目录 简介WireShark软件安装Wireshark开始抓包示例Wireshark过滤器设置停止抓包​编辑保存数据界面介绍基础操作1.调整界面大小2.设置显示列1）添加显示列​2）隐藏显示列3）删除显示列3.设置时间​4.标记数据包5.导出数据包6.开启混杂模式 简介WireShark是非常流行的网络抓包分析工具，可以截取各种网络数据包，并显示数据包详细信息。常用于开发测试过程中各种问题定位。本文主要内容包括：1、Wireshark软件下载和安装以及Wireshark主界面介绍。2、WireShark简单抓包示例。通过该例子学会怎么抓包以及如何简单查看分析数据包内容。3、Wireshark过

（1）网卡选择对于电脑本身有多个网卡的时候，选择网卡就成为了一个困惑的地方，其实这里很简单，只要把鼠标放在对应的网卡上面就可以看到地址等信息，就容易判断出来了。（2）过滤器直接抓包，电脑发出去的所有包，或者镜像过来的包都非常的多，比便于查看某一个地址的流量，这里就需要学下wireshark的过滤器表达式。比较操作符号等于，比如192.168.1.1，则匹配出192.168.1.1的信息!不等于排除掉大于通常用于端口号，包长度=大于等于逻辑操作符号and两个条件必须同时满足or其中一个条件满足即可xor有且仅有一个条件被满足not没有条件满足ip地址过滤ip.addr：匹配IP地址，源目任意一个

溯源（一）之溯源的概念与意义溯源（二）之windows-还原攻击路径溯源（三）之Linux-入侵排查Wireshark介绍1、wirshark介绍：Wireshark是一个网络封包分析软件。使用WinPCAP作为接口，直接与网卡进行数据报文交换。我们网络安全工程师或者软件工程师可以利用wireshark来进行分析网络。wireshark只能查看封包，而不能修改封包的内容，或者发送封包。bp、Fiddler就可以改包仅仅只是监听共享网络上传送的数据包。2、什么人会用到wireshark网络管理员会使用wireshark来检查网络问题软件测试工程师使用wireshark抓包，来分析自己测试的软件从

目录1、Wireshark介绍1.1 Wireshark使用1.2 支持的协议2.Wireshark主要应用3.Wireshark安装 4.Wireshark页面介绍4.1 分组列表 4.2 分组详情 4.3 分组字节流 5.Wireshark导航5.1 开始捕获分组5.2 停止捕获分组5.3重新开始当前捕获5.4、捕获选项5.5 打开以保存的捕获文件5.6 保存捕获文件5.7 关闭捕获文件5.8 重新加载捕获文件5.9 查找一个分组5.9.1Step15.9.2Step25.9.3Step35.9.4Step45.10、转到前一分组5.11、转到下一分组5.12、转到特定分组5.13、转到首

一、IP地址过滤ip.addr==192.168.1.114//筛选出源IP或者目的IP地址是192.168.1.114的全部数据包。ip.src==192.168.1.114//筛选出源IP地址是182.254.110.91的数据包ip.dst==192.168.1.114//筛选出目的地址是192.168.1.114的数据包。二、MAC地址过滤常用命令：eth.addr==MAC//筛选出源MAC地址或者目的MAC地址使用的是31:rf:e7:c7:41:c4的全部数据包。eth.src==MAC//筛选出源MAC地址是31:rf:e7:c7:41:c4的数据包eth.dst==MAC//

        在macOS环境下，wireshark默认无法同时打开多个窗口，当需要分析、比较多个文件时相比相对麻烦。以下记录两种解决该问题的方案。0x00通过终端临时解决终端环境下配合“-n”、“-a”参数使用open命令打开多个窗口#打开多个初始Wireshark窗口open-n/Applications/Wireshark.app#直接在多个窗口打开抓包文件open-n-a/Applications/Wireshark.appfile_name.pcap0x01借助自动操作永久解决实际也是使用open命令，但是借助macOS自带的自动操作应用程序可以实现在图形界面即可永久解决该问题。1

目录一、ARP二、DNS三、TCPTCP的总过程：​TCP三次握手： TCP四次挥手： 四、HTTP一、ARP1.ARP（AddressResolutionProtocol），是根据IP地址获取物理地址的一个TCP/IP协议。我们要抓ARP同网段内的访问网关的情况。先cmd执行arp-a命令，从ARP表中查看本网段内有哪些主机然后arp-d清空ARP表cmd执行arp-a，验证ARP表已被清空（ARP的自主学习）2.Ping本网段内任意主机1）cmd执行下面这条命令获取局域网内所有主机：命令的意思是：ping10.200.1.xxx到10.200.1.255之间的所有IP，注意将IP地址改成自

Wireshark流量分析还原zip文件以下内容为数据取证靶场题目通过提示下载流量包，导入到wireshark开始分析此处发现访问了可疑的压缩包文件通过右键追踪TCP流进一步分析以下为该压缩包的请求包和响应包内容，我们需要的是响应包中的响应体选中该http请求后，选择MediaType，右键选择导出分组字节流即可将响应体内容导出将保存类型设置为AllFiles，将文件名设置为压缩文件，保存即可解压该文件得到key值

Wireshark是自由开源的、跨平台的、基于GUI的网络数据包分析器，可用于Linux、Windows、MacOS、Solaris等。它实时捕获网络数据包并以人类可读的格式呈现它们。它使我们能够监控微观层面的网络数据包。它还有一个名为 tshark 的命令行程序，它执行与Wireshark相同的功能，但通过终端而不是通过GUI。Wireshark可用于网络故障排除、分析、软件和通信协议开发，也可用于教育目的。Wireshark使用名为 pcap 的库来捕获网络数据包。Wireshark的功能支持检查数百种协议能够实时捕获数据包并保存它们以供以后离线分析一些用于分析数据的过滤器捕获的数据可以动

1、打开wireshark，输入http过滤： ip.addr==47.102.168.177andtcp。2、打开浏览器，输入网址回车。3、点击封包列表标头，No按照正序排列。4、看到框出来的三条记录，即为wireshark截获到了TCP三次握手的三个数据包。 第一次握手数据包客户端，发送一个TCP，标志位为[SYN] Seq=0，代表客户端请求建立连接。 第二次握手的数据包服务器发回确认包，标志位为[SYN，ACK]Seq=0，ACK=1。第三次握手的数据包客户端再次发送确认包[ACK] Seq=0，ACK=1。如上面通过了TCP三次握手，建立了连接。