wireshark使用方法(学习笔记一)

　　wireshark是非常流行的网络封包分析软件，功能十分强大。可以截取各种网络封包，显示网络封包的详细信息。使用wireshark的人必须了解网络协议，否则就看不懂wireshark了。
　　为了安全考虑，wireshark只能查看封包，而不能修改封包的内容，或者发送封包。

　　首先下载安装winpcap    http://www.winpcap.org/install/default.htm

　　wireshark   https://www.wireshark.org/download.html

　　现在有一个Npcap，是winpcap的发展版参见freebuf上的介绍，但是实际安装使用时，只能抓取发包，没有回包，所以还是使用winpcap，测试环境，win10-x64

　　安装准备好后，就可以开始抓包了

　　

选择一个适配器进行抓包，还有流量波线图可以查看那个是当前网卡

选择后就开始抓包了

213秒里抓到了27055个数据包

可以在过滤器里过滤出指定协议

ip.addr==IP地址

常见的比较操作符

== 等于

!= 不等于

> 大于

< 小于

>= 大于等于

<= 小于等于

contains :包含

matches :匹配

and,or,not :&& || ! 逻辑语,逻辑或,逻辑非

例如：ip.addr==192.168.1.1；ip.dst==192.168.1.106；

ip.addr == 192.168.1.106 and not tcp.port in {80 25}地址是192.168.1.106并且tcp端口不是80、25的

ip.ttl==64  ttl值为64的，这都是发包的，或者内网的数据包

dns or http or tcp  多个协议过滤

http.server matches "Microsoft-IIS/6.0"  过滤特定内容，过滤http包server是Microsoft-IIS/6.0的

下面是dns

是本机的发包，由192.168.1.106发往dns服务器101.226.4.6的dns查询包，查询qurl.f.360.cn的ip地址

下图为dns服务器的回包

下图为arp协议，tplink路由器192.168.1.1的arp广播询问谁是192.168.1.109，只有ip为192.168.1.109的回复，其他主机收到直接丢弃

封包详细信息 (Packet Details Pane)

用来查看协议中的每一个字段。

各行信息分别为

Frame:   物理层的数据帧概况

Ethernet II: 数据链路层以太网帧头部信息

Internet Protocol Version 4: 网络层IP包头部信息

Transmission Control Protocol:  传输层的数据段头部信息，此处是TCP

Hypertext Transfer Protocol:  应用层的信息，此处是HTTP协议