Wireshark简介
协议分析(Protocol Analysis)(也称呼为网络分析-Network Analysis)是进入网络通信系统,捕获穿行在网络中的数据,搜集网络统计信息,将数据包解码为可阅读形式的过程。Wireshark 是使用最为广泛的网络协议分析器,从本质上来说,协议分析器是窃听网络通信。Wireshark通常被用来诊断网络通信故障、测试网络、搜集网络性能趋势数据等 。
前置知识
http协议
网卡
网卡(NIC)是局域网(LAN,全称是:Local Area NetWork)中连接计算机和传输介质的接口,它工作在物理层(L1)。它是处于主机箱内的一块网络接口板,因为它的存在,从而使得本机能够与外部局域网进行连接通信。
任何一台计算机,想要进行上网、通信功能,就必须使用网卡。
网卡的书面语是网络适配器/网络接口卡。
Wireshark协议分析器主要是用来对网络中流入到本机计算机的数据包进行捕获并分析,因此它和网卡的关系极为亲近,没有网卡就没有协议分析器。
网卡分类
网卡种类很多,若按照数据链路层的控制来分,则有:以太网卡、令牌环网卡和ATM网卡等;若是按照物理层来分,则有无线网卡、光线网卡、同轴电缆网卡等。它们在数据链路层的控制、寻址及帧结构不同;物理上的链接方式不同、编码方式不同、信号传输介质不同以及电平高低位不同等。
局域网LAN
用于机构内部通信与信息传递。通常使用以太网技术在公司、学习等局部的范围内部构建一个网络。LAN可以分为有线(使用双绞线,光纤、电缆等)LAN如以太网和无线(使用电波)LAN如WLAN。
原理
wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。因为网络上传输的数据包通过网卡进入到网络协议分析器系统。
混杂模式与监视模式区别
监视模式仅用于无线卡,混杂模式用于无线和有线。监控模式使卡无需关联接入点即可侦听无线数据包。混杂模式使卡可以侦听所有数据包,即使不是针对其的数据包。
显示过滤器
显示过滤器支持若干的过滤选项:源MAC, 目的MAC, 源IP, 目的IP, TCP/UDP传输协议,应用层协议(HTTP, DHCP等待), 源端口Port, 目的端口Port等。
经常用到捕获或者显示过滤器来对某一个协议进行过滤,来只查看该协议的流量
localhost问题
wireshark默认不支持监控本地回环数据
wireshark看不到访问localhost的流量,只能看到经过网卡的流量。这在开发过程中导致无法调试自己本地localhost的接口。
具体解决方法见参考链接3
参考链接
wireshark 捕获http协议_Wireshark之抓包原理剖析