1.Wireshark 简介

1.1 Wireshark 介绍

Wireshark 是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料。

① 窗口总览

image.png

② 过滤器
过滤条件 tcp.stream eq 2 表示过滤第二条流

image.png

③ 报文详细信息
● Frame: 物理层的数据帧概况
● Ethernet II: 数据链路层以太网帧头部信息
● Internet Protocol Version 4: 网络层 IP 包头部信息
● Transmission Control Protocol: 传输层（TCP、UDP）的数据段头部信息

image.png

说明：
● Hypertext Transfer Protocol: 应用层的信息，例如 HTTP
● Transport Layer security：TLS 安全传输层协议

1.3 过滤器的表达式

参考：Wireshark过滤规则汇总

● 过滤器的类型有 host、port、net
● 过滤器的方向有 src、dst
● 过滤器的协议有 tcp、udp、http、ip、ether、ftp等
● 过滤器的逻辑运算符有 &&、||、! 等

样例：查询 ip.src == 10.244.3.65 and tcp 或者 tcp src 10.244.3.65

image.png

2.分析 Tcpdump 的 cap 报文

如下图所示，tcp 3 次握手的过程。

image.png