【Wireshark】- 入门篇(1)
【Wireshark】- 过滤器(2)
【Wireshark】- Statistics，Analyze菜单(3)
【socket】- Wireshark抓包分析TCP/IP三次握手和四次挥手

简介

Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

平时开发，测试过程中，如果想要简单的抓取网络请求数据，那么我们可以用fidder(windows),charles(mac)抓包工具，特点说，操作简单，数据清晰。但如果要深入分析网络请求，比如tcp/ip协议，三次握手详细的数据交换等，那么我们就得使用Wireshark网络分析工具，特点是，信息全面，但是使用起来相对要复杂一些。
Wireshark接与网卡进行数据报文交换，所以，要想抓取到数据包，那么网络请求必须经过Wireshark抓取的网卡，不然，是抓取不到的。而且Wireshark不像fidder，charles那样，自身可以配置代理。所以，必要时，可以结合fidder，charles使用，达到抓包的目的。

原理

把Wireshark主机上的网卡接入有线或无线网络开始抓包时，介于有线（或无线）网卡和抓包引擎之间的软件程序便会参与其中。在windiws和UNIX平台上，这一款软件驱动程序分别是WinPacp和Libcap，对于无线网卡，形使抓包任务的是AirPacp。

安装

安装比较简单，自己百度即可。官网

抓包

上面的准备工作完成后，便可以打开Wireshark。启动页如下：

Wireshark_启动页.png

选择需要抓包的网卡，首先可以观察网卡是否有收发流量。如果你很清楚你使用的网卡，那么你可以直接选择。我是用的mac有线网，并通过mac自带的wifi共享，分享出的wifi网络，并且需要抓包的手机连接wifi。所以这里双击第一个网卡进去抓包主界面。当然你可以点击快速启动工具栏左边的一个图标启动抓包程序。

Wireshark_抓包主界面.png

NO.： 编号， Time：抓取时间，Source：源地址，Destination：目的地，Protocol：协议类型，Length：长度，Info：信息。

网卡配置（Capture -> Options）

点击工具栏左边第4个图标，打开网卡配置。

Wireshark_网卡配置.png

• Input
  1. Enable promiscuous mode on all interfaces:抓取交换机(端口镜像功能)重定向给自己的所有数据包，那怕数据包的目的(MAC/IP)地址不是本机地址，否则只抓取到目的(MAC/IP)地址为本机的数据包，外加广播以及多播数据包。在某些情况下，选择该复选框，会导致Wireshark不能从无线网卡抓取数据，所有，如果使用无线网卡抓取不到数据时，可以取消勾选。
  2. Capture filter for selected interfaces：选择抓包文件保存路径
• Output
  1. Output format：保存文件格式
  2. create a new file automatically after...：使用多个文件来存储抓包文件，具体条件可以自己配置。
  3. Use a ring buffer with：最大保存的文件，如果超过，会按照时间顺序移除。
• Options
  1. Display Options：更新列表和自动滚动抓包列表。
  2. Stop capture automatically after...：满足条件时自动停止抓包
  3. Name Resolution
     （1）Resolve MAC Addresses：MAC地址所属的厂商名
     （2）Resolve network Addresses：IP对应的主机名或域名
     （3）Resolve transport Addresses：与TCP/UDP端口号对应的应用程序名
     （4) Use external network name resolver:调用操作系统指明大的名字解析程序(比如，DNS解析程序),这个选项可在Wireshark -> Preferences -> Name Resolution找到。

其它配置

• 为数据包着色

  
  
  Wireshark_数据包着色.png
  
  

  取消着色：View -> Colorize Conversation -> ResetColorization

  
  
  Wireshark_取消数据包着色.png
• 配置时间参数
  View -> Time Display Format
• 配色规则
  View -> Coloring Rules 配色方案下载网站

Preferences配置

Wireshark_Preferences.png

• Protocols
  1. IPv4:
     Decode IPv4 TOS field as DiffServ field:如果不勾选，者使用老的IPv4服务质量标准，来解析抓取的IPv4数据包包头中的Tos字段

其它设置请自己查看，如果抓包时，Protocol里面没有自己想要的字段，可以到这里勾选想要的选项，来达到分析的目的。