Wireshark的下载安装及简单使用教程

一、下载

下载地址：https://www.wireshark.org/download.html
打开后是这样的界面，点击相应的版本下载（一般是64位的windows系统）：

二、安装

下载完成，开始安装
双击下载完成的应用

然后按我图中的标注一路往下点就可以

这里可以自己选择安装路径，默认是C盘。

下面点击Install后，安装过程中会跳出另一个安装界面。不用管，直接默认即可。

安装完后是这样的

然后下面如过选择Rebot now，电脑会重启，重启后安装结束。如果现在不方便重启，可先选择I want to manually reboot later选项。

重启后，可在电脑的开始菜单栏看到安装的Wireshark，点击即可启动。

三、简单使用教程

启动后的界面如下，因为我用的WLAN，所以选择WLAN，然后点击左上角的start按钮。

开始之后的页面是这样的

现在正在捕获中，如果要停止捕获，我们就点击捕获->停止即可。下面是停止捕获的界面

我们可以看到，捕获到的信息非常多，但我们需要的信息找不到，这时我们可以用显示过滤器进行过滤。显示过滤器就是在捕获完成后对捕获到的信息进行过滤，使得显示的信息是我们想看到的。还有一个过滤器叫捕获过滤器，我们在下面会讲到。
在显示过滤器中输入tcp，只显示tcp协议

在显示过滤器中输入ip.src==120.199.94.46，显示源地址为120.199.94.46的报文

在过滤器中输入tcp.port ==80显示TCP协议的端口为80的报文

在过滤器中输入tcp.port == 80 || udp.port == 80，显示TCP协议和UDP协议端口均为80的报文

下面展示如何用wireshark分析TCP三次握手建立连接。
Step1：启动wireshark抓包，打开浏览器输入www.huawei.com
Step2：使用ping www.huawei.com获取IP

Step3：输入过滤条件获取待分析数据包列表 ip.addr == 111.1.59.189

图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的，这说明HTTP的确是使用TCP建立连接的。
下面我们来仔细看一下这三次握手：
第一次握手数据包
客户端发送一个TCP连接请求
源端口：54824
目的端口：88
序列号：0
确认号：初始为0
标志位：SYN

第二次握手的数据包
服务器发回确认包
源端口：88
目的端口：54824
序列号：0
确认号：1
标志位：SYN+ACK

第三次握手的数据包
客户端发送确认包
源端口：54824
目的端口：88
序列号：1
确认号：1
标志位：ACK

就这样通过了TCP三次握手，建立了连接。

补一个四次挥手，之前一直没有捕捉到，突然间发现了。

详细的四次挥手过程就不讲了，可以通过查看详细信息获取。

写在最后：Wireshark今天第一次用，还是很不熟练，有不对的地方，望大家指正。