[Wireshark]_001_入门

Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

我们成功安装Wireshark后，我们就可以开始来熟悉他了，打开之后好像没什么好玩的，那我们就来通过它获取数据吧，这个过程挺好玩的。

1.获取数据包步骤：

　　[1].打开Wireshark(貌似是废话)

　　[2].从主菜单中选择Capture,然后选择Interface

　　[3].选择我们要获取数据的网卡设备,点击Start，稍等片刻数据就会在窗口中呈现。如果没有数据请打开一款有网络请求的软件，如浏览器。

　　[4].稍等片刻后,就有Wireshark主窗口一堆数据了，如果我们不想获取数据了，直接点击红色按钮即可停止。

　　[a].Packet List (数据包列表)：显示了当前捕获文件中的所有数据包，其中包括了数据包序号，数据包被捕获的相对时间，数据包的源地址和目标地址，数据包的协议以及在数据包中找到的概括信息等。

　　[b].Packet Details (数据包细节)：显示了一个数据包中的内容，并且可以通过展开或是收缩来显示这个数据包中捕获到的全部内容。

　　[c].Packet Bytes (数据包字节)：这里的显示最令人困惑，因为它显示了一个数据包未经处理的原始样子，也就是在链路上传播的样子。这些原始数据不容易被理解。大家发现上面Wireshark主窗口中，有背景色，有高亮，这些都是在Wireshark的首选项中进行设置的。

2.Wireshark 首选项(Edit->Preferences)：

　　[1].User Interface :设置Wireshark 主要窗口的布局，滚动条的摆放，捕获数据的字体，前景色和背景色等。

　　[2].Capture:对数据包捕获的方式进行设置，如默认设备，是否使用混杂模式，实时更新等。

　　[3].Printing:对Wireshark 打印进行各项特殊的设定。

　　[4].Name Resolutions:通过设置，让Wireshark 将地址（MAC,网络及传输地址）解析成我们容易分辨的名字等。

　　[5].Statistics:对Wireshark统计功能的一些设定。

　　[6].Protocols：与Wireshark能够解码的数据包有关，除非有特殊情况，不然一般不要动它。

3.Wireshark 数据包彩色高亮，是通过Coloring Rules设定的(View->Coloring Rules)

我们可以创建自己的着色规则，也可以修改现有的着色规则，如我们将http流量的默认的淡绿背景色改成淡粉色：

　　[1].Wireshark 主窗口，View->Coloring Rules

　　[2].在着色器规则列表中找到http 着色规则并选中。

　　[3].单击Edit 按钮，弹出Edit Color Filter 窗口,单击Background Color 按钮。

　　[4].使用颜色滚轮选择我们想要的淡粉色，然后一路点击OK。

　　[5.]大功告成,跟http协议有关的背景色都变了。

　　

这次我们把Wireshark 大概的把玩了一遍，下次我们就来倒腾倒腾数据包吧.

本站文章为宝宝巴士 SD.Team原创，转载务必在明显处注明：（作者官方网站：宝宝巴士)

转载自【宝宝巴士SuperDo团队】 原文链接: http://www.cnblogs.com/superdo/p/4695345.html