一、簡介

　　Wireshark是一款非常流行的網絡封包分析軟件，可以截取各種網絡數據包，並顯示數據包詳細信息。

　　為了安全考慮，wireshark隻能查看封包，而不能修改封包的內容，或者發送封包。

　　wireshark能獲取HTTP，也能獲取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的內容

　　二、安裝

　　2.1、安裝地址

　　Wireshark開源地址：https://github.com/wireshark/wireshark

　　Wireshark下載地址：https://www.wireshark.org/download

　　安裝的話，就是傻瓜式的一步步點鼠標安裝，沒什麽可說的了，安裝步驟這裏就省略了。

　　三、抓包示例

　　3.1、Wireshark抓包簡單流程

　　1)主界麵

　　2)3.2、 選擇菜單欄上【捕獲】 -> 【選項】，當然也可以點擊【捕獲選項】的圖標一步到位，勾選【WLAN】網卡(這裏需要根據各自電腦網卡使用情況選擇，簡單的辦法可以看使用的IP對應的網卡)，點擊【開始】，啟動抓包。

　　3)wireshark啟動後，wireshark處於抓包狀態中。

　　4)在window CMD命令行ping baidu.com

　　5)通過在過濾欄設置過濾條件進行數據包列表過濾，以免抓取無用包影響查看，這裏就以ping baidu.com為例，隻過濾百度的ip，設置如下：

　　ip.addr == 39.156.69.79 and icmp

　　表示隻顯示ICPM協議且源主機IP或者目的主機IP為39.156.69.79的數據包。注意：協議名稱icmp要小寫。

　　關於Wireshark抓包流程就是如上步驟。

　　3.2、Wireshark抓包界麵介紹

　　說明：數據包列表區中不同的協議使用了不同的顏色區分。協議顏色標識定位在菜單欄【視圖】-> 【著色規則】。如下所示：

　　WireShark 主要分為這幾個界麵：

　　1)Display Filter(顯示過濾器)， 用於設置過濾條件進行數據包列表過濾。菜單路徑：【分析】-> 【Display Filters】。

　　2)Packet List Pane(數據包列表)， 顯示捕獲到的數據包，每個數據包包含編號，時間戳，源地址，目標地址，協議，長度，以及數據包信息。 不同協議的數據包使用了不同的顏色區分顯示。

　　3)Packet Details Pane(數據包詳細信息), 在數據包列表中選擇指定數據包，在數據包詳細信息中會顯示數據包的所有詳細信息內容。數據包詳細信息麵板是最重要的，用來查看協議中的每一個字段。各行信息分別為：

　　(1)Frame: 【物理層】的數據幀概況

　　(2)Ethernet II: 【數據鏈路層】以太網幀頭部信息

　　(3)Internet Protocol Version 4: 互聯網層IP包頭部信息，屬於【網絡層】

　　(4)Transmission Control Protocol: 【傳輸層】T的數據段頭部信息，此處是TCP

　　(5)Hypertext Transfer Protocol: 【應用層】的信息，此處是HTTP協議

　　TCP包的具體內容

　　4)Dissector Pane(數據包字節區)。

　　3.3、Wireshark過濾器設置

　　wireshark工具中自帶了兩種類型的過濾器，學會使用這兩種過濾器會幫助我們在大量的數據中迅速找到我們需要的信息。

　　1)抓包過濾器

　　捕獲過濾器的菜單欄路徑為【捕獲】 -> 【捕獲過濾器】。用於在抓取數據包前設置。

　　如何使用?可以在抓取數據包前設置如下：

　　ip host www.baidu.com表示隻捕獲主機host為www.baidu.com的ICMP數據包。獲取結果如下：

　　2)顯示過濾器

　　顯示過濾器是用於在抓取數據包後設置過濾條件進行過濾數據包。通常是在抓取數據包時設置條件相對寬泛或者沒有設置導致抓取的數據包內容較多時使用顯示過濾器設置條件過濾以方便分析。

　　然後可以通過設置顯示器過濾條件進行提取分析信息。ip.addr == 183.232.231.174 and icmp。並進行過濾。