工具——wireshark

【历史】
作者Gerald Combs 前身Ethereal 1998年开源发布 sectools安全工具榜稳居榜首 官网：http://www.wireshark.org/

【工作原理】同类软件：sniffer、Omnipeek
正常情况下，网卡收到数据帧时，会查看目的mac和本网卡mac是否相同，不同则丢弃，相同则接收帧并提交给上一层处理。对广播帧，网卡接收但不作处理。
启动wireshark后，网卡被置为混杂模式，只要数据帧到达网卡，均交给wireshark处理。

【过滤器简介】
一种是显示过滤器，表达式规则
    协议过滤
    ip过滤
    端口过滤
    http模式过滤
    逻辑运算符为and/or
    
    示例：
        tcp.port==80
一种是捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录。设置路径Capture->Capture Filters/捕获->输入->最下方填写过滤器

【显示过滤器】适用流量不大的情况，个人用户常用
ip.addr == 192.168.0.1        //筛选出含有ip地址192.168.0.1的包
ip.src == 192.168.0.1        //筛选出源地址为192.168.0.1的包
ip.dst == 192.168.0.1        //筛选出目的地址为192.168.0.1的包
.len<=128                //只显示长度小于128字节的包
tcp.port == 80                //只显示含有端口80的包
tcp.dstport == 25            //只显示目的tcp端口为25的包
tcp.port>1024                //只显示tcp端口号大于1024的包
http                        //只显示http协议的包
http or arp                    //只显示http或ARP协议的包
snmp || dns || icmp            //显示采用SNMP或dns或icmp协议的包
not arp                        //不显示arp协议的包
!tcp                        //不显示tcp协议的包
!(ip.addr == 192.168.0.1)    //排除含有ip为192.168.0.1的包

【捕获过滤器】抓取时的过滤为了节省性能/老版本选中网卡双击后配置再start开始抓包
语法格式:协议 方向 类型 数据
协议：ether/ip/arp/tcp/udp/http/ftp/默认使用所有支持的协议
方向：src/dst/默认使用src or dst 例：host 10.2.2.2例：src or dst host 10.2.2.2
类型：net/port/host/默认使用 host例：src 10.1.1.1 例：src host 10.1.1.1

逻辑运算符
与 &&
或 ||
非 ！
例：src 192.168.0.10 && port 80 即抓源地址指定源端口或目的端口80的数据包

例：根据主机名和地址过滤
host 192.169.0.10        //只抓取ip为192.169.0.10的数据包
ether host 00-50-56-C0-00-01        //指定MAC地址过滤
src host 192.168.0.10        //从192.169.0.10发出的包
dst host 192.169.0.10        //发往192.169.0.10的包
ether src host 00-50-56-C0-00-01        //从00-50-56-C0-00-01发出的包
ether dst host 00-50-56-C0-00-01        //发往00-50-56-C0-00-01的包

例：根据端口和协议过滤
port 8080        //只抓端口8080
!port 8080        //抓端口8080以外的流量
dst port 8080        //只抓前往端口8080的流量
icmp        //只抓icmp流量
！broadcast            //不抓广播包

【封包详细信息】
: 
        物理层信息|wireshark添加，捕获时间+编号+帧长度+帧所含协议
Ethernet II: 
        数据链路层信息|目的MAC地址+源MAC地址+上层协议类型+数据字段+校验
Internet Protocol Version 4:
        网络层信息|版本、头部长度、总长度、标志位、源/目的ip地址、上层协议等
Transmission Control Protocol:
        传输层信息|源/目的端口、序列号、期望的下个序列号、确认号、头部长度、标志位、窗口长度、校验和等
Data:
        应用层信息|内容由应用层协议决定、此处为ftp协议显示响应内容