1.Wireshark簡單介紹

抓包應該是每個技術人員掌握的基礎知識，無論是技術支援運維人員或者是研發，多少都會遇到要抓包的情況，用過的抓包工具有fiddle、wireshark，作為一個不是經常要抓包的人員，學會用Wireshark就夠了，畢竟它是功能最全面使用者最多的抓包工具。

Wireshark（前稱Ethereal）是一個網路封包分析軟體。網路封包分析軟體的功能是擷取網路封包，並儘可能顯示出最為詳細的網路封包資料。Wireshark使用WinPCAP作為介面，直接與網絡卡進行資料報文交換。

網路封包分析軟體的功能可想像成 “電工技師使用電錶來量測電流、電壓、電阻” 的工作 - 只是將場景移植到網路上，並將電線替換成網路線。在過去，網路封包分析軟體是非常昂貴的，或是專門屬於營利用的軟體。Ethereal的出現改變了這一切。在GNUGPL通用許可證的保障範圍底下，使用者可以以免費的代價取得軟體與其原始碼，並擁有針對其原始碼修改及客製化的權利。Ethereal是目前全世界最廣泛的網路封包分析軟體之一。

wireshark的官方下載網站： http://www.wireshark.org/

wireshark是非常流行的網路封包分析軟體，功能十分強大。可以擷取各種網路封包，顯示網路封包的詳細資訊。

wireshark是開源軟體，可以放心使用。 可以執行在Windows和Mac OS上。

2.Wireshark不能做的

1. 為了安全考慮，wireshark只能檢視封包，而不能修改封包的內容，或者傳送封包。
2. wireshark能獲取HTTP，也能獲取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的內容。

3.什麼人會用到wireshark

1. 網路管理員會使用wireshark來檢查網路問題。
2. 軟體測試工程師使用wireshark抓包，來分析自己測試的軟體。
3. 從事socket程式設計的工程師會用wireshark來除錯。
4. 聽說，華為，中興的大部分工程師都會用到wireshark。

總之跟網路相關的東西，都可能會用到wireshark。我以前在預研Skydns的時候，經常用wireshark來分析域名解析的過程背後到底經歷了什麼過程，已經用來定位域名解析過程到底是卡頓在哪一步了。

4.wireshark 開始抓包準備工作

開始介面

wireshark是捕獲機器上的某一塊網絡卡的網路包，當你的機器上有多塊網絡卡的時候，你需要選擇一個網絡卡。

點選Caputre->Interfaces… 出現下面對話方塊，選擇正確的網絡卡。然後點選"Start"按鈕, 開始抓包。

5.Wireshark 視窗介紹

WireShark 主要分為這幾個介面

1. Display Filter(顯示過濾器)， 用於過濾
2. Packet List Pane(封包列表)， 顯示捕獲到的封包， 有源地址和目標地址，埠號。 顏色不同，代表
3. Packet Details Pane(封包詳細資訊), 顯示封包中的欄位
4. Dissector Pane(16進位制資料)
5. Miscellanous(位址列，雜項)

6. Wireshark 顯示過濾

使用過濾是非常重要的， 初學者使用wireshark時，將會得到大量的冗餘資訊，在幾千甚至幾萬條記錄中，以至於很難找到自己需要的部分。搞得暈頭轉向。過濾器會幫助我們在大量的資料中迅速找到我們需要的資訊。

過濾器有兩種，

1. 顯示過濾器，就是主介面上那個，用來在捕獲的記錄中找到所需要的記錄。
2. 是捕獲過濾器，用來過濾捕獲的封包，以免捕獲太多的記錄。 在Capture -> Capture Filters 中設定。

