Wireshark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。WireShark可以比喻做硬件工程的万用表、示波器,同样我们网络工程师或者软件工程师可以利用wireshark来进行分析网络。

Wireshark是个神器,可惜的是他只能查看封包,而不能修改封包的内容,或者发送封包。

Wireshark 过滤

一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录

一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录。

显示过滤很简单 ,采用选择好的协议

1. 协议过滤
TCP,只显示TCP协议。

2. IP 过滤
ip.src == 192.168.1.102,显示源地址为192.168.1.102,
ip.dst == 192.168.1.102,目标地址为192.168.1.102

3. 端口过滤
tcp.port == 80,  端口为80的
tcp.srcport == 80,  只显示TCP协议的原端口为80的。

4. Http模式过滤
http.request.method=="GET",   只显示HTTP GET方法的。

5. 逻辑运算符为 AND / OR

下图中箭头指向点开,有一个“管理显示过滤器”,可以在其中添加删除一些常用的过滤条件,方便以后快速过滤分组:

捕获的每一个包都是可以查看协议详情的,这里有个例子:

image-20210125124740138

报文说明参考:

image-20210125124618166

参考文章:

https://www.cnblogs.com/cocowool/p/wireshark_tcp_http.html

(未完待续…)