Wireshark的简单使用

• Frame:对应是物理层，主要是传输bit流。
• Ethernet：数据链路层，传输数据帧，二层通信主要是通过mac地址。
• Internet：网络层，传送数据包， 互联网层IP包头部信息，这一层通过抓包能够知道源IP和目的IP
• Transmission：传输层，主要传送分组，传输层中的TCP、UDP协议
• Hypertext：应用层，常用的HTTP、SMTP、FTP等协议
  

进一步，可以查看TCP报文的详细内容：

 过滤方法

在wireshark的过滤规则框Filter中输入过滤条件。

1. 过滤源ip、目的ip

如查找目的地址为192.168.101.8的包，ip.dst==192.168.101.8；查找源地址为ip.src==1.1.1.1;

2. 端口过滤

如过滤80端口，在Filter中输入，tcp.port==80，这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==80只过滤目的端口为80的，tcp.srcport==80只过滤源端口为80的包

3. 协议过滤

比较简单，直接在Filter框中直接输入协议名即可，如过滤HTTP的协议

4. http模式过滤

如过滤get包，http.request.method=="GET",过滤post包，http.request.method=="POST"

5. 运算符的使用

可以使用与（&&）、或（||）、非（！）三种逻辑运算符。

例如，使用and连接，过滤ip为192.168.101.8并且为http协议的，ip.src==192.168.101.8 and http。

 除此之外，还有一个有用的方法，即了解背景颜色的含义：可以在 视图-->着色规则 进行查看和自定义。

6. 显示器过滤

ip.addr==192.168.5.6，只显示192.168.5.6这个地址相关数据包

frame.len<=128，只查看长度小于128字节的数据包

参考链接：

1. https://www.jianshu.com/p/afa438cb7d73

2. https://www.cnblogs.com/nmap/p/6291683.html