wireshark使用

复习用

复习所用，如有侵权，联系作者删除

wireshark抓包

抓包流程
初始界面===> 选择对应网卡，双击开始捕获，进行抓取网络包===> 抓包开始进入抓包界面===> 进行抓包操作===> 操作完成后，结束抓包。=> 为了筛选有用信息，我们需要在过滤栏进行过滤=> 抓包完成

具体细节在后面

wireshark初始界面介绍

1：菜单栏----wireshark菜单栏
2： 工具栏—从左往右分别是：开始抓包-停止抓包-重新抓包-捕获选项-打开抓包文件-保存捕获文件-关闭捕获文件-重载捕获文件-查找-上一个分组-下一个分组-跳转到特定分组-回到第一个分组-最后一个分组-最新分组- 着色分组（区别特有的分组）-放大窗口-缩小窗口-还原窗口-调整间距

3：过滤栏—可以筛选数据
4：历史文件包栏—打开之前的数据包
5：过滤栏
6：本地连接—通过电脑开热点，手机或者iPad连接热点进行抓包操作
7：WLAN—通过电脑浏览抓包
8：VM —是在虚拟机中使用时使用
9：状态栏

6，7，8都是网卡，选择需要的网卡进行抓包

wireshark抓包界面介绍

1.数据列表区--------展现捕获到的数据，每个数据包含有编号，时间戳，原地址，目的地址，长度，协议以及数据包的信息

2.数据详细区

1)包括了四个部分
Frame：物理层，数据帧的情况。Frame详细信息对应意思如下：

Ethernet II: 数据链路层，以太网帧头部信息

Internet Protocol Version 4: 互联网层IP包头部信息

Transmission Control Protocol: 传输层，数据段的头部信息，这里是TCP

Hypertext Transfer Protocol: 应用层，这里是HTTP协议

3.数据字节区-------16进制的数据
4.数据统计区—展现出数据占多少

wireshark过滤器表达式的规则
1.常用过滤条件
frame contains"查找名称" 全文查找
Dns
http
ssl

2.过滤表达式的规则
协议过滤
比如TCP，只显示TCP协议。
IP 过滤
比如 ip.src 192.168.1.102 显示源地址为192.168.1.102，
ip.dst192.168.1.102, 目标地址为192.168.1.102
端口过滤
tcp.port 80, 端口为80的
tcp.srcport == 80, 只显示TCP协议的愿端口为80的。
Http模式过滤
http.request.method"GET", 只显示HTTP GET方法的。
逻辑运算符为 AND/ OR

wireshark抓包之高级应用

专家分析

专家分析是干什么的？它可以帮你统计当前所抓包中丢包、错包等等的出现概率

操作步骤：分析===>专家信息

这是我抓取腾讯新闻的一个使用情况的信息，里面清楚看到抓包里面出现的错误等各种信息的统计

其中关键字如下：

error ===> 出错包

warning ===> 警告包

note ===> 注意包

chat ===> 正常会话包

在Error中我们可以看见两个错误

TLS: TLSCiphertext length MUST NOT exceed 2^14 + 2048
意思是说TLS密文的长度不能超过 2^14 +2048

TCP: New fragment overlaps old data (retransmission?)
意思是tcp里面的报文出现了重复传输。

在Warningz中出现了9个类型的警告
需要查询质料来判断

在Note中可以看出9个需要注意的注意包

retransmission（TCP重传）：是数据包丢失的结果，发生在收到重传的ACK,或者数据包的重传计时器超时的时候。