wireshark：跟踪流

以应用程序层看到的方式来查看协议是非常有帮助的。也许您正在Telnet流中查找密码，或者您正在尝试理解数据流。也许你只需要一个显示过滤器来显示TLS或SSL流中的数据包。如果是这样的话，Wireshark跟踪协议流的能力将对您很有用。

要筛选到特定流，请在您感兴趣的流/连接的数据包列表中选择TCP、UDP、DCCP、TLS、HTTP、HTTP/2、QUIC或SIP数据包，然后选择菜单项【Analyze → Follow → TCP Stream 】（或使用数据包列表中的上下文菜单）。Wireshark将设置适当的显示过滤器，并显示一个对话框，其中显示流中的数

下面跟踪一个TCP流：

下面是一个跟踪HTTP流的对话框：

说明：

• 流内容的显示顺序和它在网络上出现的顺序相同。不可打印的字符被点代替。
• 从客户端到服务器的流量被标记为红色，而从服务器到客户端的流量被标记为蓝色。这些颜色可以通过下面地方设置
  
  
• 流内容不会在执行实时捕获时更新。要获取最新的内容，必须重新打开对话框。

操作：

• Help：显示此帮助
• 过滤掉此流：应用一个显示过滤器，从显示器中删除此流
• 打印：以当前选定的格式打印流数据
• 另存为：以当前选定的格式打印流数据
• 返回：关闭此对话框并恢复以前的显示过滤器
• close：关闭此对话框，使得当前显示过滤器无效
• 流：可以使用“流”选择器在流之间切换。
• 查找：可以通过在“查找”输入框中输入文本并按“查找下一步”来搜索文本。

默认情况下，wireshark同时显示客户端和服务端数据，可以通过【整个对话】这里切换只显示客户端或者只显示服务端

可以选择以下格式之一查看数据：

• ASCII：在这个视图中，可以看到每个方向的ASCII数据。显然最适合基于ASCII的协议，例如HTTP。
• C Arrays：这允许您将流数据导入到自己的C程序中。
• EBCDIC：
• HEX Dump：这允许您查看所有数据。这将需要大量的屏幕空间，最好与二进制协议一起使用。
• UTF-8：像ASCII，但是解码数据为UTF-8。
• UTF-16：像ASCII，但是解码数据为UTF-16。
• YAML：这允许您以YAML的形式加载流。
• 原始数据：这允许您将未修改的流数据加载到不同的程序中进行进一步检查。显示将看起来与ASCII设置相同，但“另存为”将导致一个二进制文件。
  

HTTP/2流对话框类似于“跟随TCP流”对话框，除了一个额外的“子流”对话框字段。HTTP/2流由HTTP/2流索引(字段名http2.streamid)标识，该索引在TCP连接中是唯一的。“流”选择器决定TCP连接，而“子流”选择器用于选择HTTP/2流ID。

QUIC协议类似，第一个数字选择QUIC连接号，而“子流”字段选择QUIC流ID。