wireshark是一款專業的網絡協議檢測工具， 是世界上最流行的網絡協議分析器，包含有強顯示過濾器語言(rich display filter language)和查看TCP會話重構流的能力，被稱為網絡分析專業的常青樹。wireshark是目前世界上最流行、又完全免費的網絡分析器程序應用，在并不受其他數據影響的情況下，幫助自己在網絡海洋中快速、精確的打撈上自己所需要的程序文件數據。該軟件適用于網絡管理員、網絡安全程序師、甚至于普通新手用戶等不同身份的用戶通過它大量的排序和過濾選項為新的通訊協定除錯，或者學習到一些相關網絡知識！

wireshark表達方式規則

一、【抓包過濾器語法和實例】
抓包過濾器類型Type（host、net、port）、方向Dir（src、dst）、協議Proto（ether、ip、tcp、udp、http、icmp、ftp等）、邏輯運算符（&& 與、|| 或、！非）
1、協議過濾
比較簡單，直接在抓包過濾框中直接輸入協議名即可。
TCP，只顯示TCP協議的數據包列表
HTTP，只查看HTTP協議的數據包列表
ICMP，只顯示ICMP協議的數據包列表
2、IP過濾
host 192.168.1.104
src host 192.168.1.104
dst host 192.168.1.104
3、端口過濾
port 80
src port 80
dst port 80
4、邏輯運算符&& 與、|| 或、！非
src host 192.168.1.104 && dst port 80 抓取主機地址為192.168.1.80、目的端口為80的數據包
host 192.168.1.104 || host 192.168.1.102 抓取主機為192.168.1.104或者192.168.1.102的數據包
！broadcast 不抓取廣播數據包
二、顯示過濾器語法和實例
1、比較操作符
比較操作符有== 等于、！= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于。
2、協議過濾
比較簡單，直接在Filter框中直接輸入協議名即可。注意：協議名稱需要輸入小寫。
tcp，只顯示TCP協議的數據包列表
http，只查看HTTP協議的數據包列表
icmp，只顯示ICMP協議的數據包列表

3、 ip過濾
ip.src ==192.168.1.104 顯示源地址為192.168.1.104的數據包列表
ip.dst==192.168.1.104, 顯示目標地址為192.168.1.104的數據包列表
ip.addr == 192.168.1.104 顯示源IP地址或目標IP地址為192.168.1.104的數據包列表

4、端口過濾
tcp.port ==80,顯示源主機或者目的主機端口為80的數據包列表。
tcp.srcport == 80,只顯示TCP協議的源主機端口為80的數據包列表。
tcp.dstport == 80，只顯示TCP協議的目的主機端口為80的數據包列表。

5、 Http模式過濾
http.request.method=="GET",只顯示HTTP GET方法的。
6、邏輯運算符為 and/or/not
過濾多個條件組合時，使用and/or。比如獲取IP地址為192.168.1.104的ICMP數據包表達式為ip.addr == 192.168.1.104 and icmp

7、按照數據包內容過濾。假設我要以IMCP層中的內容進行過濾，可以單擊選中界面中的碼流，在下方進行選中數據。如下

右鍵單擊選中后出現如下界面；

選中Select后在過濾器中，后面條件表達式就需要自己填寫。如下我想過濾出data數據包中包含內容的數據流。包含的關鍵詞是contains 后面跟上內容

wireshark優勢

1、支持的操作系統
軟件對主流的操作系統都提供了支持,其中包括Windows、MacOSX以及基于Linux的系統。
2、使用捕獲過濾器
通過設置捕獲過濾器，可以避免產生過大的捕獲文件。這樣用戶在分析數據時，也不會受其它數據干擾。而且，還可以為用戶節約大量的時間。
3、選擇捕獲接口
一般都是選擇連接到Internet網絡的接口，這樣才可以捕獲到與網絡相關的數據。否則，捕獲到的其它數據對自己也沒有任何幫助。
4、重組數據
Wireshark的重組功能，可以重組一個會話中不同數據包的信息，或者是一個重組一個完整的圖片或文件。由于傳輸的文件往往較大，所以信息分布在多個數據包中。為了能夠查看到整個圖片或文件，這時候就需要使用重組數據的方法來實現。
5、免費
由于軟件是開源的,它在價格上面是無以匹敵的，軟件是遵循GPL協議發布的自由軟件,任何人無論出于私人還是商業目的,都可以下載并且使用。
6、用戶友好度
軟件的界面是數據包嗅探工具中最容易理解的工具之一。基于GUI,并提供了清晰的菜單欄和簡明的布局

wireshark特色

1、支持 UNIX 和 Windows 平臺
2、在接口實時捕捉包
3、能詳細顯示包的詳細協議信息
4、可以打開/保存捕捉的包
5、可以導入導出其他捕捉程序支持的包數據格式
6、可以通過多種方式過濾包
7、多種方式查找包
8、通過過濾以多種色彩顯示包
9、創建多種統計分析

wireshark幫助

1、明確Wireshark的部位
要是沒有一個正確位子，運行Wireshark之后耗費很長時間捕獲一些和自己不相干的數據。
2、挑選捕獲插口
一般都會選擇傳送到Internet網絡的插口，這樣才能夠捕獲到與網絡相關的數據。不然，捕獲過的其他數據對自身沒有任何協助。
3、應用捕獲過濾器
可設置捕獲過濾器，能夠避免造成過大捕獲文檔。那樣客戶在剖析數據時，都不會受其他數據影響。并且，還能夠為顧客節省大量時間。
4、應用表明過濾器
一般應用捕獲過濾器過慮后數據，通常還是非常繁雜。為了能讓過慮的數據包再更具體，這時應用表明過濾器開展過慮。
5、應用上色標準
一般應用表明過濾器過慮后數據，都是有效的數據包。如果要更突出的表明某一對話，可以用上色標準突出顯示。
6、搭建數據圖表
假如客戶需要更突出的看得出一個網絡里數據的變化趨勢，應用數據圖表的方式能夠非常方便呈現數據分布特征。
7、重組數據
Wireshark的重組作用，能夠重組一個會話中不一樣數據包的信息，或者一個重組一個完整的照片或文檔。因為傳送文件通常比較大，因此信息遍布在各個數據包中。為了能查詢到所有照片或文檔，這個時候就需要應用重組數據的方法去完成