wireshark抓包工具的使用

前言
①wireshark是非常流行的网络封包分析软件，功能十分强大。可以截取各种网络封包，显示网络封包的详细信息。

②使用wireshark的人必须了解网络协议，否则就看不懂wireshark。

③为了安全考虑，wireshark只能查看封包，而不能修改封包的内容，或者发送封包。

④wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容，总结，如果是处理HTTP、HTTPS 还是用Fiddler抓包工具， 其他协议比如TCP，UDP 就用wireshark抓包工具。

⑤Wireshark 的强大之处在于它不仅能捕获数据包，还能对捕获的数据进行进一步的分析。具体来说，对pcap包的分析可以分为：

过滤功能——输入过滤规则，并显示符合规则的分组

统计功能——对所有/部分数据包的情况进行总览

分析功能——将某些字段作为过滤器应用&启用/停用某些协议

查找功能——在所有/部分数据包中查找特定值

查看功能——查看字段/分组/会话的字节流
1、Wireshark 开始页面

【注意】wireshark是捕获机器上的某一块网卡的网络包（网络包都是通过主机的网卡发出到对应的服务器上面，可以理解为应用层发出的请求网络包由本机网卡发向指定主机上），所以当机器上有多块网卡的时候，你需要选择一个网卡（可以上网的那一个网卡） 

点击 Caputre->Interfaces ，出现下面对话框，选择正确的网卡。然后点击 Start 按钮, 开始抓包。

与上图对比，上图中选择的网卡对应的是我的主机发包的网卡。

2、Wireshark网络封包分析软件开始抓包示例
①wireshark启动后，wireshark处于抓包状态中。

②执行需要抓包的操作，如 ping www.baidu.com 

③操作完成后相关数据包就抓取到了。为避免其他无用的数据包影响分析，可以通过在过滤栏设置过滤条件进行数据包列表过滤；

获取结果如下。 

说明： ip.addr == 119.75.217.26 and icmp  表示只显示ICPM协议且源主机IP或者目的主机IP为119.75.217.26的数据包。

3、Wireshark 窗口介绍

WireShark网络封包分析软件 主要分为这几个界面：

 ① Display Filter (显示过滤器)：用于过滤。

② Packet List Pane (封包列表)：显示捕获到的封包， 有源地址和目标地址，端口号。 颜色不同代表抓取封包的协议不同。 

③ Packet Details Pane (封包详细信息),：显示封包中的字段。

④ Dissector Pane (16进制数据)

⑤ Miscellanous (地址栏，杂项)

4、颜色区分Wireshark网络封包分析软件抓取到的不同网络协议
说明：数据包列表区中不同的网络协议使用了不同的颜色区分。

协议颜色标识定位在菜单栏 View ---》  Coloring Rules 。（视图---》着色规则）如下所示：

　　

5、过滤

①使用过滤是非常重要的， 初学者使用wireshark时，将会得到大量的冗余信息，在几千甚至几万条记录中，以至于很难找到自己需要的部分。搞得晕头转向。【过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。】 

②Wireshark 工具的过滤器有两种：

显示过滤器：就是主界面上那个，用来在捕获的记录中找到所需要的记录。（显示过滤器如上图）
捕获过滤器：用来过滤捕获的封包，以免捕获太多的记录。 在 Capture -> Capture Filters  中设置保存过滤。【在Filter栏上，填好Filter的表达式后，点击 Save 按钮， 取个名字。比如"Filter 102"】（如下图）

（Filter栏上就多了个"Filter 102" 的按钮）

③过滤表达式的规则

 1、表达式规则

协议过滤

比如TCP，只显示TCP协议

IP 过滤

比如  ip.src ==192.168.1.102：显示源地址为192.168.1.102网络请求封包。

比如  ip.dst==192.168.1.102： 目标地址为192.168.1.102网络请求封包。

端口过滤

比如 tcp.port ==80：显示端口为80的网络请求封包。

比如 tcp.srcport == 80： 只显示TCP协议的端口为80的网络请求封包。

HTTP模式过滤

比如 http.request.method=="GET"：  只显示HTTP GET请求方法的网络请求封包。

逻辑运算符为 AND/ OR

常用的过滤表达式：

6、封包列表
封包列表的面板中显示：编号，时间戳，源地址，目标地址，协议，长度，以及封包信息。 同时不同的协议用不同的颜色显示。

可以在 View ->Coloring Rules 中修改不同的协议显示颜色的规则。

7、封包详细信息
该面板用来查看网络请求封包中的每一个字段详情。

各行信息分别为：

Frame:   物理层的数据帧概况

Ethernet II: 数据链路层以太网帧头部信息

Internet Protocol Version 4: 互联网层IP包头部信息

Transmission Control Protocol:  传输层T的数据段头部信息，此处是TCP

Hypertext Transfer Protocol:  应用层的信息，此处是HTTP协议。

8、TCP包的具体内容
从下图可以看到wireshark网络封包分析软件捕获到的TCP包中的每个字段。

9、MQTT通信抓包测试（低版本的不太支持MQTT协议），我用的版本号为4.0.2.0

10、根据抓包的协议字段，去查看报文的内容，可以排查出遇到各种通信问题。