WireShark 基本介绍

文中内容主要转自：http://www.cnblogs.com/TankXiao/archive/2012/10/10/2711777.html

一、Wireshark 与 Fiddler 比较：

Fiddler是在windows上运行的程序，专门用来捕获HTTP，HTTPS的。wireshark能获取HTTP，也能获取HTTPS，

但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容。

总结，如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark

二、WireShark使用简介

1. 开始界面：

2.  wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。点击Caputre->Interfaces.. 出现下面对话框，

选择正确的网卡。然后点击"Start"按钮, 开始抓包如果服务和访问端在一台电脑上，貌似不能捕获到访问信息。

3. Wireshark 窗口介绍:

WireShark 主要分为这几个界面:

1). Display Filter(显示过滤器)，用于过滤

2). Packet List Pane(封包列表)，显示捕获到的封包，有源地址和目标地址，端口号。颜色不同，代表

3). Packet Details Pane(封包详细信息), 显示封包中的字段

4). Dissector Pane(16进制数据)

5). Miscellanous(地址栏，杂项)

4. 过滤器有两种：
              1). 显示过滤器，用来在捕获的记录中找到所需要的记录。单击左边的Filter可进入过滤器的设置界面。在设置界面右边选择框中，可以单击相应规则名称，

查看具体过滤规则。最重要的是，我可以模仿现有的规则，新建适合自己程序的过滤规则。通过单击左边的New按钮，新建我们自己的过滤规则。

2). 捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录。我们可以通过 Capture -> Options...，进入Capture Options 设置界面。然后单击里面

的Capture Filter按钮，进入捕获过滤器设置界面。然后可模仿已有的规则，设置新的过滤规则。

(我用的版本是v1.12.1，有些版本的Capture Filter按钮按钮可能不在Capture Options设置界面。具体在哪自己找吧。)

注意：当设置正确地过两个规则时，过滤器所在框背景色为绿色。若规则错误，过滤器所在框背景色为红色。

5. 封包详细信息(Packet Details Pane)：这个面板是我们最重要的，用来查看协议中的每一个字段。各行信息分别为：

1). Frame: 物理层的数据帧概况

2). Ethernet II: 数据链路层以太网帧头部信息

3). Internet Protocol Version 4: 互联网层IP包头部信息

4). Transmission Control Protocol: 传输层T的数据段头部信息，此处是TCP

5). Hypertext Transfer Protocol: 应用层的信息，此处是HTTP协议

三、 相关知识介绍：

1. wireshark与对应的OSI七层模型：

2. TCP包的具体内容：

3. 实例分析TCP三次握手过程：

4. 我们用wireshark实际分析下三次握手的过程。打开wireshark, 打开浏览器输入 http://www.cnblogs.com/tankxiao。在wireshark中输入

http过滤， 然后选中GET /tankxiao HTTP/1.1的那条记录，右键然后点击"Follow TCP Stream",这样做的目的是为了得到与浏览器打开网站

相关的数据包，将得到如下图：

图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的， 这说明HTTP的确是使用TCP建立连接的。

第一次握手数据包。客户端发送一个TCP，标志位为SYN，序列号为0， 代表客户端请求建立连接。 如下图：

第二次握手的数据包。服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的ISN加1以.即0+1=1, 如下图：

第三次握手的数据包。客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,
              放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图: