数据包着色

 Wireshark 中一个非常有用的机制是数据包着色。可以设置 Wireshark，使其根据显示过滤器对数据包进行着色。这允许强调可能感兴趣的数据包。Wireshark 中有两种类型的着色规则：仅在退出程序之前有效的临时规则，以及保存在首选项文件中以便下次运行 Wireshark 时可用的永久规则。可以通过选择数据包并同时按下 Ctrl 键和数字键之一来添加临时规则。这将根据当前选择的对话创建着色规则。它将首先尝试创建基于 TCP、UDP、IP 和以太网的会话过滤器。也可以通过在数据包详细信息窗格中右键单击时选择 Colorize with Filter › Color X 菜单项来创建临时过滤器。要永久着色数据包，请选择 View › Coloring Rules…. 。 Wireshark 将显示“着色规则”对话框，如下所示：

 如果这是第一次使用“着色规则”对话框，并且使用的是默认配置文件，则看到默认规则，如上所示。更具体的规则通常应该列在更通用的规则之前。 例如，如果在 DNS 之前有一个 UDP 着色规则，则可能不会应用 DNS 规则（DNS 通常通过 UDP 传输，UDP 规则将首先匹配）。可以通过单击 [+] 按钮来创建新规则。可以通过单击 [ - ] 按钮删除一个或多个规则。 “复制”按钮将复制规则。可以通过双击其名称或过滤器来编辑规则。 在“着色规则”对话框中，正在编辑规则“校验和错误”的名称。 单击 [ Foreground ] 和 [ Background ] 按钮将分别打开前景（文本）和背景颜色的颜色选择器（颜色选择器）。颜色选择器如下所示。
 颜色选择器的外观取决于操作系统。 显示了 macOS 颜色选择器。 为所选数据包选择所需的颜色，然后单击 [确定]。 在 Wireshark 中使用滤色器显示了在 Wireshark 中使用的几种滤色器的示例。

协议剖析

 用户可以控制如何解析协议。每个协议都有自己的解析器，因此解析一个完整的数据包通常会涉及多个解析器。 当 Wireshark 尝试为每个数据包找到正确的解析器时，它可能会在特定情况下选择错误的解析器。 例如，Wireshark 不会知道是否在不常见的 TCP 端口上使用了常见的协议，例如在 TCP 端口 800 上使用 HTTP 而不是标准端口 80。有两种方法可以控制协议解析器之间的关系：完全禁用协议解析器或暂时转移 Wireshark 调用解析器的方式。

启用的协议对话框（Enabled Protocols dialog box）

 启用协议对话框允许您启用或禁用特定协议。 大多数协议默认启用。 当协议被禁用时，Wireshark 会在遇到该协议时停止处理数据包。禁用协议将阻止显示有关更高层协议的信息。 例如，假设您禁用了 IP 协议并选择了一个包含以太网、IP、TCP 和 HTTP 信息的数据包。 将显示以太网信息，但不会显示 IP、TCP 和 HTTP 信息 - 禁用 IP 将阻止显示它和更高层的协议。要启用或禁用协议，请选择 Analyze › Enabled Protocols…. 。 Wireshark 会弹出“Enabled Protocols”对话框，如下所示。
  1. Enable All： 启用列表中的所有协议。
  2. Disable All： 禁用列表中的所有协议。
  3. Invert： 切换列表中所有协议的状态。
  4. OK： 保存并应用更改并关闭对话框。
  5. Cancel： 取消更改并关闭对话框。

用户指定方式

 “Decode As”功能可让你暂时转移特定的协议剖析。 例如，如果在网络上进行一些不常见的实验，这可能很有用。 通过选择 Analyze › Decode As…. 访问解码为。 Wireshark 会弹出“Decode As”对话框，如下所示。在此对话框中，可以通过左侧的编辑按钮编辑条目。 也可以从数据包列表或数据包详细信息的上下文菜单中弹出此对话框。 然后它将包含基于当前选择的数据包的新行。

首选项设置

 可以设置许多首选项。只需选择 Edit › Preferences… Wireshark 将弹出 Preferences 对话框，如首选项对话框所示，默认为“用户界面”页面。 可以在左侧选择要显示的页面。
  1. OK： 按钮将应用首选项设置并关闭对话框。
  2. Cancel： 按钮会将所有首选项设置恢复到上次保存的状态。

 Wireshark 支持相当多的协议，这反映在协议窗格中的长条目列表中。 可以通过展开协议窗格并快速键入协议名称的前几个字母来跳转到特定协议的首选项。 “Adanced”窗格将让你查看和编辑 Wireshark 的所有首选项，类似于 Firefox 和 Chrome 网络浏览器中的 about:config 和 chrome:flags。

wireshark使用

wireshark工作原理

wireshark是一个网络封包分析软件，处于混杂模式（Promiscuous）的Wireshark可以抓取改冲突域的所有网络封包。它的基本原理是通过程序将网卡的工作模式设置为“混杂模式”，这时网卡将接受所有流经它的数据帧，这实际上就是Sniffer工作的基本原理：让网卡接收一切他所能接收的数据。Sniffer就是一种能将本地网卡状态设成混杂状态的软件，当网卡处于这种”混杂”方式时，该网卡具备”广播地址”，它对所有遇到的每一个数据帧都 产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。

