流量抓包工具WireShark的基本使用一、WireShark 简介官网：www.wireshark.org

是一个网络包分析工具，使用WinPCAP作为接口，直接与网卡进行数据报文交互，抓取网卡上的流量数据包，对网络数据包进行详细的刨析分析。

可以用WireShark 来检测网络连接问题，也可以用WireShark 来抓取网络上的敏感信息，窃取数据。WireShark 默认情况下，使用混杂模式，即抓取流经本地的数据包；那么普通模式下，只会抓取流入本地的数据包。

二、WireShark 快速定位数据包1、常见的协议APR、ICMP、TCP、UDP、DNS、HTTP

2、选择网卡接口1、双击进去网卡接口

2、使用接口过滤器

12345678910111213141、仅捕获与10.1.159.86 进行交互的流量host 10.1.159.862、获取10.1.159.86 为源IP的数据包src host 10.1.159.863、获取10.1.159.86 为目标IP的数据包dst host 10.1.159.864、获取目标为10.1.159.86 且端口为80dst host 10.1.159.86 && prot 805、捕获非80端口流量!prot 806、仅捕获ICMP协议数据包icmp7、捕获IPv4!ip6

3、数据包着色快速锁定WireShark 对不同数据包有不同的颜色划分，熟知默认颜色能快速的分别不同的数据包。还可以自定义颜色规则

4、应用显示过滤器1234567891011121、筛选协议tcp、udp、icmp2、与IP相关的协议ip.addr == 192.168.31.523、源、目标IPip.src == 192.168.31.52ip.dst == 192.168.31.524、使用andip.src == 192.168.31.1 and ip.dst == 192.168.31.525、筛选http请求：http.request.method == "POST"http.request.uri.path == "/admin.php"

筛选udp 出现 dns、nbns协议，因为这些应用层协议是基于传输层udp 协议的

筛选http协议出现tcp、ocsp 协议，是因为 HTTP 通信依赖于 TCP 协议，而 OCSP 是 HTTPS 通信中用于证书验证的一个组成部分，它们都是网络通信中常见的协议。

5、常见协议分析ARPARP协议：地址解析协议，通过解析网络层地址来找寻数据链路层地址的网络传输协议，即定位MAC地址

123如ping 一个ip会先查看该IP 是否在本地有arp缓存，有的话直接发送icmp数据包没有的话会先返送arp数据包，再发送icmp数据包

协议分析的时候我们需要关闭混淆模式，避免一些干扰的数据包存在，只抓取流入本地计算机和广播数据包

分析ARP 数据包

6、常见协议分析ICMP我们用普通模式抓取icmp 数据包，只抓取一个icmp 数据包

1ping baidu.com -n 1

分析ICMP 数据包

相应包和请求包是一样的格式

7、常见协议分析TCP我们可以在本地浏览器去访问一个http网页

分析TCP 三次握手数据包

可以在【统计】中【流量图】去更加直观的查看流量，流量类型选择【TCP】

四次挥手数据包不再分析

8、常见协议分析HTTPHTTP是TCP 的上层协议，所以我们过滤TCP的数据包会包含http 协议的数据包

分析http 的页面请求

可以追踪TCP 或 HTTP流，查看详细的数据包请求

三、WireShark 快速定位数据包—类型1、定位请求类型12http.request.method == "GET"http.request.method == "POST"

2、定位响应状态码1http.response.code == 200

3、定位请求头字段1http.host == "www.example.com"