《精通Wireshark》—第2章2.6节总结

本节书摘来自异步社区《精通Wireshark》一书中的第2章2.6节总结，作者【印度】Charit Mishra（夏里特 米什拉）,更多章节内容可以访问云栖社区“异步社区”公众号查看。

2.6 总结
在有些情况下，搜索工具十分好用，用户可以在Wireshark的Edit菜单中打开搜索工具。搜索工具为用户提供了很多搜索数据包内容的向量。

用户可以通过过滤流量的方式，来把注意力放在那些自己真正感兴趣的数据包上；过滤器的类型有两种：显示过滤器和抓包过滤器。

显示过滤器会把数据包隐藏起来，一旦用户清除了自己配置的过滤器表达式，所有隐藏的信息都会再次出现。但抓包过滤器会丢弃那些不满足（用户所定义的）表达式的数据包。Wireshark不会将这些丢弃的数据包转交给抓包引擎。

抓包过滤器使用了BPF语法，这种语法是行业标准，很多协议分析软件使用的都是这种语法。

在使用一种特定的表达式来过滤某一类流量时，用颜色标记流量的做法可以发挥重要的作用。给不同的流量标记不同的颜色可以让用户更容易区分不同类型的数据包，因为匹配规则的数据包在软件界面中会以一种不同的颜色显示出来。

配置文件类似于用户定义的不同软件使用环境，配置文件可以节省网络管理员的时间，减轻管理员的工作。对配置文件进行修改包括对配置文件中不同元素进行修改，如显示过滤器/抓包过滤器和色彩/协议/时间的优先顺序。

Wireshark的配置文件和许多设置参数都很容易导出，因此Wireshark这款软件的移植性是很强的。

在下一章中，我们会介绍如何使用Wireshark的一些高级特性，如图表和统计数据可选项。

wireshark 抓包使用 背景： 此片文章意在介绍 Wireshark 的基本抓包使用，没有复杂介绍，请各位知晓 功能介绍 wireshark 安装完后可能有中英文两种，但是操作区域基本都是一致； 1 Wireshark 读到本机所有的网络接口，包含虚拟和物理网络接口； 2 填写 Wireshark 的抓包捕获条件，比如最简单的域名匹配抓包 host www.
网络抓包工具wireshark and tcpdump 及其实现基于的libpcap 最近无意中看到博客园中一篇介绍wireshark的文章，写得不错,它简单清楚介绍了wireshark的使用 wireshark以前叫做Ethereal, 在大学时候的网络课程中就常看到它，它是世界上最流行的网络抓包分析工具(world s most popular network protocol analyzer)，它是基于图形界面的，官网有介绍wireshark是1998年的一个项目衍生出来的，它有比较强大的特性，可以用来分析数百种网络协议。
WireShark 使用 1、干货 Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。
异步社区 异步社区(www.epubit.com)是人民邮电出版社旗下IT专业图书旗舰社区，也是国内领先的IT专业图书社区，致力于优质学习内容的出版和分享，实现了纸书电子书的同步上架，于2015年8月上线运营。公众号【异步图书】，每日赠送异步新书。