[Wireshark]_002_玩转数据包

通过前一篇文章，我们大概了解了Wireshark,现在可以准备好进行数据包的捕获和分析了。这一片我们将讲到如何使用捕获文件，分析数据包以及时间格式显示等。

1.使用捕获文件

进行数据包分析时，其实很大一部分分析是在数据包捕获后进行的。有时我们还会在不同时间进行多次捕获，并保存下来，然后一起进行分析，可将多个数据包合并。

　　[1]导出和保存捕获数据包(File->Save As)

　　

　　[2].合并数据包,File->Merge,弹出Merge with Capture File窗口。

2.分析数据包

我们分析数据包是肯定会遇到大规模的数据包，会有成千上万的数据包，这时候需要高效的在这些数据包中查找，Wireshark可以让我们将符合一定条件的数据包进行标记。

　　[1].查找数据包(Control + F)

　　　　[a].Disply filter:通过表达式进行筛选,如： (not ip,ip.addr=xxx.xx.xx.xx,...)

　　　　[b].Hex value:十六进制数进行筛选，如： (ff:ff，...)

　　　　[c].String:字符串进行筛选,如：(response，...)

　　　　[d].查找下一个匹配数据包(control + N),查找前一个匹配数据包(control + B) 　　

　　

　　[2].标记数据包

[a].在找到那些符合查找条件的数据包后，可以根据需要对其进行标记(control + M),被标记的数据包将会黑底白字显示。

[b].在packet list 中右键也可对其进行标记，前一个标记shift + control + N  后一个标记shift + control + B

　　

　　[3].打印数据包

大多数数据包分析会在电脑屏幕上显示，但是我仍有将捕获的数据打印出来的需求，如将标记的数据包打印成一个pdf。

　　　　[a].通过主菜单File->Print,打开Print 对话框，

3.设置时间显示和相对格式

[1].时间在数据包分析时十分重要，所有互联网上发生的事情都与时间有关。而且我们需要在数据包中检查时间规律和网络延迟。

[2].所有被捕获的数据包，都会由系统给予一个绝对时间戳，时间相关显示在View->Time Display Format 中找到

　　

[3].数据包的相对时间参考(Edit->Set Time Reference)，可以让一个数据包作为基准，而后的数据包以此计算相对时间戳。　　

数据包相关的这篇先暂且玩转到这，下篇我们来一发电子邮件抓包分析！

本站文章为宝宝巴士 SD.Team原创，转载务必在明显处注明：（作者官方网站：宝宝巴士)

转载自【宝宝巴士SuperDo团队】 原文链接: http://www.cnblogs.com/superdo/p/4696338.html