Wireshark 簡單使用

     Wireshark是一款比較常用的抓包軟體，重點在于免費，功能依舊強大。至于抓包的使用就看個人了，本人作為網絡初學者，隻是用來做一些簡單的，平日要用到的協定的分析。鑒于這軟體的說明有幾十頁的英文，暫時還沒有時間去透徹的研究，隻求上手，抓包，然後分析下協定，因為有時候需要手工用TCP、UDP協定運送點應用層協定的資料。

     如果是從伺服器端進行抓包會比較輕松些，比如我的伺服器是fedora13，我有安裝Apache伺服器，并做了個簡單的html檔案，想了解下HTTP協定，這時候打開Wireshark，選擇Capture—> Options 選擇好連接配接用戶端的網卡，Capture Filter後面填上Port 80（Http預設服務端口），當然本來也内置了一些Filter，但不夠多，如果想要同時檢測兩個端口就需要or來連接配接，如Port 80 or Port 8080，有時候也可以用and的連接配接，如去除arp時，可以加上 and no arp，然後start，就隻抓指定Port的資料了，這點在學習時還是比較好用的，當然也需要知道一些常用的端口，不知道的話也可以netstat一下，當然想在伺服器端抓包的話平日還是比較有難度的。

     如果是作為用戶端來抓包的，以上的方法就有點不适用，因為客戶請求的TCP或UDP端口是不固定的，想要穩定的抓包有點困難，這時就全部抓包吧，或者去掉broadcast 和arp等之後再抓包，這樣資料包會少點，Start之後這個資料包的量會很多，如果隻需要檢視http的話還得用上Filter，預設應該是有開啟Filter工具視圖的，否則在View中點選即可，然後可以直接輸入http回車就可以看到隻有http包被顯示出來了，當然也可以過濾出其他一些協定，但這種方法我用的還不太熟，有些協定名輸入後回車它并不給濾除，Filter顯示紅色，等以後有時間還需要學習下。這種過濾隻是在顯示中過濾，真正抓的包是很多的，和之前那種抓包是不一樣的。當然全部抓包的用途就很廣了…

     以上隻是最近在學習協定時知道的一點Wireshark的用法，比較基礎，以上。