Wireshark簡(jiǎn)明使用教程

Wireshark簡(jiǎn)明使用教程wireshark是一款抓包軟件，比較易用，在平?？梢岳盟グ治鰠f(xié)議或者監(jiān)控網(wǎng)絡(luò)，是一個(gè)比較好的工具。(1)Wireshark的啟動(dòng)界面和抓包界面啟動(dòng)界面：■TheWiif^^harlcNetwork日已印it邊ewG口匚apture Eimti5ticsT巳leplnnyIcnlsHelp鼠鼻蜜督麟i囹窗籬濟(jì)暴i%爭(zhēng)蹬曜蕃堡i國(guó)亙|敷鎮(zhèn)鼠.圈ia［兇盟參寫(xiě)Filter:■E明舊掃口「1...dearAppi/Filter:WIRESHARK1 TheWorld'sMostPopularFfctworkProtocolAnalyzeiFil心Fil心OP'11Opgnipr?Y?c4jdYc^plur4dFJtCapture國(guó)jInteif^c?ListLii/ahstoFIhs nt?tf4C4s［匚ounbsrcamrigStartc^turecriInterface:曲^d^pterfargeriertdldlMp日ndVPTJc^jturs迅RsatekLtVlT,：1000EthemetNIC'畏VMwar-zVrtu^lcthanstAdapter□panRecenl0SampleCaptuiesflricha&Eorlma-t口FmampBcaptirbfil&canthe*ulkiCaptureOptions5iartaciptur-e心th也:MedopHons抓包界面的啟動(dòng)是按file下的按鈕之后會(huì)出現(xiàn)甌 ireInterfacesDescription[pPacketsPackets/s擋甌 ireInterfacesDescription[pPacketsPackets/s擋Adapterforgeneric：dialupandVPNcaptureunknownua戰(zhàn)1nedtek1D/10D/1U0DEthernet以1匚10.10.115..34435G”WwareVirtualEizheinetAdapter□0Help回aS里StPD'Options塞tailsstart\option;DetailsStart.iOptionsdetailsclose這個(gè)是網(wǎng)卡的顯示，因?yàn)槲矣刑摂M機(jī)所以會(huì)顯示虛擬網(wǎng)卡，我們現(xiàn)在抓的是真實(shí)網(wǎng)卡上的包所以在以太網(wǎng)卡右邊點(diǎn)擊start開(kāi)始抓包團(tuán)Realtek10/100/1000EthernetNIC 36516團(tuán)Realtek10/100/1000EthernetNIC 36516Start.([Jiiiitkcl)“Wirpbhdrk .<5^_.([Jiiiitkcl)“Wirpbhdrk .<5^_上dtyjewQd即拍陽(yáng).酒palw 宙.?仃8咐啞—— _— _ 2.十?「It欄展程此寥訂曰h裁留曷嘆半尋邑同到吼成苗審E^cssbn...dea；呼匚 工具耗PJO.，Time20.005140M0.QQ10,0000001010.10.115.j09133■00911570.0317260.033010G.033529§0.O3J197100.C47B29\110.442-900220^161.37^210ID.ID.115.3PJO.，Time20.005140M0.QQ10,0000001010.10.115.j09133■00911570.0317260.033010G.033529§0.O3J197100.C47B29\110.442-900220^161.37^210ID.ID.115.3HonHaiPr_53：62：beQuantaCo_3a：42:caA5U5LBkL_24:f9：?2ccirtipdlin_a3:12:fe22D.1B1.37.21010-10.115-310lOulD.115.3220,101.37.21pHuawEiTeJc:4cl:c8HuawEiTe_3c：4d:c6HuawBlTa_3c：4d:csHUdWGlTS_3C：4d：C810-10-115-3122.207,150.76yNQ.443060fiL.154.2QQ.21n-^.4431000.0.73641.0472541.O47?R110-10-115.31222,200-99.175E11tEgro_9a:7a:01[巳'業(yè)i*i21B-14D.57.56IG.10.115.310,10,115.13HuaweiTe_3c：4d:c8HuawplTP!HTTPTCPTCPTCPEAPEAPEAPEAPTCPUDPUDPUDPUDPNBN5EAP 