▪ WireShark 是一种可以运行在 Windows，UNIX，Linux 等操作系统上的分组分析器。
▪ 运行Wireshark，需要有一台支持Wireshark和libpcap或WinPCap分组捕获库的计算机。
▪ 安装Wireshark时，如果操作系统中未安装libpcap软件，它将会自动安装。


Wireshark（前称Ethereal）是一个网络封包分析软件。功能是
撷取网络封包，并尽可能显示出最为详细的网络封包资料。
Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交
换
wireshark工作流程
❖（1）确定Wireshark的位置。如果没有一个正确的位置，启动Wireshark后会花费很长的时间捕
获一些与自己无关的数据。
❖（2）选择捕获接口。一般都是选择连接到Internet网络的接口，这样才可以捕获到与网络相关的
数据。否则，捕获到的其它数据对自己也没有任何帮助。
❖（3）使用捕获过滤器。通过设置捕获过滤器，可以避免产生过大的捕获文件。这样用户在分析
数据时，也不会受其它数据干扰。而且，还可以为用户节约大量的时间。
❖（4）使用显示过滤器。通常使用捕获过滤器过滤后的数据，往往还是很复杂。为了使过滤的数
据包再更细致，此时使用显示过滤器进行过滤。
❖（5）使用着色规则。通常使用显示过滤器过滤后的数据，都是有用的数据包。如果想更加突出
的显示某个会话，可以使用着色规则高亮显示。
❖（6）构建图表。如果用户想要更明显的看出一个网络中数据的变化情况，使用图表的形式可以
很方便的展现数据分布情况。
❖（7）重组数据。Wireshark的重组功能，可以重组一个会话中不同数据包的信息，或者是一个
重组一个完整的图片或文件。由于传输的文件往往较大，所以信息分布在多个数据包中。为了能
够查看到整个图片或文件，这时候就需要使用重组数据的方法来实现。


▪ Display Filter(显示过滤器)， 用于过滤
▪ Packet List Pane(封包列表)， 显示捕获到的封包， 有源地址和目标地
址，端口号。
▪ Packet Details Pane(封包详细信息), 显示封包中的字段
▪ Dissector Pane(16进制数据) ▪ Miscellanous(地址栏，杂项)
Wireshark过滤器
❖ 使用Wireshark时最常见的问题，是使用默认设置时，会得到大量冗余信息，以至于很难找到自己需要的部分。这就是为什么过滤器会如此重要。它们可以帮助我们在庞杂的结果中迅速找到我们需要的信息。
❖捕捉过滤器：用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。
❖显示过滤器：在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。
❖ 两种过滤器的目的是不同的。
❖捕捉过滤器是数据经过的第一层过滤器，它用于控制捕捉数据的数量，以避免产生过大的日志文件。
❖显示过滤器是一种更为强大（复杂）的过滤器。它允许您在日志文件中迅速准确地找到所需要的记录。

捕捉过滤器

显示过滤器

表达式规则

1. 协议过滤
   比如TCP，只显示TCP协议。
2. IP 过滤
   比如 ip.src 192.168.1.102 显示源地址为192.168.1.102，
   ip.dst192.168.1.102, 目标地址为192.168.1.102
3. 端口过滤
   Tcp.port ==80, 端口为80的
   tcp.srcport == 80, 只显示TCP协议的愿端口为80的。
4. Http模式过滤
   http.request.method==“GET”, 只显示HTTP GET方法的。
5. 逻辑运算符为 AND/OR
   
   
   推荐文章https://blog.csdn.net/whoim_i/article/details/104356572