WireShark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容,总结,如果是处理HTTP,HTTPS 还是用Fiddler,** 其他协议比如TCP,UDP 就用wireshark.**
环境:Wireshark-win64-2.0.5
下载安装
Windows安装
百度下载Wireshark安装包,安装即可。
CentOS安装
CentOS的发行光盘里本身是有wireshark的rpm的,如果安装系统时组件没选上,那么可以从安装光盘里找。如能连网,那么用yum是最简单的:
yum install wireshark
yum install wireshark-gnome
注意wireshark包本身只包含文本工具,这样并无法使用wireshark和图形界面。但提供了抓包基本功能。wireshark-gnome才提供wireshark(UI)工具,它依赖wireshark RPM。
开始抓包
初始界面:
Wireshare捕获某一块网卡的网络包,当你的机器上有多快网卡,需要选定一块网卡!
点击【Inteface list】出现以下界面,选择正确的网卡信息,点击【Start】,开始抓包
窗口介绍
具体选项分析
- MENUS(菜单)
- SHORTCUTS(快捷方式)
- DISPLAY FILTER(显示过滤器)
- PACKET LIST PANE(封包列表)
- PACKET DETAILS PANE(封包详细信息)
- DISSECTOR PANE(16进制数据)
- MISCELLANOUS(杂项)
注意:在快捷方式里面有一选项Colorize Packet List,会根据报文的不同用颜色区分(我这里就不展示了)
抓包数据分析
一段HTTP建联过程(三次握手)
以某一段数据包分析(这里是以第三个包分析)
附图:TCP报文格式(详细了解点击:http://blog.csdn.net/u011244446/article/details/47176025)
注意:右击鼠标---->Follow TCP Stream 显示服务器和目标之间的全部的对话 如下
HTTP数据包分析
HTTP分为请求报文、响应报文
请求报文分析:
响应报文分析:
附图:HTTP请求报文AND响应报文(详情点击:http://www.admin10000.com/document/5885.html)
Wireshare数据包过滤
点击---->Filter,创建新的过滤条件
