Wireshark 简单使用

     Wireshark是一款比较常用的抓包软件，重点在于免费，功能依旧强大。至于抓包的使用就看个人了，本人作为网络初学者，只是用来做一些简单的，平日要用到的协议的分析。鉴于这软件的说明有几十页的英文，暂时还没有时间去透彻的研究，只求上手，抓包，然后分析下协议，因为有时候需要手工用TCP、UDP协议运送点应用层协议的数据。

     如果是从服务器端进行抓包会比较轻松些，比如我的服务器是fedora13，我有安装Apache服务器，并做了个简单的html文件，想了解下HTTP协议，这时候打开Wireshark，选择Capture—> Options 选择好连接客户端的网卡，Capture Filter后面填上Port 80（Http默认服务端口），当然本来也内置了一些Filter，但不够多，如果想要同时检测两个端口就需要or来连接，如Port 80 or Port 8080，有时候也可以用and的连接，如去除arp时，可以加上 and no arp，然后start，就只抓指定Port的数据了，这点在学习时还是比较好用的，当然也需要知道一些常用的端口，不知道的话也可以netstat一下，当然想在服务器端抓包的话平日还是比较有难度的。

     如果是作为客户端来抓包的，以上的方法就有点不适用，因为客户请求的TCP或UDP端口是不固定的，想要稳定的抓包有点困难，这时就全部抓包吧，或者去掉broadcast 和arp等之后再抓包，这样数据包会少点，Start之后这个数据包的量会很多，如果只需要查看http的话还得用上Filter，默认应该是有开启Filter工具视图的，否则在View中点选即可，然后可以直接输入http回车就可以看到只有http包被显示出来了，当然也可以过滤出其他一些协议，但这种方法我用的还不太熟，有些协议名输入后回车它并不给滤除，Filter显示红色，等以后有时间还需要学习下。这种过滤只是在显示中过滤，真正抓的包是很多的，和之前那种抓包是不一样的。当然全部抓包的用途就很广了…

     以上只是最近在学习协议时知道的一点Wireshark的用法，比较基础，以上。