Wireshark

Wireshark 是一款功能强大的网络协议分析工具，它允许用户实时捕获并深入分析网络数据包。无论是诊断网络问题还是研究通信协议，Wireshark 都能提供详尽的数据包信息，支持多种网络接口和协议解析，并具备流量统计和过滤分析功能，使网络通信过程清晰可见。立即下载 Wireshark，开始您的网络探索之旅。

Wireshark 抓包方法

1. 功能
Wireshark 能够捕获 HTTP 和 HTTPS 流量，但无法解密 HTTPS 内容。因此，对于 HTTP 和 HTTPS 流量，建议使用 Fiddler；而对于其他协议，如 TCP 和 UDP，则推荐使用 Wireshark。

2. 选择网卡
Wireshark 用于捕获特定网卡上的网络数据包。当您的计算机拥有多块网卡时，您需要选择一个进行捕获。

3. 窗口介绍
Wireshark 主要分为以下几个界面：
Display Filter（显示过滤器）：用于过滤数据包。
Packet List Pane（封包列表）：显示捕获到的数据包，包括源地址、目标地址和端口号。
Packet Details Pane（封包详细信息）：显示数据包中的字段。
Dissector Pane（16进制数据）：显示数据包的16进制内容。
Miscellaneous（地址栏，杂项）：提供其他功能。

4. 过滤器
使用过滤器非常重要，可以帮助您在大量数据中快速找到所需信息。Wireshark 提供两种过滤器：
显示过滤器：在主界面上，用于在捕获的记录中找到所需记录。
捕获过滤器：在 Capture |> Capture Filters 中设置，用于过滤捕获的数据包。

5. 捕获结果分析
着色规则：在菜单“视图|着色规则”下查看。
数据包结构：包括链路层、网络层和传输层详细信息。
TCP 数据包：包括标志位、窗口大小、检验和等信息。

6. TCP 三次握手分析
第一次握手：客户端发送 SYN 包，序列号为随机值。
第二次握手：服务器发送 SYN+ACK 包，确认序号为客户端序列号+1，序列号为随机值。
第三次握手：客户端发送 ACK 包，序列号为客户端序列号+1，确认序号为服务器序列号+1。

过滤命令

1. 过滤源 IP、目的 IP
在 Filter 中输入过滤条件，如 ip.dst==192.168.101.8 或 ip.src==1.1.1.1。

2. 端口过滤
在 Filter 中输入 tcp.port==80，过滤源端口和目的端口为 80 的数据包。

3. 协议过滤
在 Filter 中直接输入协议名，如 HTTP。

4. HTTP 模式过滤
在 Filter 中输入 http.request.method==\"GET\" 或 http.request.method==\"POST\"。

5. 连接符 AND 的使用
在 Filter 中使用 AND 连接两种条件，如 ip.src==192.168.101.8 and http。

软件功能

1. 深入检查数百种协议，持续更新。
2. 实时捕获和离线分析。
3. 标准三窗格数据包浏览器。
4. 多平台支持：Windows、Linux、macOS、Solaris、FreeBSD、NetBSD 等。
5. 捕获文件浏览：GUI 或 TTY 模式的 TShark 实用程序。
6. 强大的显示过滤器。
7. 丰富的 VoIP 分析。
8. 支持多种捕获文件格式：tcpdump(libpcap)、Pcap NG、Catapult DCT2000 等。
9. 使用 gzip 压缩的捕获文件可以即时解压缩。
10. 从多种网络接口读取实时数据：以太网、IEEE 802.11、PPP/HDLC 等。
11. 对多种协议的解密支持：IPsec、ISAKMP、Kerberos、SSL/TLS 等。
12. 着色规则应用于数据包列表，便于快速分析。
13. 输出导出为多种格式：XML、PostScript、CSV、纯文本等。

软件特色

1. 多平台支持：Mac OS X、Linux、Windows 等。
2. 多种协议支持：TCP、UDP、HTTP、DNS 等。
3. 实时捕获和显示：支持设置捕获过滤器和显示过滤器。
4. 数据包分析和导出：深入分析数据包，并导出为多种格式。
5. 可扩展性：支持插件和自定义脚本，扩展功能和定制化分析过程。

更新日志

错误修复：修复了多个漏洞和错误，包括 RTMPT 解剖器无限循环、多个解剖器中的大循环、PVFS 解析器崩溃等。
新增和更新功能：更新了多种协议支持，包括 AMP、ASN.1 PER、ATN|ULCS、BGP 等；新增和更新了多种捕获文件支持，包括 BLF 和 libpcap。