开启掘金成长之旅！这是我参与「掘金日新计划 · 12 月更文挑战」的第十一天，点击查看活动详情

学会如何用wireshark进行分析

当用户分析分组时，可以快速查找及复制分组信息。如果用户捕获的文件较多，可以通过显示过滤器、字符串或表达式等方式，快速查找匹配的分组信息。如果用户需要某个字段值时，则可以通过复制的功能来获取其信息。

搜索

搜索无疑是很重要的一部分,在文本,在编译器,在页面,在word等等地方我都会用到搜索这个功能,这样他能很快定位到包含该内容的数据,Wireshark提供了一个查找分组的功能，可以快速跳转到包含指定内容的数据包。

在该工具栏中，默认的值依次为分组列表、宽窄和显示过滤器。在“显示过滤器”下拉列表框中可选择查找的条件。其中，可以使用的查找分组条件包括显示过滤器、十六进制、字符串和正则表达式这4种方式。

• 显示过滤器：通过使用显示过滤器快速查找分组
• 十六进制：通过使用十六进制值快速查找分组
• 字符串：通过使用字符串形式快速查找分组
• 正则表达式：通过使用一个正则表达式，快速查找分组

查找info中包含hello关键字

信息复制

Wireshark中提供了复制功能，可以用来复制分组的详细信息。用户通过选择分组或分组详情，展开不同的复制菜单，可以复制不同的信息。当我们想复制分组详细的内容,可以按照图片方式进行即可

我们还可以将复制处理的东西转换成csv,yaml,hex等等

时间分析

看到这个时间或许对于小白来说可能会有点懵逼,那我们就将其转换成我们能看得懂的时间格式.具体如下

时间格式有很多,不然个人比较喜欢日期和时间这种格式,因为这种相对来说看得懂一点,不过具体情况具体分析

时间参考

时间参考是所有后续包的起始时间。当用户想要知道某一个特定包的时间间隔时，设置时间参考非常有用，如分析TCP三次握手时间间隔。当用户设置某分组时间参考后，该分组将显示为REF，所有后续包都会以它的时间为基准进行显示。

例如我们想看请求一次https花费了多少时间

这种代表https的开始,我们现在选择他并设置时间参考

我们可以对比一下设置了时间参考和未设置时间参考的区别

我们根据图中就可以看到我们发送的一次https的请求还是很快的

协议解析

当用户在分析数据包时，还可以手动指定解析的协议。Wireshark默认启用了大部分的协议。但是一些不常用的协议可能没有启用。如果用户需要时，可以手动指定启用某个协议。

启动协议

在“已启用的协议”对话框中包括“协议”“描述”两列。其中，“协议”列显示了所有的协议名称，“描述”列则是对协议的描述。如果用户想要启用某协议，勾选协议名前面的复选框即可。在该对话框中，通过单击“全部启用”或“全部禁用”按钮，即可启用或禁用全部的协议。单击“反转”按钮，则表示取反。如果用户想要快速查找是否启用某协议，则可以在搜索框中输入协议名称进行搜索。

跳转分析

当用户捕获的数据包较多时，可以通过跳转的方式快速跳转到某个分组。其中，用户可以以多种方式跳转，如顺序跳转、指定跳转分组、对话内跳转和历史记录跳转

顺序跳转

顺序跳转则表示按照抓包顺序依次跳转。用户可以选择跳转到下一分组、前一分组、首个分组和最新分组。