6.3.3 利用Wireshark进行协议分析(三)
一、启动Wireshark界面
如图
从上到下依次是
- 标题栏
- 菜单栏
- 工具栏
- 过滤栏
- 捕获窗口,在该区域用户可以选择网络接口,设置捕获选项
Wireshark允许用户将捕获到的数据包信息保存在指定的文件中,便于后续打开并分析处理。
二、运行Wireshark界面
Wireshark运行后的界面如下
运行后三个窗口分别是分组列表、分组详情、分组字节流
分组列表中每一行对应着一组报文,显示了报文流经网卡的时间,报文的源地址,报文的目的地址,报文所属协议的类别和长度等信息,不同行在显示的时候采用不同的字体或背景颜色。
三、报文行颜色设置
四、查看报文内容
选中报文后,在分组详情中会以分层的形式给出报文的封装格式,包括数据帧的全局信息、帧头的信息、IP分组头部信息、TCP报文,具体内容可以直接点开即可。
分组字节流是以十六进制的形式显示了整个报文的数据内容,选中分组详情面板中的某个字段,在分组字节流中会高亮显示相应字段的十六进制内容以及所在的位置。
五、Wireshark过滤栏
- 过滤特定协议报文:直接输入协议名称如:tcp
- 复杂的过滤条件,用到逻辑与、逻辑或运算符如:tcp || udp