1.Wireshark 簡介

1.1 Wireshark 介紹

Wireshark 是一個網(wǎng)絡(luò)封包分析軟件。網(wǎng)絡(luò)封包分析軟件的功能是截取網(wǎng)絡(luò)封包，并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)封包資料。

① 窗口總覽

image.png

② 過濾器
過濾條件 tcp.stream eq 2 表示過濾第二條流

image.png

③ 報文詳細(xì)信息
● Frame: 物理層的數(shù)據(jù)幀概況
● Ethernet II: 數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息
● Internet Protocol Version 4: 網(wǎng)絡(luò)層 IP 包頭部信息
● Transmission Control Protocol: 傳輸層（TCP、UDP）的數(shù)據(jù)段頭部信息

image.png

說明：
● Hypertext Transfer Protocol: 應(yīng)用層的信息，例如 HTTP
● Transport Layer security：TLS 安全傳輸層協(xié)議

1.3 過濾器的表達式

參考：Wireshark過濾規(guī)則匯總

● 過濾器的類型有 host、port、net
● 過濾器的方向有 src、dst
● 過濾器的協(xié)議有 tcp、udp、http、ip、ether、ftp等
● 過濾器的邏輯運算符有 &&、||、! 等

樣例：查詢 ip.src == 10.244.3.65 and tcp 或者 tcp src 10.244.3.65

image.png

2.分析 Tcpdump 的 cap 報文

如下圖所示，tcp 3 次握手的過程。

image.png