前沿拓展：

wireshark中文

我的更神奇，第一天使用得英文的。第二天打開，自動變成中文的了。
估計應該是自動更新的結(jié)果。自動下載與**作系統(tǒng)一致的語言包。

作者：農(nóng)碼一生

來源： cnblogs.com/zhaopei/p/12152139.html

前言

關(guān)于抓包我們平時使用的最多的可能就是Chrome瀏覽器自帶的Network面板了（瀏覽器上F12就會彈出來）。另外還有一大部分人使用Fiddler，F(xiàn)iddler也是一款非常優(yōu)秀的抓包工具。

但是這兩者只能對于HTTP和HTTPS進行抓包分析。如果想要對更底層的協(xié)議進行分析（如TCP的三次握手）就需要用到我們今天來說的工具Wireshark，同樣是一款特牛逼的軟件，且開源免費自帶中文語言包。

安裝和基本使用

Wireshark開源地址：https://github.com/wireshark/wireshark

Wireshark下載地址：https://www.wireshark.org/download，這里有它的歷史版本。

今天我們就來安裝最新版本3.2.0，一路默認“下一步”安裝**就可以了。安裝好后默認就是中文版。

開始抓包

顯示過濾器

你會發(fā)現(xiàn)第一部分內(nèi)容跳到非?？?，根本沒法找到自己想要分析的內(nèi)容。這里我們可以使用顯示過濾器，只顯示我們想要看的內(nèi)容。

在顯示過濾器填入 http.request.method == "GET",第二用Chrome瀏覽器訪問http://fanyi-pro.baidu.com/index（特意找的一個http網(wǎng)站）

除了過濾Get請求外，常用的顯示過濾器還有：

tcp、udp 前者表示只顯示tcp，后者表示只顯示udp。也可以!tcp，表示顯示除了tcp之外的。還可以tcp or udp，表示顯示tcp和udp。ip.src == 192.168.1.120 and ip.dst == 208.101.60.87，ip.src表示客戶端ip（源地址ip）、ip.dst表示服務器ip（目標地址ip）tcp.port == 80 || udp.srcport == 80 ，tcp.port 表示tcp的端口為80，udp.srcport表示udp源端口為80。||表示或者和or等效，&&和and等效。（還有tcp.srcport、tcp.dstport等等）捕獲過濾器

顯示過濾器是指捕獲了所有經(jīng)過網(wǎng)卡的封包，第二在顯示的時候進行過濾顯示。明顯，如果流量過大會導致捕獲的內(nèi)容過多，篩選變得卡頓。

所以，我們可以在捕獲階段的時候就過濾掉無用的流量。

udp、tcp 前者表示只顯示tcp，后者表示只顯示udp。也可以!tcp，表示顯示除了tcp之外的。還可以tcp or udp，表示顯示tcp和udp。host 192.168.1.110 ,表示只捕獲ip地址為192.168.1.110的封包（這里的語法和顯示過濾器不一樣，請注意）dst port 80 or port 443、not port 53，表達端口的過濾（這里的語法和顯示過濾器不一樣，請注意）

著色規(guī)則

我們看到第一部分內(nèi)容，封包列表有各種不同的背景色。其不同顏色代表不同意義。淡藍色代碼udp協(xié)議，紅字黑底代表有問題的封包。更多具體規(guī)則可 識圖->著色規(guī)則

抓取localhost（環(huán)回地址）

localhost走的其實是**ap loopback adapter網(wǎng)卡（環(huán)回網(wǎng)卡），Wireshark抓包其實就是對網(wǎng)卡抓包。

所以，Wireshark肯定是可以對localhost等環(huán)回地址進行抓包，只要捕獲的時候選中網(wǎng)卡即可。

抓取移動設備流量

如果要抓取移動設備，可以先在筆記本電腦開啟wifi熱點。捕獲對應的虛擬網(wǎng)卡，最后用手機連上wifi就可以進行抓包了。

win10自帶了wifi熱點，不用去找第三方的wifi熱點軟件了。如果手機連不上，可以嘗試關(guān)掉筆記本的防火墻試試。

TCP/IP四層協(xié)議

下面的動圖是各層對應的數(shù)據(jù)

從上面的動圖我們可以發(fā)現(xiàn)，應用層到傳輸層再到網(wǎng)絡層到以太網(wǎng)層，其對應的數(shù)據(jù)包也在對應的往前移。

我們可以想象一下，應用層數(shù)據(jù)往上傳遞，每經(jīng)過一層就包上一個新的信封。等數(shù)據(jù)送到目的主機，第二每往下一層就拆一個信封，最后拆到應用層也就是最開始得數(shù)據(jù)了。

TCP三次握手

對于三次握手我想很多人只聽過沒見過，那么今天我們就來見見。

三次握手是過程：1、客戶端發(fā)送同步SYN標志位和序列號Seq(a) 2、服務器回復SYNACK、Seq(b)、Ack（a+1）3、客戶端回復SYN、Seq(a+1)、Ack（b+1）

那么在Wireshark中怎么觀察呢。我們還是以http://fanyi-pro.baidu.com/地址為例。

第一打開Chrome輸入地址，F(xiàn)12打開瀏覽器的Network面板，刷新頁面在面板中找到服務器IP。打開Wireshark開始抓包，并在顯示過濾器只顯示IP地址對應的數(shù)據(jù)。

TCP四次揮手

除了三次握手，還有對應的四次揮手。不知道是不是我網(wǎng)絡不好，“揮手”的時候老是出現(xiàn)重傳錯誤干擾（就是前面說的那種紅字黑底封包）。下面是我本地環(huán)境自己寫代碼的抓包效果。

與握手不同是揮手是發(fā)送FIN標志位斷開連接，其他都差不多。

Wireshark抓包如下

HTTPS的抓包

因為HTTPS是HTTP的基礎(chǔ)下加入SSL加密層，所以Wireshark抓到是密文。也就看不到請求參數(shù)和響應結(jié)果，甚至連url鏈接都是密文。

要想在Wireshark抓包明文數(shù)據(jù)，可進行如下**作：

1、windows電腦配置環(huán)境變量 SSLKEYLOGFILE D:testssl.txt

2、Wireshark 編輯 – 首選項 – Protocols – TLS 最后一個選中D:testssl.txt。

如果是HTTP2可以進行 http2.headers.method == "GET" 或 http2.headers.method == "POST"，如果是HTTP可以進行http.request.method == "GET"過濾。

UDP協(xié)議

Wireshark除了可以抓包TCP同樣也可以對UDP進行抓包。

其實這個抓取的是BACnet報文，而這個BACnetIP正是基于UDP的一個協(xié)議。

ModBusTcp協(xié)議

結(jié)束

授人以魚不如授人以漁。

Wireshark不僅可以對我們常見的HTTP、HTTPS、TCP等協(xié)議進行抓包分析，還能對工業(yè)上的BACnet、ModBus、S7Communication和其他PLC協(xié)議進行報文抓包分析。

參考cnblogs.com/TankXiao/archive/2012/10/10/2711777.htmljianshu.com/p/d3725391af59blog.csdn.net/qq_38950316/article/details/81087809

拓展知識：

wireshark中文

方法/步驟 下載并安裝 選擇安裝目錄 安裝進度 打開Wireshar圖標 點擊接口列表 提示要安裝Wincap 下載安裝Wincap地層抓包驅(qū)動