Wireshark (之前被称为 Ethereal) 是一个网络封包分析软件，接收网络封包，并尽可能显示出最为详细的网络报文资料，这里详细介绍其使用方式。

简介 #

在 CentOS 中，wireshark 的安装包是在官方库中的，可以直接通过如下方式安装。

# yum install wireshark-gnome
# apt install wireshark

Wireshark 可以通过颜色标示报文，默认绿色是 TCP 报文、深蓝色是 DNS、浅蓝是 UDP、黑色标识出有问题的 TCP 报文 (比如乱序报文)。

示例 #

常用表达式包括了 eq == and or ! 和 not 。

----- 针对源或者目的地址过滤
ip.src == 192.168.0.1
ip.dst == 192.168.0.1
----- 可以是源或者目的地址
ip.addr == 192.168.0.1
ip.src == 192.168.0.1 or ip.dst == 192.168.0.1

----- 过滤特定的协议
http or telnet

----- 针对特定端口过滤
tcp.port == 80
udp.port >= 2048

参考 #

• Sample Captures 可以离线参考的示例，包括了 MySQL、ARP、HTTP等协议，同时有些相关协议介绍，例如 SSH 协议。
• 一站式学习Wireshark 一系列介绍 WireShark 的文章。