1,wireshark支持的协议上千种,开源的。
2,wireshark需要winpcap驱动支持。winpcap驱动的作用通过操作系统捕捉原始数据包、应用过滤器、将网卡切换为混杂模式。
3,捕获文件可以保存,可以导出(导出为其他格式的数据,通过其他工具进行分析),可以与其他的捕获文件合并然后进行分析。
ip数据包分析源代码、4,通过ctrl+F快捷键来查找自己想要分析的数据包。当然可以直接在界面上通过BPF语法写显示过滤器。
5,可以设置捕获过滤器。
6,显示过滤器与捕获过滤器的区别是:捕获过滤器是按照过滤器的规则捕获数据包。显示过滤器是捕获所有的数据包,然后将结果进行过滤显示。
7,ctrl+M对数据包进行标记和解除标记。
数据包分析。8,可以设置时间的显示格式及显示精度。
9,可以通过设置某一个数据包为相对时间参考。当然这个功能需要配合第8点中设置时间显示格式为 相对于捕获开始的时间
10,BPF语法介绍:
wireshark分析,
5,协议域过滤器。很关键。
Wireshark数据包分析实战,
