一、下载
下载地址:https://www.wireshark.org/download.html 打开后是这样的界面,点击相应的版本下载(一般是64位的windows系统):
二、安装
下载完成,开始安装 双击下载完成的应用
然后按我图中的标注一路往下点就可以
这里可以自己选择安装路径,默认是C盘。
下面点击Install后,安装过程中会跳出另一个安装界面。不用管,直接默认即可。
安装完后是这样的
然后下面如过选择Rebot now,电脑会重启,重启后安装结束。如果现在不方便重启,可先选择I want to manually reboot later选项。
重启后,可在电脑的开始菜单栏看到安装的Wireshark,点击即可启动。
三、简单使用教程
启动后的界面如下,因为我用的WLAN,所以选择WLAN,然后点击左上角的start按钮。
开始之后的页面是这样的
现在正在捕获中,如果要停止捕获,我们就点击捕获->停止即可。下面是停止捕获的界面
我们可以看到,捕获到的信息非常多,但我们需要的信息找不到,这时我们可以用显示过滤器进行过滤。显示过滤器就是在捕获完成后对捕获到的信息进行过滤,使得显示的信息是我们想看到的。还有一个过滤器叫捕获过滤器,我们在下面会讲到。
在显示过滤器中输入tcp,只显示tcp协议
在显示过滤器中输入ip.src==120.199.94.46,显示源地址为120.199.94.46的报文
在过滤器中输入tcp.port ==80显示TCP协议的端口为80的报文
在过滤器中输入
tcp.port == 80 || udp.port == 80,显示TCP协议和UDP协议端口均为80的报文
下面展示如何用wireshark分析TCP三次握手建立连接。
Step1:启动wireshark抓包,打开浏览器输入www.huawei.com
Step2:使用ping www.huawei.com获取IP
Step3:输入过滤条件获取待分析数据包列表 ip.addr == 111.1.59.189
图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的, 这说明HTTP的确是使用TCP建立连接的。
下面我们来仔细看一下这三次握手:
第一次握手数据包
客户端发送一个TCP连接请求
源端口:54824
目的端口:88
序列号:0
确认号:初始为0
标志位:SYN
第二次握手的数据包
服务器发回确认包
源端口:88
目的端口:54824
序列号:0
确认号:1
标志位:SYN+ACK
第三次握手的数据包
客户端发送确认包
源端口:54824
目的端口:88
序列号:1
确认号:1
标志位:ACK
就这样通过了TCP三次握手,建立了连接。
补一个四次挥手,之前一直没有捕捉到,突然间发现了。
详细的四次挥手过程可以通过查看详细信息获取。
