:

UsethefollowingcommandtoinstalltheWiresharkRPMthatyouhavedownloadedfromtheWiresharkwebsite:

rpm-ivhwireshark-2.0.5.i386.rpm

Iftheabovestepfailsbecauseofmissingdependencies,installthedependenciesfirst,andthenretrythestepabove.

Installingfromdeb’sunderDebian,Ubuntu

$sudoapt-getinstallwireshark

安装成功后，执行wiresharp命令即可启动.

wireshark只能查看封包，而不能修改封包的内容，或者发送封包。

wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容，总结，如果是处理HTTP,HTTPS还是用Fiddler,其他协议比如TCP,UDP就用wireshark.

wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。

RTT(Round-TripTime):往返时延。在计算机网络中它是一个重要的性能指标，表示从发送端发送数据开始，到发送端收到来自接收端的确认。

-->TheRTTtoACKthesegmentwas:0.195293000seconds

ireShark主要分为这几个界面

1.DisplayFilter(显示过滤器)，用于过滤

2.PacketListPane(封包列表)，显示捕获到的封包，有源地址和目标地址，端口号。颜色不同，代表

3.PacketDetailsPane(封包详细信息),显示封包中的字段

4.DissectorPane(16进制数据)

5.Miscellanous(地址栏，杂项)

过滤器有两种，

一种是显示过滤器，就是主界面上那个，用来在捕获的记录中找到所需要的记录

一种是捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录。在Capture->CaptureFilters中设置

过滤表达式的规则

表达式规则

1.协议过滤

比如TCP，只显示TCP协议。

2.IP过滤

比如ip.src==192.168.1.102显示源地址为192.168.1.102，

ip.dst==192.168.1.102,目标地址为192.168.1.102

3.端口过滤

tcp.port==80,端口为80的

tcp.srcport==80,只显示TCP协议的愿端口为80的。

4.Http模式过滤

http.request.method=="GET",只显示HTTPGET方法的。

5.逻辑运算符为AND/OR

http只查看HTTP协议的记录

ip.src==192.168.1.102orip.dst==192.168.1.102源地址或者目标地址是192.168.1.102

封包详细信息(PacketDetailsPane)

这个面板是我们最重要的，用来查看协议中的每一个字段。

各行信息分别为

Frame:物理层的数据帧概况

EthernetII:数据链路层以太网帧头部信息

InternetProtocolVersion4:互联网层IP包头部信息

TransmissionControlProtocol:传输层T的数据段头部信息，此处是TCP

HypertextTransferProtocol:应用层的信息，此处是HTTP协议