1.Wireshark 簡(jiǎn)介

1.1 Wireshark 介紹

Wireshark 是一個(gè)網(wǎng)絡(luò)封包分析軟件。網(wǎng)絡(luò)封包分析軟件的功能是截取網(wǎng)絡(luò)封包，并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)封包資料。

① 窗口總覽

image.png

② 過(guò)濾器
過(guò)濾條件 tcp.stream eq 2 表示過(guò)濾第二條流

image.png

③ 報(bào)文詳細(xì)信息
● Frame: 物理層的數(shù)據(jù)幀概況
● Ethernet II: 數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息
● Internet Protocol Version 4: 網(wǎng)絡(luò)層 IP 包頭部信息
● Transmission Control Protocol: 傳輸層（TCP、UDP）的數(shù)據(jù)段頭部信息

image.png

說(shuō)明：
● Hypertext Transfer Protocol: 應(yīng)用層的信息，例如 HTTP
● Transport Layer security：TLS 安全傳輸層協(xié)議

1.3 過(guò)濾器的表達(dá)式

參考：Wireshark過(guò)濾規(guī)則匯總

● 過(guò)濾器的類(lèi)型有 host、port、net
● 過(guò)濾器的方向有 src、dst
● 過(guò)濾器的協(xié)議有 tcp、udp、http、ip、ether、ftp等
● 過(guò)濾器的邏輯運(yùn)算符有 &&、||、! 等

樣例：查詢(xún) ip.src == 10.244.3.65 and tcp 或者 tcp src 10.244.3.65

image.png

2.分析 Tcpdump 的 cap 報(bào)文

如下圖所示，tcp 3 次握手的過(guò)程。

image.png