抓包工具 Wireshark

 设置侦听网络端口
Capture|Interface…
选择某一个拦截的接口，一般是Realteck PCIe FE Family Controller。（真实的网卡I/O接口），一般开启这一个即可。
然后马上看到，主窗口花啦啦的一片滚动，说明已经开始侦听了。
关于数据包窗口的item说明
Source：数据包的来源
Destination:数据包的去向
Protocol:识别的协议，如ARP/SSDP/HTTP/UDP等
Info:数据包的具体内容（可能是明文，也可能是密文）。

比如：
若我们想截获发包内容，那么只需关注Source=本地IP地址。
若我们想截获收包内容，那么只需关注Destination=目标地址（比如MS的服务器）。
若我们已知通信的协议是走HTTP，那么只需关注Protocol=HTTP的包。

包色的含义
每一行都以一定的颜色表示，其中：
深蓝色的行对应着DNS通信
浅蓝色的行是UDP SNMP通信
绿色行表示HTTP通信
此软件包括一个复杂的颜色编码方案，要查看或设置本地颜色方案，单击view|coloring rules即可。

必会快捷键
开启/停止：Ctrl+E
重新开启：Ctrl+R

调试技巧

---

1. 1. 如何从包海（PS：数据包的海洋）中找我们的目标包？
2. 尽可能地找到目标包的通信协议种类(从文档/代码中查明)，这样我们就可以通过包色来可视查到了
3. 本地的IP地址，使用cmd | ipconfig查看
4. 目标服务器的IP地址，观察数据包即可，比如:MS的MSN是用的64.4.61.86，那么以64开头的，多半是MS的服务器。

1. 2. 如何过滤包海？
2. 找到目标包后，选中此包的条目（会高亮嘀！），然后对Source/Destination 右键Apply as Filter | Selected，于是下次Ctrl+R后，就只会显示过滤后的包了。
3. 眼疾手快，Ctrl+E/R—发包—(目测收到包后)—Ctrl+E 中断侦听，这样就可以在获得目标包的前提下，显示最少的垃圾包。减少人工的负担。