（一）熟悉Wireshark界面

 

 

　　这部分记录学习Wireshark的苦逼历程。

　　首先，我们先打开Wireshark，下了最新的版本，简洁很多= =不懂是不是我没有开新闻的原因

 

因为练得是无线，这里我们点击WLAN，在浏览器里打开百度，然后让它停止捕获，点击工具栏的停止。

　　接下来讲一下界面，自上而下标记栏，菜单栏，工具栏，然后是筛选区，主要用于筛选数据包，接下来是数据包列表，包含所有我们捕获到数据包信息，接下来的部分是用来显示数据包详细信息，接下来的面板是以十六进制的方式显示未经处理的数据信息。

　　关于，包、帧、段的说法：包主要是网络层的说法，帧是链路层，段主要是物理层，我们主要分析的也是中间详细信息的部分，举个例子

　　我们先在筛选区输入http，点击回车，此时数据包列表显示的都是我们刚刚抓到的数据包里的http协议的数据包，随便点一个分析一下

详细信息部分，采用五层结构的方式显示数据信息，自上而下分别是物理层、数据链路层、网络层、传输层和应用层。接下来简单的对前面四层的内容简单分析一下：

物理层：

　　

　　第一行表示3934号数据帧，在这个线路上总共有2192字节，实际捕捉到2192字节，

　　第二行表示接口id

　　第三行封装类型

　　第四行所捕获的日期时间

　　第七行当前数据包与前一个数据包的时间间隔[Time delta from previous captured frame]

　　第八行当前数据包与第一个数据包的时间间隔[Time delta from previous displayed frame]

　　第九行是帧的序号[Frame Number]

　　第十行是帧的长度[Frame Length]

　　第十一行是捕获长度[Capture Length]

　　Frame is marked 是否标记

　　Frame is ignored 是否忽略

　　Protocols in frame 帧内封装协议结构

　　Coloring Rule Name 着色标记名称

　　Coloring Rule String 着色规则显示的字符串

　　接下来讲讲数据链路层

　　先是目标的mac地址，然后是源的mac地址，mac地址前三个字节代表的是厂家，这里Wireshark已经帮我们转化成了厂家名了。

　　接下来到重头戏——网络层协议，

　　然后到传输层

 

URG：长1位，表示紧急指针字段有效；

ACK：长1位，置位表示确认号字段有效；

PSH：长1位，表示当前报文需要请求推（push）操作；

RST：长1位，置位表示复位TCP连接；

SYN：长1位，用于建立TCP连接时同步序号；

FIN：长1位，用于释放TCP连接时标识发送方比特流结束

 

 筛选器

　　1.指定IP地址

　　　　ip.addr == ip地址

　　2.端口号为80

　　　　tcp.port == 80

　　3.查询非tcp协议数据

　　　　!tcp

　　4.查询长度小于100的数据包

　　　　frame<=100

　　

tcp[13]==0x18