【应用】Wireshark的使用

一、Wireshark基本配置

1.打开Wireshark的首页视图

双击指定的网卡接口进行数据包捕获

2.数据包捕获视图

二、Wireshark的使用

1.搜索的使用方式

tcp&&ip.src==192.168.1.101&&ip.dst==180.101.50.188

输入如上命令，则是寻找源地址是192.168.1.101，目的地址是180.101.50.188，且是tcp协议的数据包。具体效果图如下

注意若编辑框内背景色是红色则输入不正确。

2.具体参数含义

Frame

• Frame

    物理层的数据帧概况
  

• Frame 784: 67 bytes on wire (536 bits), 67 bytes captured (536 bits)

    784号帧，线路67字节，实际捕获67字节
  

• Encapsulation type: Ethernet (1)

• Arrival Time: Feb 22, 2016 10:32:37.375731000

    捕获日期和时间
  

• [Time shift for this packet: 0.000000000 seconds]

• Epoch Time: 1456108357.375731000 seconds

• [Time delta from previous captured frame: 0.007579000 seconds]

      此包与前一包时间间隔
  

• [Time delta from previous displayed frame: 0.007579000 seconds]

• [Time since reference or first frame: 28.661794000 seconds]

      此包与第一个帧的时间间隔
  

• Frame Number

     784 帧序号
  

• Frame Length: 67 bytes (536 bits)

     帧长度
  

• Capture Length: 67 bytes (536 bits)

    捕获帧长度
  

• [Frame is marked: False]

    此帧是否做了标记：否
  

• [Frame is ignored: False]

• [[Protocols in frame: eth:ethertype:ip:tcp:ftp]

    帧内封装的协议层次结构
  

• [Coloring Rule Name: TCP]

     用不同颜色的染色标记的协议名称：TCP
  

• [Coloring Rule String: tcp]

    染色显示规则字符串
  

Ethernet II

• Ethernet II（链路层）

    数据链路层以太网帧头部信息
  

Internet Protocol Version 4

• Internet Protocol Version 4（网络层）

     互联网层IP包头部信息
  

Transmission Control Protocol

• Transmission Control Protocol（传输层）

     传输层T的数据段头部信息，此处是TCP
  

Hypertext Transfer Protocol

• Hypertext Transfer Protocol（应用层）

      应用层的信息，此处是HTTP协议