1. 三部曲,捕获、过滤、分析。
捕获,如何选取捕获点以及捕获什么;过滤,定义显示过滤明确需要的数据包;分析,多学多练多观察,善用分析和统计项。
2. 最重要的一件事,理解你的协议。
Wireshark 只是工具、软件,你需要了解协议的工作原理。
3. 如果能不用捕获过滤,就不用。
除非捕获性能问题或是你对协议120%精通,否则不要使用捕获过滤器,可以随意使用显示过滤器。
4. 随便使用显示过滤器。
唯有不断练习实践,只有经验才能告诉你什么是“正确”的过滤器。
5. 一图胜千言。
数据包分析又或是IT行业的一句名言,Picture really is worth a thousand words。
6. Wireshark 不是万能的。
Wireshark 总是可以知道问题发生在哪里,但它不能告诉你问题发生的原因。
7. 你也不是万能的。
每个人都不能是万能的,网络、安全、系统、软硬件等等知识,你不可能什么都能一个人分析的清清楚楚。
8. 学会发问,善用发问。
如果不清楚一个问题,马上就问,但不要什么都问。
9. 不是所有的问题都有答案。
数据包的世界千奇百怪,跳出固有思维模式,任何现象都有可能。
10. 在被证明无罪之前,网络是有罪的。
单独写给网络,如你所知,当出现问题时,网络总是第一个被指责的对象,请保持耐心,积极解决。
以网络摘抄的一句话结尾,Sniff Free or Die,That’s why we fucking love the fucking sniff !
感谢阅读,更多技术文章可关注个人公众号:Echo Reply ,谢谢。