1200OKftext/YitmiBsp-encjhrip[FIN,alk]hnnp>esp-en[fin：,xuzk]esp-encap>http性K：Respon-5e『Unassigneo\Response,Iderrtity[RF、甲丁笠口旺pons巨,Unassigned廂叩口門(mén)非，unassignedhttpj-e-sp-encap[ACK]/3eq=□nurceport:nxlmdDestin.：sourceport:nxlestln^sourcepori:nxJMDestin-：i-^rtclrndDs-stin=K]5eq=SourceNamyNBSTArhMx。①5ponse,Unasslgnedpprnnn^P.Innpri I^Packet^etailWfei^pame*￡(fil)^ytesanmire,fifl^ytescaptured)Erhernei：Ll?src:Hingzhau_27：33:cs(00：^：52：27：33:c3)sdet^lnrBrnat_i8:21:1a(oo:sod:a.8:21:1a)「亍iErreS甲皿gf頊蟲(chóng)mli8LH.2：L0L22(j.l01aa7.21O：bD5B10,10.115.3(10.10.115TOC\o"1-5"\h\z000000Eli4d_-i8—e^3t Is-00nf "E2~2~7 JJ CJ08004500 ..甘"■…a'」...*口-r-<i=j—rj-j-ijr _.Sib一頑IBB5弛00 0032 D6 B39d de b525d2DaOa "L…A……流心上dCKElDyLESBll 一一一 ―一一：<l^p730300500aed88?5aO1c7d81d8ab5010 3..P...%….已 JUQ^-^^-5f^LQQQ'J0000DDQQ0000 .f...?…?. _— —~l— — 7\狀有巷y-tfe;‘血竺仍由［*1^兇出￡2…國(guó)u口世305口郵弟配305Marked0打叩pedD（2）Wireshark主窗口由如下部分組成：菜單一一用于開(kāi)始操作。主工具欄一一提供快速訪問(wèn)菜單中經(jīng)常用到的項(xiàng)目的功能。Fitertoolbar/過(guò)濾工具欄 提供處理當(dāng)前顯示過(guò)濾得方法。PacketList面板——顯示打開(kāi)文件的每個(gè)包的摘要。點(diǎn)擊面板中的單獨(dú)條目，包的其他情況將會(huì)顯示在另外兩個(gè)面板中。Packetdetail面板 顯示您在Packetlist面板中選擇的包的更多詳情。Packetbytes面板 顯示您在Packetlist面板選擇的包的數(shù)據(jù)，以及在Packetdetails面板高亮顯示的字段。狀態(tài)欄一一顯示當(dāng)前程序狀態(tài)以及捕捉數(shù)據(jù)的更多詳情。菜單欄主菜單包括以下幾個(gè)項(xiàng)目：File 包括打開(kāi)、合并捕捉文件，save/保存,Print/打印,Export/導(dǎo)出捕捉文件的全部或部分。以及退出Wireshark項(xiàng).Edit——包括如下項(xiàng)目：查找包，時(shí)間參考，標(biāo)記一個(gè)多個(gè)包，設(shè)置預(yù)設(shè)參數(shù)。（剪切，拷貝，粘貼不能立即執(zhí)行。）View——控制捕捉數(shù)據(jù)的顯示方式，包括顏色，字體縮放，將包顯示在分離的窗口，展開(kāi)或收縮詳情面版的地樹(shù)狀節(jié)點(diǎn)GO——包含到指定包的功能。Analyze——包含處理顯示過(guò)濾，允許或禁止分析協(xié)議，配置用戶指定解碼和追蹤TCP流等功能。Statistics——包括的菜單項(xiàng)用戶顯示多個(gè)統(tǒng)計(jì)窗口，包括關(guān)于捕捉包的摘要，協(xié)議層次統(tǒng)計(jì)等等。Help——包含一些輔助用戶的參考內(nèi)容。如訪問(wèn)一些基本的幫助文件，支持的協(xié)議列表，用戶手冊(cè)。在線訪問(wèn)一些網(wǎng)站，“關(guān)于”工具欄（略）過(guò)濾工具欄F[lter: TExpression...XlBarA口口小Filter:會(huì)彈出對(duì)話框

