Wireshark是專業(yè)而且免費的網(wǎng)絡(luò)嗅探抓包分析工具，幾乎每個網(wǎng)絡(luò)工程人員對這個軟件都喜愛有加，Wireshark含有強顯示過濾器語言(rich display filter language)和查看TCP會話重構(gòu)流的能力，更支持上百種協(xié)議和媒體類型。

　　Wireshark 2.6.6是經(jīng)典版本，可以實時檢測網(wǎng)絡(luò)通訊數(shù)據(jù)，也可以檢測其抓取的網(wǎng)絡(luò)通訊數(shù)據(jù)快照文件?？梢酝ㄟ^圖形界面瀏覽這些數(shù)據(jù)，可以查看網(wǎng)絡(luò)通訊數(shù)據(jù)包中每一層的詳細內(nèi)容。

【使用指南】

　　抓取報文:

　　下載和安裝好Wireshark之后，啟動Wireshark并且在接口列表中選擇接口名，然后開始在此接口上抓包。例如，如果想要在無線網(wǎng)絡(luò)上抓取流量，點擊無線接口。點擊【捕獲】——【選項】可以配置高級屬性，但現(xiàn)在無此必要。

　　點擊接口名稱之后，就可以看到實時接收的報文。軟件會捕捉系統(tǒng)發(fā)送和接收的每一個報文。如果抓取的接口是無線并且選項選取的是混合模式，那么也會看到網(wǎng)絡(luò)上其他報文。

　　上端面板每一行對應(yīng)一個網(wǎng)絡(luò)報文，默認顯示報文接收時間（相對開始抓取的時間點），源和目標(biāo)IP地址，使用協(xié)議和報文相關(guān)信息。點擊某一行可以在下面兩個窗口看到更多信息。“+”圖標(biāo)顯示報文里面每一層的詳細信息。底端窗口同時以十六進制和ASCII碼的方式列出報文內(nèi)容。

　　色彩標(biāo)識:

　　進行到這里已經(jīng)看到報文以綠色，藍色，黑色顯示出來。Wireshark通過顏色讓各種流量的報文一目了然。比如默認綠色是TCP報文，深藍色是DNS，淺藍是UDP，黑色標(biāo)識出有問題的TCP報文——比如亂序報文。

　　報文樣本:

　　比如說你在家安裝了Wireshark，但家用LAN環(huán)境下沒有感興趣的報文可供觀察，那么可以去Wireshark wiki下載報文樣本文件。

　　打開一個抓取文件相當(dāng)簡單，在主界面上點擊Open并瀏覽文件即可。也可以在Wireshark里保存自己的抓包文件并稍后打開。

　　過濾報文:

　　如果正在嘗試分析問題，比如打電話的時候某一程序發(fā)送的報文，可以關(guān)閉所有其他使用網(wǎng)絡(luò)的應(yīng)用來減少流量。但還是可能有大批報文需要篩選，這時要用到Wireshark過濾器。

　　最基本的方式就是在窗口頂端過濾欄輸入并點擊【應(yīng)用】（或按下回車）。例如，輸入“dns”就會只看到DNS報文。輸入的時候，Wireshark會幫助自動完成過濾條件。

　　過濾報文:

　　如果正在嘗試分析問題，比如打電話的時候某一程序發(fā)送的報文，可以關(guān)閉所有其他使用網(wǎng)絡(luò)的應(yīng)用來減少流量。但還是可能有大批報文需要篩選，這時要用到Wireshark過濾器。

　　最基本的方式就是在窗口頂端過濾欄輸入并點擊Apply（或按下回車）。例如，輸入“dns”就會只看到DNS報文。輸入的時候，Wireshark會幫助自動完成過濾條件。

　　也可以點擊【分析】菜單并選擇【顯示過濾器】來創(chuàng)建新的過濾條件。

　　另一件很有趣的事情是你可以右鍵報文并選擇Follow TCP Stream。

　　你會看到在服務(wù)器和目標(biāo)端之間的全部會話。

　　關(guān)閉窗口之后，你會發(fā)現(xiàn)過濾條件自動被引用了——Wireshark顯示構(gòu)成會話的報文。