Wireshark安装与简单使用

（一）Wireshark下载

下载地址：https://www.wireshark.org/download.html；

（二）Wireshark安装

下载完毕后，双击安装执行文件，弹出安装窗口，点击“NEXT”，一直下一步就可以了。

注意：安装Npcap时候，不可勾选"Restrict Npcap driver’s access to Administrators only"。

（三）Wireshark窗口介绍

1、显示过滤器：用于过滤。
2、封包列表：显示捕获到的封包， 有源地址和目标地址，协议等。
3、封包详细信息：显示封包中的字段。
4、16进制数据。

（四）Wireshark使用

（1）捕获与退出

选择不要捕获的本地接口，点击“开始捕获分组”按钮，开始捕获数据。

退出之前需要先停止捕获。点击“停止捕获分组”按钮，停止捕获数据。“文件”—“关闭”，即可退出捕获页面。

（2）过滤捕获HTTP请求

方法一：右键选中–过滤请求。

方法二：输入框输入条件进行过滤。

（3）过滤器的使用。

Wireshark有显示过滤器和捕获过滤器两种。显示过滤器指的是针对已经捕获的报文，过滤出符合过滤规则的报文；捕获过滤器指的是提前设置好过滤规则，只捕获符合过滤规则的报文。

图中红色区域为显示过滤器；蓝色区域的“+”，为捕获过滤器的设置按钮，蓝色区域的 “测试”，为已经设置好的捕获过滤条件。

过滤表达式的规则：
1、协议过滤：
比如TCP，只显示TCP协议。
2、IP过滤
比如ip.src == 192.168.1.108,显示源地址为192.168.1.108；
ip.dst == 192.168.1.108,显示目标地址为192.168.1.108
3、端口过滤
tcp.port == 80,端口为80的；
tcp.srcport == 80,只显示TCP协议的源端口为80的；
tcp.dstport == 80,只显示TCP协议的目标端口为80的；
tcp.dstport == 80,只显示TCP协议的目标端口为80的。
4、HTTP过滤模式：
http.request.method == “GET”,只显示HTTP GET方法的；
http.request.method == “POST”,只显示HTTP POST方法的。
5、逻辑运算符(AND / OR)：
过滤表达式 | 用途
ip.src == 192.168.1.108 or ip.dst == 192.168.1.108 | 源地址或者目标地址是192.168.1.108

（4）封包详细信息

Frame: 物理层的数据帧概况；
Ethernet II: 数据链路层以太网帧头部信息；
Internet Protocol Version 4: 互联网层IP包头部信息
Transmission Control Protocol: 传输层T的数据段头部信息，此处是TCP
Hypertext Transfer Protocol: 应用层的信息，此处是HTTP协议

TCP三次握手

第一次握手：客户端发送一个TCP，标志位为SYN，序列号为0， 代表客户端请求建立连接。 如下图

第二次握手：服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1, 如下图

第三次握手：客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图:

参考博文：
链接：https://www.cnblogs.com/huiyuan/p/wireshark.html