這個(gè)和在工具欄上輸入?yún)f(xié)議來(lái)查找包的結(jié)果是一樣的，只是它方便點(diǎn)ir:tcp|在工具欄上輸 匚點(diǎn)擊在此區(qū)域輸入或修改顯示的過(guò)濾字符，在輸入過(guò)程中會(huì)進(jìn)行語(yǔ)法檢查。如果您輸入的格式不正確，或者未輸入完成，則背景顯示為紅色。直到您輸入合法的表達(dá)式，背景會(huì)變?yōu)榫G色。你可以點(diǎn)擊下拉列表選擇您先前鍵入的過(guò)濾字符。列表會(huì)一直保留，即使您重新啟動(dòng)程序。注意：做完修改之后，記得點(diǎn)擊右邊的Apply（應(yīng)用）按鈕，或者回車(chē)，以使過(guò)濾生效。輸入框的內(nèi)容同時(shí)也是當(dāng)前過(guò)濾器的內(nèi)容（當(dāng)前過(guò)濾器的內(nèi)容會(huì)反映在輸入框）封包列表No.Time ^purese DesthatianProtocolInfoIM7,921999219,22].20^,2315.3UDP5burceport:nxl1247.92294910.ID.115.3ZU.85^152.49UDFiourceoori::nxl1^58.011604123.U.3.108.17810.ID.115.3UDF5ourceport:nxl1^68.40&951Hangzhou_27;33:匚MBraadcastARFwhohas10.10.U1278.408Z85Hangzhou_27;33:匚MBroadcastAB.Fwhuhas10.10.1112B8.409693Hangzhou_27:33:匚3BroadcastAR.Fwhohas10.10.111258.422027Hangzhou_27:33:匚3BroadcastARFwhohas10.10.1113D8.423371Hangzhou_27:33:匚3BroadcastARFwhohas10.10.111318.42^1714Hangzhou_27:33:匚mBroadcastAP.Fwhohas10.10.111328.432941Hangzhou_27:33:匚3BroadcastARFwhohas10.10.111338.43^1280Hangzhou_27:33:匚mBroadcastARFwhohas10.10.111348.435686Hangzhou_27:33:匚mBroadcastARFwhohas10.10.1113：5S.437963Hangzhou_27:32:匚MBraadcistAP.Pwhcihis10.10.11136S.439373Hangzhou_27:33:匚MBraadcistAP.Pwhohis10.10.11137.$.4泌化1O.2D.115.1355UDPSourceport:1QCZLMEMO513410.13.11b.219.132,62.QiUDPSourceport:ter135S.74904310.ID.151.136UDPSourceport:be>14DS.57>44110.10.115^4UDPSourceport:nxl:：-Fraitie123(248bytesonwire,248bytescaptured^i>EEherneTn?5rc:Hangzhou_27：33:c3COO:Of:e2:27:33:c3)?dst:inierneiz_a8:2L:la(OO:eO:4d:aa:21:LajirrternetProtocol,Ere:219-221.206.235(215.221=206=235；),Det:10.ID.115.3(10,10.115.3]/UserDatagramPratdco!sSrcPort;nxlrnd(28000)；,DstPort;nxlrnd(28DOO)4Data(206W5.CijCO-li-Zi185.3CM5r--wi?0b：47：W5.CijCO-li-Zi185.3CM5r--wi?0b：47：f7ARP輸口ha? Tfill】我192.168.1.,2IS如00t?i7-S￡9b!47^7封包列表中顯示所有已經(jīng)捕獲的封包。