• WireShark 基本介绍


    文中内容主要转自:http://www.cnblogs.com/TankXiao/archive/2012/10/10/2711777.html

    一、Wireshark 与 Fiddler 比较:

           Fiddler是在windows上运行的程序,专门用来捕获HTTP,HTTPS的。wireshark能获取HTTP,也能获取HTTPS,

           但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容。

           总结,如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark

    二、WireShark使用简介

            1. 开始界面:

                


             2.  wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。点击Caputre->Interfaces.. 出现下面对话框,

                   选择正确的网卡。然后点击"Start"按钮, 开始抓包如果服务和访问端在一台电脑上,貌似不能捕获到访问信息。

               

             3. Wireshark 窗口介绍:

             

               WireShark 主要分为这几个界面:

               1). Display Filter(显示过滤器),用于过滤

               2). Packet List Pane(封包列表),显示捕获到的封包,有源地址和目标地址,端口号。颜色不同,代表

               3). Packet Details Pane(封包详细信息), 显示封包中的字段

               4). Dissector Pane(16进制数据)

               5). Miscellanous(地址栏,杂项)

              4. 过滤器有两种:
                  1). 显示过滤器,用来在捕获的记录中找到所需要的记录。单击左边的Filter可进入过滤器的设置界面。在设置界面右边选择框中,可以单击相应规则名称,

                        查看具体过滤规则。最重要的是,我可以模仿现有的规则,新建适合自己程序的过滤规则。通过单击左边的New按钮,新建我们自己的过滤规则。

                     

                     

               2). 捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录。我们可以通过 Capture -> Options...,进入Capture Options 设置界面。然后单击里面

                    的Capture Filter按钮,进入捕获过滤器设置界面。然后可模仿已有的规则,设置新的过滤规则。

                    (我用的版本是v1.12.1,有些版本的Capture Filter按钮按钮可能不在Capture Options设置界面。具体在哪自己找吧。)

                 

                 注意:当设置正确地过两个规则时,过滤器所在框背景色为绿色。若规则错误,过滤器所在框背景色为红色。

            5. 封包详细信息(Packet Details Pane):这个面板是我们最重要的,用来查看协议中的每一个字段。各行信息分别为:

                1). Frame: 物理层的数据帧概况

                2). Ethernet II: 数据链路层以太网帧头部信息

                3). Internet Protocol Version 4: 互联网层IP包头部信息

                4). Transmission Control Protocol: 传输层T的数据段头部信息,此处是TCP

                5). Hypertext Transfer Protocol: 应用层的信息,此处是HTTP协议



    三、 相关知识介绍:

             1. wireshark与对应的OSI七层模型:

            

           2. TCP包的具体内容:

             

               3. 实例分析TCP三次握手过程:

                

             4. 我们用wireshark实际分析下三次握手的过程。打开wireshark, 打开浏览器输入 http://www.cnblogs.com/tankxiao。在wireshark中输入

                  http过滤, 然后选中GET /tankxiao HTTP/1.1的那条记录,右键然后点击"Follow TCP Stream",这样做的目的是为了得到与浏览器打开网站

                  相关的数据包,将得到如下图:

                

                  图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的, 这说明HTTP的确是使用TCP建立连接的。

                  第一次握手数据包。客户端发送一个TCP,标志位为SYN,序列号为0, 代表客户端请求建立连接。 如下图:

               

                  第二次握手的数据包。服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的ISN加1以.即0+1=1, 如下图:

               

                  第三次握手的数据包。客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,
                  放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图:

                  

     

  • 相关阅读:
    背包九讲——动态规划
    Collection、Map、数组 遍历方式
    TCP三次握手与四次挥手
    数据结构——B树、B+树
    数据结构——红黑树
    数据结构——二叉查找树、AVL树
    jquery 抽奖示例
    comebotree树
    初玩Linux部署项目
    springMvc + websocket 实现点对点 聊天通信功能
  • 原文地址:https://www.cnblogs.com/Jtianlin/p/4209101.html
一二三 - 开发者的网上家园