wireshake入门

wireshake入门

什么是wireshake

简单点说吧，就是进行网络分析的数据包嗅探工具

安装

这里的实验都是基于windows的，在官网下载安装即可，没什么说的，注意要安装WinPcap（可以在安装程序的过程中勾选）

捕获数据包

打开wireshake，在界面我们需要选择捕获哪个网卡上的流量，选中双击即可

我们可以看到主界面有三个面板：
- 数据包列表：也就是最上面的面板，在这个面板中我们可以看到捕获网卡的所有数据包，其中包括了数据包序号，捕获时间，数据包的源地址和目标地址，数据包的协议以及在数据包中找到的概况信息

- 数据包细节：这个中间的面板分层次显示了一个数据包中的内容，并且可以通过展开和收缩来显示这个数据包中捕获的全部内容

- 数据包字节：最下面的面板显示的是一个数据包未经处理的原始面貌

首选项

根据自己的需求进行一些设定，跟设置一个意思
可以在上方的编辑选项中找到首选项，也可以使用快捷键ctrl+shift+p

• Appearance（外观）：这里面的选项决定了如何显示数据
• Capture（捕获）：这些选项可以让你对自己捕获的数据包的方式进行特殊设定
• Fileter buttons（过滤器表达式）：基于设定标准过滤流量
• Name Resolution（名称解析）：通过这个设定，可以将地址解析为更容易分辨的名字，并且可以设定并发处理名称解析请求的最大数目
• Protocols（协议）：这个部分里的选项可以调整关于捕获和显示各种解码数据包的功能

• Statistics（统计）：统计功能的设定选项
  

  数据包色彩高亮

  我们在捕获数据包的时候通过可以看到数据包的颜色都不太一样，这并不是随机分配的颜色，每个颜色都对应数据包使用的协议，DNS是蓝色，HTTP是绿色... 。这可以帮助我们识别不同协议的数据包。
  可以在视图栏下找到着色规则，打开可以看到协议对应的颜色，如果你觉得不好看，当然也可以自己创建着色规则
  

配置文件

当你想修改设置的时候，需要知道wireshake的配置文件的位置，在帮助栏下，找到关于wireshake，选择文件夹即可，一般情况下是不用管的，高级用户可以