Wireshark用于抓包嗅探協(xié)議分析，通過抓包的引擎獲得的協(xié)議數(shù)據(jù)進(jìn)行分析，其性能優(yōu)勢主要體現(xiàn)在解碼能力。
抓包引擎：
Linux平臺：Libpcap
Windows平臺：winpcap10

• 1、基礎(chǔ)操作
  啟動(dòng)、選擇抓包網(wǎng)卡、混雜模式、實(shí)時(shí)抓包、保存和分析捕獲文件、首選項(xiàng)
• 2、篩選器
  作用：過濾掉干擾的數(shù)據(jù)包
  分類：
  （1）抓包篩選器
  （2）顯示篩選器
  在wireshark上，看TCP的包的三次握手，首先是[SYN]，然后是[SYN,ACK]，然后是[ACK]
  如果http是81或8080端口，wireshark默認(rèn)是不識別的，可以通過右鍵Decode as指定為http協(xié)議進(jìn)行分析。
  查看數(shù)據(jù)流：在數(shù)據(jù)包上右鍵選擇Follow Tcp Stream
• 3、信息統(tǒng)計(jì)
  節(jié)點(diǎn)數(shù)
  協(xié)議分布
  包大小分布
  會話連接
  解碼方式
  專家系統(tǒng)
• 4、Wireshark實(shí)踐
  抓包對比nc、nact加密與不加密的流量
  （1）不加密（nc）：

Server：192.168.50.115（開啟wireshark）

不加密

Client：192.168.50.116

不加密

此時(shí)在192.168.50.115上查看抓包情況：在116上對115的運(yùn)程操作能看到是明文傳輸。

明文

（2）加密（ncat）：
Server：192.168.50.115（開啟wireshark）

加密

Client：192.168.50.116

加密

此時(shí)在192.168.50.115上查看抓包情況：在116上對115的運(yùn)程操作能看到是密文。

密文

• 5、企業(yè)抓包部署方案
  Wireshark基于大文件的包文件打開比較慢，主動(dòng)掃描（主動(dòng)去發(fā)送測試的數(shù)據(jù)進(jìn)行分析）、被動(dòng)掃描（類似于抓包，接收后分析）
  常用軟件：
  Sniffer
  Cace/riverbed
  Cascad/pilot