7.儲存過濾

在Filter欄上，填好Filter的表示式後，點選Save按鈕， 取個名字。比如"Filter 102",

Filter欄上就多了個"Filter 102" 的按鈕。

過濾表示式規則

主要的過濾表示式規則如下：

1. 協議過濾：比如TCP，只顯示TCP協議。
2. IP 過濾：比如 ip.src 192.168.1.102 顯示源地址為 192.168.1.102；ip.dst192.168.1.102, 目標地址為192.168.1.102。
3. 埠過濾：tcp.port ==80, 埠為80的； tcp.srcport ==80, 只顯示TCP協議的願埠為80的。
4. Http模式過濾：http.request.method==“GET”, 只顯示HTTP GET方法的。
5. 邏輯運算子為 AND/ OR

最常用的過濾表示式：

8.封包列表(Packet List Pane)

封包列表的面板中顯示，編號，時間戳，源地址，目標地址，協議，長度，以及封包資訊。 你可以看到不同的協議用了不同的顏色顯示。

你也可以修改這些顯示顏色的規則， View ->Coloring Rules。

9.封包詳細資訊 (Packet Details Pane)

這個面板是我們最重要的，用來檢視協議中的每一個欄位。各行資訊分別為：
Frame: 物理層的資料幀概況
Ethernet II: 資料鏈路層乙太網幀頭部資訊
Internet Protocol Version 4: 網際網路層IP包頭部資訊
Transmission Control Protocol: 傳輸層T的資料段頭部資訊，此處是TCP
Hypertext Transfer Protocol: 應用層的資訊，此處是HTTP協議

10.wireshark與對應的OSI七層模型

11.TCP包的具體內容

從下圖可以看到wireshark捕獲到的TCP包中的每個欄位。

12.例項分析TCP三次握手過程

看到這， 基本上對wireshak有了初步瞭解， 現在我們看一個TCP三次握手的例項。
三次握手過程為：

這圖我都看過很多遍了， 這次我們用wireshark實際分析下三次握手的過程。

開啟wireshark, 開啟瀏覽器輸入 http://www.cnblogs.com/tankxiao

在wireshark中輸入http過濾， 然後選中GET /tankxiao HTTP/1.1的那條記錄，右鍵然後點選"Follow TCP Stream",

這樣做的目的是為了得到與瀏覽器開啟網站相關的資料包，將得到如下圖：

圖中可以看到wireshark截獲到了三次握手的三個資料包。第四個包才是HTTP的， 這說明HTTP的確是使用TCP建立連線的。

第一次握手資料包
客戶端傳送一個TCP，標誌位為SYN，序列號為0， 代表客戶端請求建立連線。 如下圖：

第二次握手的資料包
伺服器發回確認包, 標誌位為 SYN,ACK. 將確認序號(Acknowledgement Number)設定為客戶的I S N加1以.即0+1=1, 如下圖：

第三次握手的資料包
客戶端再次傳送確認包(ACK) SYN標誌位為0,ACK標誌位為1.並且把伺服器發來ACK的序號欄位+1,放在確定欄位中傳送給對方.並且在資料段放寫ISN的+1, 如下圖:

就這樣通過了TCP三次握手，建立了連線。

1.設定過濾條件

【1】http and ip.addr == 192.168.1.106 and tcp.port == 8080
【a】http：指定網路協議
【b】ip.addr == 192.168.1.106：指定伺服器ip地址，請根據實際情況替換。
【c】tcp.port == 8080，指定埠號，請根據實際情況替換。

【2】點選apply
點選apply之後可過濾得到兩個資料包，分別是HTTP請求和HTTP響應。

2.檢視TCP資料流——Follow TCP Stream

【1】在任意資料包上右擊，選擇Follow TCP Stream
該步驟可以過濾出和該HTTP資料包有關的TCP資料包，包括TCP 3次握手，TCP分片和組裝等。

【2】最終得到HTTP請求和響應
【a】紅色背景字型為HTTP請求，藍色背景字型為HTTP響應
【b】從User-Agent中可以看出，360瀏覽器相容模式使用了IE8核心（該臺計算機作業系統為XP，IE瀏覽器版本為8），這說明360瀏覽器使用了系統中的IE核。