wireshark视频笔记

PS：这个笔记只是视频的笔记，因此简略甚至有的没有具体内容！！只供自己参考，具体请看其他大神的笔记

01_为什么要学习wireshark

    1.wireshark是网络分析人员手中的显微镜

        ⑴分析网络通讯的真实内容；
        ⑵网络故障分析；
        ⑶程序网络接口分析中；
        ⑷木马通讯数据内容分析；

    2.学习wireshark的目的

        ⑴为后期学习计算机网络通讯协议做准备；Eg:arp欺骗
        ⑵后期的所有涉及到网络的问题都会用到它；
        ⑶作为其他抓包工具的后期分析软件；

02_如何安装wireshark

03_快速上手wireshark

    简单的抓包

04_wireshark的工作原理和功能模块

    ⑴嗅探获取原始数据（可保证数据）→分析数据→多种方式展示数据
    ⑵可读取任何文件，并且可手动指定协议
    ⑶抓取的协议可以自己指定

05_如何设置抓包过滤器（高级功能）

    ⑴抓包的首要问题：选择
        因为大量的数据会影响数据；对于大流量抓包的时候会产生许多没有用的文件
    ⑵可以在Capture Filter进行过滤
        语法：<Protocal name><Direction><Host(s)><Value><Logical operation><Expressions>    //<Logical operation>是连接多个表达式的
        Eg:①tcp src port 443    //住抓取来源端口443的tcp数据
              ②not arp        //不抓去arp数据
              ③port 80        //获取端口是80的数据，不指定代表全部都获取
              ④src 192.168.1.121 and port 233    //获取来源ip是192.168.1.121，端口是占233的数据
    ⑶①protocol可选值：ether,fddi,ip,arp,rarp,decnet,lat,tcp。默认为全部协议        //这些值可在Analyze的Enabled Protocols中看到
        ②directon可选值：src,dst,src and dst,src or dst。默认为src or dst            //dst（distant）是目标方向
        ③host(s)可选值：net,port,host,portrange。默认为host，如src 110.119.112.114        //portrange（网段）
        ④Logical可选值：not,and,or（"not"具有最高的优先级，其运算顺序为：从左至右）

06_如何设置展示过滤器

    ⑴展示的首要问题：选择
    ⑵Display Filters
        语法：<protocal>.<string1>.<string2>.<comparison operator><value><Logical operators><expressions>    //"."不是不小心加上去的，是必要的
        Eg:①tcp.port==80    //展示端口是80，“==”是比较操作符
             ②！arp        //不展示ARP协议的数据
             ③ip.addr==192.168.1.111        只展示地址是有192.168.1.111的数据，不论来源还是目标地址
             ④（ip.dst==42.156.152.144）&&/×也可以为and×/(ip.dst==42.156.152.144)
    ⑶不必要记语法，因为wireshark是GUI界面，它可以用来拯救大脑。在分析界面的Filter里面输入，她会自动列出选项（绿色后即说明可以允许这样的语法）；
      也可以在抓得包里右击，里面的"Prepare a Filter"和"Apply as Filter"；
      也可以在Expression里面选择表达式（如同选择题）；
      如果是复合表达式需要手动加载括号

07_抓包的其他设置项

    Promiscuous：混杂模式，如果不开混杂模式，就只能抓到本地的包，非本机的包

08_如何具体分析每个数据包

    ⑴Time是按照ms计算的
    ⑵可以右键表格栏，可以自定义Columns的内容
    ⑶有时stream index里面是没有值的，此时必在方框里即“[]”。这个是wireshark自己的打标

09_包分析时右键菜单的作用

    ⑴Set Time reference可以用来设置参考时间，将其设置为0.0000000ms的时间基准。这个功能可以用来计算包与包值的偏移量；
    ⑵Time shift可以用来修改绝对时间
    ⑶Package Comment在第二栏位置

10_其他菜单内容

    左下角蓝色的图标用来显示错误信息等等；

11_统计分析菜单功能

12_wireshark本身的设置

13_wireshark的最后一课

    回顾