Wireshark使用教程 (快速掌握重点)

Wireshark（前称Ethereal）是一个网络封包分析软件。

我主要分为两个板块来讲wireshark的抓包分析：

1、软件使用部分：主要说明wireshark使用过程中一些值得注意的部分。

如果你打算认真系统学习的话，那么最好看看用户手册，但是对一般人而言，我更觉得在有限的时间内学到最主要的东西更重要。

http://man.lupaworld.com/content/network/wireshark/index.html

2、HTTP抓包实现（这个版块放到下一篇blog吧，然后配合木马检测的内容）

软件使用部分：这里安装、抓取报文的部分我不打算介绍，主要说明wireshark实用的几个功能和特征。

（1）着色规则（报文以绿色，蓝色，黑色等不同颜色显示出来。Wireshark通过颜色让各种流量的报文一目了然）

（2）过滤（可以分为捕获过滤器和显示过滤器，前者在捕获的时候已经自动丢弃不符合要求的包）

（3）审查报文

（1）着色规则：默认绿色是TCP报文，深蓝色是DNS，浅蓝是UDP，黑色标识出有问题的TCP报文

tcp.analysis.flags：显示所有包含TCP分析标识的所有报文，包括报文丢失，重传，或零窗口标识。

tcp.analysis.window_update 将传输过程中的TCP window大小图形化。如果看到窗口大小下降为零，这意味着发送方已经退出了，并等待接收方确认所有已传送数据。这可能表明接收端已经不堪重负了。

RST: 连接被服务器复位了，这次的连接不能用了，需要关闭后重新连接

（2）过滤

这位博主总结了一下过滤规则

http://blog.csdn.net/mrbuffoon/article/details/48947109

本图给出的是显示过滤器规则的一些例子，协议、端口、ip等等都可以通过这个方式过滤出来。

（3）审查报文

双击就可以看到具体报文了，但是一般情况下我们右键 -->“ follow tcp stream”

可以查看Tcp流中的应用层数据。