转载：Wireshark抓包详解

转载：Wireshark抓包详解

原文地址：https://blog.csdn.net/hebbely/article/details/54136475

由于最近有抓包的需求，分析网络包的需求，所以想做一个专栏，把分析网络包的步骤写处理，其他基础的一些文章我觉得比较好的进行转载进行一些汇总，

简述

wireshark是非常流行的网络封包分析工具，功能十分强大。可以截取各种网络封包，显示网络封包的详细信息。使用wireshark的人必须了解网络协议，否则就看不懂wireshark了。
为了安全考虑，wireshark只能查看封包，而不能修改封包的内容，或者发送封包。
 

wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容，总结，如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark.

1、wireshark 开始抓包

开始界面（由于原文的版本很老了，目前我使用新版本进行截图）

wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。

点击Caputre->Interfaces.. 出现下面对话框，选择正确的网卡。然后点击"Start"按钮, 开始抓包

 注因为这个版本很老了，我使用新版本进行截图，可以点击捕获，就可以了

 Wireshark 窗口介绍

2、WireShark 主要分为这几个界面

1> Display Filter(显示过滤器)，  用于过滤

2> Packet List Pane(封包列表)， 显示捕获到的封包， 有源地址和目标地址，端口号。 颜色不同，代表信息不同

3> Packet Details Pane(封包详细信息), 显示封包中的字段

4> Dissector Pane(16进制数据)

5> Miscellanous(地址栏，杂项)

显示过滤器：

 

使用过滤是非常重要的， 初学者使用wireshark时，将会得到大量的冗余信息，在几千甚至几万条记录中，以至于很难找到自己需要的部分。搞得晕头转向，过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。过滤器有两种：一种是显示过滤器，就是主界面上那个，用来在捕获的记录中找到所需要的记录，一种是捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录。 在Capture -> Capture Filters中设置保存过滤，在Filter栏上，填好Filter的表达式后，点击Save按钮， 取个名字。比如"Filter 102"。

 

Filter栏上就多了个"Filter 102" 的按钮。

 

过滤表达式 用途
http 只查看Http协议的记录
ip.src ==192.168.1.102 or ip.dst==192.168.1.102 源地址或者目标地址是192.168.1.102
   

  封包列表(Packet List Pane）
    封包列表的面板中显示，编号，时间戳，源地址，目标地址，协议，长度，以及封包信息。 你可以看到不同的协议用了不同的颜色显示。你也可以修改这些显示颜色的规则，  View ->Coloring Rules。

 

    封包详细信息 (Packet Details Pane）

这个面板是我们最重要的，用来查看协议中的每一个字段。各行信息分别为：Frame:物理层的数据帧概况；Ethernet II: 数据链路层以太网帧头部信息；Internet Protocol Version 4: 互联网层IP包头部信息；Transmission Control Protocol: 传输层T的数据段头部信息，此处是TCP；Hypertext Transfer Protocol:  应用层的信息，此处是HTTP协议；

Wireshark与对应的OSI七层模型：

 

         TCP包的具体内容：

从下图可以看到wireshark捕获到的TCP包中的每个字段。

 

3、实例分析TCP三次握手过程

      看到这， 基本上对wireshak有了初步了解， 现在我们看一个TCP三次握手的实例。三次握手过程为：

 

这图我都看过很多遍了， 这次我们用wireshark实际分析下三次握手的过程。打开wireshark, 打开浏览器输入www.baidu.com ,在wireshark中输入http过滤， 然后选中GET /tankxiao HTTP/1.1的那条记录，右键然后点击"Follow TCP Stream",这样做的目的是为了得到与浏览器打开网站相关的数据包，将得到如下图:

 

图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的， 这说明HTTP的确是使用TCP建立连接的。

第一次握手数据包：

客户端发送一个TCP，标志位为SYN，序列号为0， 代表客户端请求建立连接。 如下图：

 

第二次握手的数据包：

服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的ISN加1以.即0+1=1, 如下图：

 

第三次握手的数据包：

客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图：

 

就这样通过了TCP三次握手，建立了连接。

————————————————
版权声明：本文为CSDN博主「hebbely」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/hebbely/java/article/details/54136475