開始之前，需要對一些專有名詞進行說明。本系列教程會涉及到數(shù)據(jù)包/分組/幀、會話/流的概念，這些概念確實有一些差異，但是這些差異不影響軟件的使用，所以這里并不對這些名詞進行詳細的區(qū)分。要理解各個名詞的具體定義，可以參考網(wǎng)絡(luò)上的各種教程。

本系列文章主要針對新手編寫，學(xué)習(xí)?Wireshark 的目的側(cè)重于協(xié)議逆向而非網(wǎng)絡(luò)故障分析。

接下來是正文。

1. Wireshark 的誕生歷史

Wireshark?是一款免費開源的數(shù)據(jù)包嗅探器/分析器，可用于捕獲網(wǎng)絡(luò)上的數(shù)據(jù)包。Wireshark 最初的版本叫做?Ethereal，由 Gerald Combs 于1998年發(fā)布，Wireshark 軟件和官網(wǎng)上都可以看到他的名字排在首位：

Wireshark 作者列表

2006年5月，Gerald Combs前往CACE Technologies工作，但是他沒能拿到 Ethereal 的商標權(quán)。為了保證項目成功運行下去，Combs 和他的開發(fā)團隊在?2006 年年中將這個項目重新命名為 Wireshark。

隨著 Combs?和其他貢獻者在接下來十幾年內(nèi)持續(xù)維護 Wireshark 的代碼并發(fā)布新版本，Wireshark 已經(jīng)成為世界上最流行的數(shù)據(jù)包分析/嗅探軟件之一。

? ? ? ?

上述的 Wireshark 歷史在網(wǎng)絡(luò)上很容易查到，但是這些資料并未提及 Combs 為何要將該軟件取名為 Wireshark。

官網(wǎng)上有這樣一個問題可以參考：

photoshopia含義未知

這個回答中的 carcharodon 無疑讓人想起了最有名的鯊魚——大白鯊 (Carcharodon carcharias)。

wire意為線纜，故用wireshark（網(wǎng)線鯊魚）來命名數(shù)據(jù)包嗅探器真是再合適不過了。

2. Wireshark 能做什么/不能做什么

• 支持實時捕獲數(shù)據(jù)并保存為pcap文件

• 支持從已經(jīng)捕獲的數(shù)據(jù)包中讀取數(shù)據(jù)；

• 支持超過1000種標準/專用協(xié)議解析

• 支持創(chuàng)建插件解析私有協(xié)議；

• 支持使用捕獲和顯示過濾器細化數(shù)據(jù)；

• 支持TLS協(xié)議解密（設(shè)置比較復(fù)雜，不如使用charles/burp/fidder方便）

• 不支持編輯修改數(shù)據(jù)包（需要編輯數(shù)據(jù)包建議使用 WireEdit）

• 不支持入侵/檢測異常流量

  
  

3.?下載 Wireshark

可以到?Wireshark?官網(wǎng)上下載安裝包，建議下載最新版本，老版本的某些功能可能會出問題。

下載完成后，雙擊安裝包安裝。記得選中 Npcap，其他選項默認即可。

4.?認識?Wireshark 主界面? ??

4.1 開始捕獲前的界面

打開 Wireshark?，初始界面從上到下是主工具欄、顯示和捕獲過濾器以及狀態(tài)工具欄。

主工具欄包含了開始捕獲、停止捕獲、顯示最新分組等操作的按鍵；

顯示過濾器可輸入過濾規(guī)則，使分組列表窗口僅顯示符合規(guī)則的數(shù)據(jù)包；

捕獲過濾器可輸入規(guī)則，在抓包的時候捕獲符合規(guī)則的數(shù)據(jù)包；

狀態(tài)工具欄則顯示軟件當(dāng)前狀態(tài)與已捕獲&顯示的分組數(shù)量。

4.2 捕獲時的界面

開始捕獲后，Wireshark 會將捕獲到的報文顯示在界面上。

分組列表顯示所有捕獲到的報文，頂部為報文序號等各種關(guān)鍵字段；

分組詳情顯示選中報文的分層情況；

分組字節(jié)流顯示選中報文的16進制與ASCII碼編碼的字節(jié)流。

• 分組列表

分組列表顯示每個數(shù)據(jù)包的各種字段，并默認按照序號/捕獲時間升序排列分組。

若想要以某個字段降序排列，點擊該字段即可。

為了方便我們查看報文中的關(guān)鍵字段，可以右鍵字段欄，點擊 Column Preferences，添加字段。這里我添加了 HTTP 協(xié)議的 host 字段和 TLS 協(xié)議的 servername 字段。

