Wireshark使用记录

TCP/IP协议族里的协议众多 要一一精通比较困难，在一些紧急急需要分析主机、客户端的流量场景时，不懂协议也要上！下面就是用到哪里就记录到哪，有错误欢迎评论指出，多谢。

wireshark这玩意相当于电脑的总网络代理，不像burpsuite只有只能拦截浏览器的http/https两种协议，电脑上使用的几百种协议，他都能给你拦截下来，问题也随之产生了，那么多协议，那么多数据包，几乎一秒好几百条数据包，新手看到这数据像瀑布一样的场面，胆小估计都得吓尿了，不要慌，跟着老夫一把梭。

你就把他当成mysql数据库，里面的库、表、字段、数据非常多，必须通过精确的过滤语法把想要的数据过滤出来才能得到发包、响应包，进行分析，如果不会过滤，那么这个神器也和你没什么关系。

使用这玩意的情景，很多时候下是不知道客户端使用了什么鬼协议，在定出大致范围的时候，清空包，然后快速点击客户端的一个发包功能，wireshark会拦截到前面的位置，这样就好定位出来了。然后在通过分析TCP流，查看是什么协议，在进行过滤。

选择网卡

wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。

用wifi 就选wi-fi:en0

en0就是你的网卡标识。

用有线网线的话，看看标识是什么，我好久没用过有线了。

如果你知道服务器的ip

# Source 为本机的地址
# 过滤 Source字段为： 10.161.114.198 的数据
ip.src eq 10.161.114.198

# Destination 表示 服务器的地址
# 过滤 Destination字段为： 10.161.204.10 的数据
ip.dst eq 10.161.204.10

每条记录都有如下协议层

（1） Frame: 物理层的数据帧概况

（2）Ethernet II: 数据链路层以太网帧头部信息

（3）Internet Protocol Version 4: 互联网层IP包头部信息

（4）Transmission Control Protocol: 传输层的数据段头部信息，此处是TCP

（5）Hypertext Transfer Protocol: 应用层的信息，此处是HTTP协议

应用层的信息，都是二进制乱码，看个卵，

不要怕，右键Follow——>TCP Stream，还是能看到一些数据的。

拦截TCP报头

捕获过滤器中填入表达式：host www.cnblogs.com and port 80（80等效于http）

会有多个TCP流时在显示过滤器中，这时填入表达式：tcp.stream eq 0 筛选出第一个TCP流（包含完整的一次TCP连接：三次握手和四次挥手）

tcp.stream eq 0

如果你知道使用什么协议---http协议拦截举例

1. 过滤http，并且清理一下历史数据
   
   

2. 随便打开一个域名
   
   

3. 分析包
   
   我也不知道为什么http 也会叫OCSP协议，至少格式还是一样的，先不管。
   
   

4. 分析TCP流，熟悉的格式又回来了。