wireshark数据包分析工具

wireshark数据包分析工具。非常流行的网络封包分析软件，功能屈指可数。wireshark是开源软件，可以放心使用。

使用范围也是非常广的；只要是网络方面的都会用到这款工具。

来看下界面如下：

上面有个应用显示过滤器 有以下一些过滤表达式；

双击接口就可以开始抓包了。

协议过滤

TCP：只显示TCP协议的数据流

HTTP：只显示HTTP协议的数据流

ICMP：只显示ICMP协议的数据流

ARP：只显示ARP协议的数据流

DNS：显示DNS协议的数据流

IP过滤

ip.addr = 192.168.1.1，只显示ip为192.168.1.1有关的数据流

ip.src = 192.168.1.1，只显示源IP地址为192.168.1.1的数据流

ip.dst = 192.168.1.1，只显示目标IP地址为192.168.1.1的数据流

端口过滤

tcp.port == 80，只显示80端口TCP数据流

udp.prot == 67，只显示67端口UDP数据流

tcp.srcport == 80, 只显示源地址的80端口数据流

tcp.dstport == 80，只显示目的地址80端口数据流

过滤HTTP协议

http.request.method=="GET"，显示get请求

http.request.method=="POST" ，显示POST请求

http.request.url contains admin ，显示url中包含admin的 请求

http.request.code==404，显示状态码为404

连接符

and，or

如tcp.port == 80 and ip.addr = 192.168.1.1

wireshark着色规则：

菜单栏里面有个视图-里面有个着色规则

颜色可以快速区别是哪种数据流。

有波浪线就代表有数据流，下面我们双击wlan看下效果

双击进去就如下图：

Wireshark数据包的结构

第1行：数据包整体概述，内容比较多。

第2行：数据链路层详细信息，主要为mac地址。

第3行：网络层详细信息，主要的是双方的IP地址。

第4行：传输层的详细信息，主要的是双方的端口号。

第5行：TCP或UDP是传输的DATA，DNS这是域名的相关信息。