在這些列中，最左側(cè)的No.列需要額外說明一下。

選中某個數(shù)據(jù)包時，Wireshark分組列表的No.列會顯示一些符號，這些符號標識的是數(shù)據(jù)包與數(shù)據(jù)包之間的關(guān)系，這里羅列一下 Wireshark 官網(wǎng)的解釋：

• 分組詳情

分組詳情窗口是TCP/IP五層模型最好的結(jié)構(gòu)化展示，從上到下分別是：

展開各層，能看到 Wireshark 對各個字段的解析和注釋。

標準協(xié)議的 RFC 文檔閱讀起來比較費勁，對照 Wireshark 的解析，能更好地理解標準協(xié)議的字段格式。

部分分組的分組詳情窗口內(nèi)包含 URI 超鏈接，或者與其有關(guān)系的另一個分組的超鏈接，雙擊即可跳轉(zhuǎn)。

• 分組字節(jié)流
  

分組字節(jié)流窗口中顯示的是十六進制與ASCII字符對照形式的分組字節(jié)內(nèi)容（從以太層開始的字節(jié)）。

分組字節(jié)流窗口中的字節(jié)和分組詳情中的字段是一一對應(yīng)的：

· 點擊字段會選中字節(jié)內(nèi)容；

· 點擊某字節(jié)的16進制值會選中對應(yīng)的字段。

分組字節(jié)流窗口中的十六進制與ASCII字符也是一一對應(yīng)的，可以使用這個窗口來觀察一些私有協(xié)議的字段格式：

從分組列表到分組詳情，再到分組字節(jié)流，我們看到了 Wireshark 是如何從大到小為我們顯示多個分組——單個分組的多層結(jié)構(gòu)——未解析時的原始字節(jié)流。從下而上逆推，我們可以體會到網(wǎng)卡和協(xié)議棧是如何實現(xiàn)數(shù)據(jù)包解析的：

• 主工具欄中常用的按鍵

實踐中有4個按鍵比較常用：開始捕獲、停止捕獲、重新開始捕獲和顯示最新的分組。

捕獲的三個按鍵比較好理解，不做解釋。選中顯示最新的分組后，分組列表會一直滾動顯示最新捕獲的分組。如果要查看某個報文，可以滾動鼠標滑輪，此時分組詳情會停止?jié)L動。

5. 總結(jié)及參考文獻

作為教程的第一篇，本文簡要回顧了 Wireshark 的歷史，并詳細描述了 Wireshark 主界面的各個區(qū)域的作用與一些操作上的細節(jié)。下一篇將開始介紹如何捕獲數(shù)據(jù)包。

Wireshark 的使用教程網(wǎng)上已經(jīng)十分泛濫，但是大部分都比較零散，我這邊的教程爭取寫得細致一些，把圖片做得清晰易懂一點，力求讀者在幾天之內(nèi)就能入門 Wireshark。

某些部分要詳細說的話可以說很多，比如 Wireshark 的作者為什么要在那個年代創(chuàng)造這樣一款開源的軟件，比如 Wireshark 如何調(diào)整著色規(guī)則、字體大小、時間顯示格式等等，但是這樣一來文章就會比較長，既然是要寫給新手看就不要那么冗長，否則就很容易變成只是把知識點單純羅列下來的無聊文章。我在本文以及接下來幾篇文章中列舉的操作，都是在剛開始使用 Wireshark 的時候有過疑惑，或者是在工作中經(jīng)常使用的細節(jié)，這也是希望這個教程盡可能避免 “知識的詛咒” 吧 。

參考資料

[1] Chris?Sanders,諸葛建偉譯,2018.Wireshark 數(shù)據(jù)包分析實戰(zhàn)(第 3 版).人民郵電出版社

[2] https://en.wikipedia.org/wiki/Wireshark

[3] https://www.wireshark.org/faq.html

[4]?https://www.rfc-editor.org/rfc/rfc791.html

?????