Wireshark界面说明

Wireshark界面主要分为三部分

第一部分

第一部分展示的是wireshark抓取的所有数据包的列表。

注意：最后一列Info是wireshark组织的说明并不一定是数据包中的原始内容

我们可以看到有很多的色彩显示这是wireshark为了区分不同的报文做的颜色提示，可以通过点击上方视图->试图规则，查看并修改。

其中重要的规则有以下几条

黑色代表报文错误

红色代表各类异常

其他颜色都为正常

第二部分

第二部分是针对第一部分窗口中选中的数据包的分协议展示

注意：如果出现红色是因为wireshark开启校验和验证而该层协议验证和校验不正确导致

1. Frame：物理层的数据帧概况
2. Ethernet Ⅱ：数据链路层以太网帧头部信息
3. Internet Protocol Version 4: 互联网层IP包头部信息
4. Transmission Control Protocol: 传输层T的数据段头部信息，此处是TCP
5. Hypertext Transfer Protocol: 应用层的信息，此处是HTTP协议

第三部分

第三部分是对第一部分选中的数据包的元数据，其中左侧是十六进制表示右侧是ASCll码表示，当第二部分中选中某层或某字段，第三部分中的对应位置也会被高亮提示。

wireshark过滤器使用

因为信息量大，有很多的冗余报文。为了方便的从中获取需要的报文，我们必须熟练使用wireshark提供的过滤器，捕获过滤器和显示过滤器。

捕获过滤器

捕捉过滤器是数据经过的第一层过滤器，它用于控制捕捉数据的数量，以避免产生过大的日志文件。

显示过滤器

显示过滤器是一种更为强大（复杂）的过滤器。它允许您在日志文件中迅速准确地找到所需要的记录。

两种过滤器使用时都需要遵守一定的语法，不过在使用的过程中，wireshark提供一些简单常用的过滤命令基本可以满足需求。

过滤规则

举例

过滤源IP、目的IP

ip.dst==192.168.101.8
ip.src==1.1.1.1

端口过滤

tcp.dstport==80
tcp.srcport==80

http模式过滤

http.request.method=="GET"
http.request.method=="POST"

wireshark使用

当你筛选过后数据包的数量会少很多，我们可以通过右键-》追踪流-》选择相应协议进行追踪，因为我使用的是tcp协议所以我这边只有tcp流可以点击。

点击后弹出窗口即可看到

主要分为两种颜色红色与蓝色

红色：源地址到目的地址

蓝色：目的地址到源地址

FLAGS字段含义

在TCP层，有个FLAGS字段，这个字段有以下几个标识：SYN, FIN, ACK, PSH, RST, URG.
它们的含义是：
SYN表示建立连接，
FIN表示关闭连接，
ACK表示响应，
PSH表示有 DATA数据传输，
RST表示连接重置。

TCP的SEQ和ACK总结：

在TCP通讯中，无论是建立连接，数据传输，友好断开，强制断开，都离不开Seq值和Ack值，它们是TCP传输的可靠保证。Seq是发送方告诉接收方，我当前从第Seq个字节开始发送len个字节数据(不包括以太网Eth头,IP头和Tcp头,也就是纯数据长度)给你，而Ack则是接收方给发送方回复：接收方回复的Ack=发送方Seq+发送数据长度len。
在建立连接双方握手时，发送方的Seq为0，表示发送的数据长度也为0，这时接收方收到数据帧后，会判断Seq+数据长度为0或者Seq+数据长度为1的话，那么在回应发送方的Ack的值就为1(也就表示确认号有效，为0的话就表示数据包中不包含确认信息(即不含有Ack字段)，忽略确认号字段)。
在数据传输中，如果Seq+数据长度不为0或1并且数据长度不为0的话，则回应时的Ack就等于Seq+数据长度的值，这就表示我已经收到Seq+数据长度个字节的数据。发送方收到该Ack就会比较自己的Seq+刚发出去的纯数据长度，如果一致，则回应接收方的Ack，并且发送下一个包，否则将重发该包，若超时还没收到Ack也会重发该包。

我是一个努力成长的小白，如果这篇文章对你有帮助记得点赞，如果有不足或者错误欢迎在评论区及时指出。

WireShark简单使用

完整使用：
1 选择监控的网络

2 设置捕获过滤器

3 根据自己需要，设置时间等信息

4 可设置显示过滤器方便查看

5 保存通信文件

捕获过滤器：
1.只想要192.168.0.38和192.168.0.52之间的通信
(src host 192.168.0.38 && dst host 192.168.0.52) || (src host 192.168.0.52 && dst host 192.168.0.38)

2.只想要80端口的传输数据
port 80

显示过滤器：
1.只想看192.168.0.38和192.168.0.52相关的通信
ip.addr == 192.168.0.38 || ip.addr == 192.168.0.52

2.想看通信内容包括M0或者M3的通信内容
frame contains “M0” or frame contains “M3”

3.想看80端口的通信内容
tcp.port == 80