Wireshark是專(zhuān)業(yè)而且免費(fèi)的網(wǎng)絡(luò)嗅探抓包分析工具，幾乎每個(gè)網(wǎng)絡(luò)工程人員對(duì)這個(gè)軟件都喜愛(ài)有加，Wireshark含有強(qiáng)顯示過(guò)濾器語(yǔ)言(rich display filter language)和查看TCP會(huì)話(huà)重構(gòu)流的能力，更支持上百種協(xié)議和媒體類(lèi)型。

　　Wireshark 2.6.6是經(jīng)典版本，可以實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)通訊數(shù)據(jù)，也可以檢測(cè)其抓取的網(wǎng)絡(luò)通訊數(shù)據(jù)快照文件。可以通過(guò)圖形界面瀏覽這些數(shù)據(jù)，可以查看網(wǎng)絡(luò)通訊數(shù)據(jù)包中每一層的詳細(xì)內(nèi)容。

【使用指南】

　　抓取報(bào)文:

　　下載和安裝好Wireshark之后，啟動(dòng)Wireshark并且在接口列表中選擇接口名，然后開(kāi)始在此接口上抓包。例如，如果想要在無(wú)線(xiàn)網(wǎng)絡(luò)上抓取流量，點(diǎn)擊無(wú)線(xiàn)接口。點(diǎn)擊【捕獲】——【選項(xiàng)】可以配置高級(jí)屬性，但現(xiàn)在無(wú)此必要。

　　點(diǎn)擊接口名稱(chēng)之后，就可以看到實(shí)時(shí)接收的報(bào)文。軟件會(huì)捕捉系統(tǒng)發(fā)送和接收的每一個(gè)報(bào)文。如果抓取的接口是無(wú)線(xiàn)并且選項(xiàng)選取的是混合模式，那么也會(huì)看到網(wǎng)絡(luò)上其他報(bào)文。

　　上端面板每一行對(duì)應(yīng)一個(gè)網(wǎng)絡(luò)報(bào)文，默認(rèn)顯示報(bào)文接收時(shí)間（相對(duì)開(kāi)始抓取的時(shí)間點(diǎn)），源和目標(biāo)IP地址，使用協(xié)議和報(bào)文相關(guān)信息。點(diǎn)擊某一行可以在下面兩個(gè)窗口看到更多信息。“+”圖標(biāo)顯示報(bào)文里面每一層的詳細(xì)信息。底端窗口同時(shí)以十六進(jìn)制和ASCII碼的方式列出報(bào)文內(nèi)容。

　　色彩標(biāo)識(shí):

　　進(jìn)行到這里已經(jīng)看到報(bào)文以綠色，藍(lán)色，黑色顯示出來(lái)。Wireshark通過(guò)顏色讓各種流量的報(bào)文一目了然。比如默認(rèn)綠色是TCP報(bào)文，深藍(lán)色是DNS，淺藍(lán)是UDP，黑色標(biāo)識(shí)出有問(wèn)題的TCP報(bào)文——比如亂序報(bào)文。

　　報(bào)文樣本:

　　比如說(shuō)你在家安裝了Wireshark，但家用LAN環(huán)境下沒(méi)有感興趣的報(bào)文可供觀(guān)察，那么可以去Wireshark wiki下載報(bào)文樣本文件。

　　打開(kāi)一個(gè)抓取文件相當(dāng)簡(jiǎn)單，在主界面上點(diǎn)擊Open并瀏覽文件即可。也可以在Wireshark里保存自己的抓包文件并稍后打開(kāi)。

　　過(guò)濾報(bào)文:

　　如果正在嘗試分析問(wèn)題，比如打電話(huà)的時(shí)候某一程序發(fā)送的報(bào)文，可以關(guān)閉所有其他使用網(wǎng)絡(luò)的應(yīng)用來(lái)減少流量。但還是可能有大批報(bào)文需要篩選，這時(shí)要用到Wireshark過(guò)濾器。

　　最基本的方式就是在窗口頂端過(guò)濾欄輸入并點(diǎn)擊【應(yīng)用】（或按下回車(chē)）。例如，輸入“dns”就會(huì)只看到DNS報(bào)文。輸入的時(shí)候，Wireshark會(huì)幫助自動(dòng)完成過(guò)濾條件。

　　過(guò)濾報(bào)文:

　　如果正在嘗試分析問(wèn)題，比如打電話(huà)的時(shí)候某一程序發(fā)送的報(bào)文，可以關(guān)閉所有其他使用網(wǎng)絡(luò)的應(yīng)用來(lái)減少流量。但還是可能有大批報(bào)文需要篩選，這時(shí)要用到Wireshark過(guò)濾器。

　　最基本的方式就是在窗口頂端過(guò)濾欄輸入并點(diǎn)擊Apply（或按下回車(chē)）。例如，輸入“dns”就會(huì)只看到DNS報(bào)文。輸入的時(shí)候，Wireshark會(huì)幫助自動(dòng)完成過(guò)濾條件。

　　也可以點(diǎn)擊【分析】菜單并選擇【顯示過(guò)濾器】來(lái)創(chuàng)建新的過(guò)濾條件。

　　另一件很有趣的事情是你可以右鍵報(bào)文并選擇Follow TCP Stream。

　　你會(huì)看到在服務(wù)器和目標(biāo)端之間的全部會(huì)話(huà)。

　　關(guān)閉窗口之后，你會(huì)發(fā)現(xiàn)過(guò)濾條件自動(dòng)被引用了——Wireshark顯示構(gòu)成會(huì)話(huà)的報(bào)文。