在這里您可以看到發(fā)送或接收方的MAC/IP地址，TCP/UDP端口號(hào)，協(xié)議或者封包的內(nèi)容。如果捕獲的是一個(gè)OSIlayer2的封包，您在Source（來(lái)源）和Destination（目的地）列中看到的將是MAC地址，當(dāng)然，此時(shí)Port（端口）列將會(huì)為空。如果捕獲的是一個(gè)OSIlayer3或者更高層的封包，您在Source（來(lái)源）和Destination（目的地）列中看到的將是IP地址。Port（端口）列僅會(huì)在這個(gè)封包屬于第4或者更高層時(shí)才會(huì)顯示。您可以在這里添加/刪除列或者改變各列的顏色：Editmenu->Preferences封包詳細(xì)信息卜Frame123[N盹bytesonwire.243byrescapturedL)jEihernei:il,src:HdngzhDu_27：3B:c3(OO：Df:e2：27：33:cS),dst:irnerneT_ia：21:ld(00:2DMd:a8：21ila;?DesTindTlon:rnrarnei:_dBi21:la(Oil:21:1a.)Source:Hangzhou_27;33;c3(OD:Of:e2?27;33;c3)Type:IP(OxDSOO^#internetProtacol,5rc: 221.206.235(21^.2?1.20b.235^?Dst:10.ID.115.3flu.10.115.3^version:4Headerlength:zabytes:DifferEnriatEdServicesField?QxDOCDSCPQxDG：Default;ECN：OxQfl)ToialLength:23AidemIf1carIon:Qxe^so<59696)Flags:0x00Fra^nentoffset:0Timet□1iwe:10QProtocol：U0PCOxll):Headerchecksum:0：?3bfcFcorrecti這里顯示的是在封包列表中被選中項(xiàng)目的詳細(xì)信息。信息按照不同的OSIlayer進(jìn)行了分組，您可以展開(kāi)每個(gè)項(xiàng)目查看。ps：wireshark會(huì)用不難，難的是會(huì)看懂這些包(如果對(duì)這些包頭信息不了解的可以自己去查查資料)16進(jìn)制數(shù)據(jù)ooooooooo.oooD1234567B5-dkuooooooooooooooooQoooo-uoo00GO4caB00ea叫3D71036d6D6e655f4d巳4e43415S7cac9aDId19194eOcc209bDed4ebQb?33ooooooooo.oooD1234567B5-dkuooooooooooooooooQoooo-uoo00GO4caB00ea叫3D71036d6D6e655f4d巳4e43415S7cac9aDId19194eOcc209bDed4ebQb?33夠500557弁頂.廿gOff94c廠■rsL.t21odoEIb-M-o94s93LA653Q-dd-ocn1-06561-3b1-5fcI.00Of6d1100d64be52efOdfe5303030f67z3dOaE5a10e2d42b0Q-fc￡3c7bBEEoc6_Jd5cJu7ifb930b5ba970045ebOd4da21.1口b31j；32e33032lace0884d405展8cOcc9餐di3f出7z旎叫品容Si43b7403SlbMedb9beedc932lbface6d必07』f!■re?lrifr-ir.100Oa69f23755beaf8521daSa.-i￡.…g..m.s.m"m'....Hunrnej^ARK.以..機(jī)...<kg...5,.?,7…，.乂.tB...{.」蛹...NOOOO D.：2.02.'■?.N....'.(=>.?.|t.m.p.h[..討 z..曲,dj如!a■L■■i■￡_■i■FT11“解析器”在Wireshark中也被叫做“16進(jìn)制數(shù)據(jù)查看面板”。這里顯示的內(nèi)容與“封包詳細(xì)信息”中相同，只是改為以16進(jìn)制的格式表述。⑶我們還要學(xué)會(huì)在大量的信息中過(guò)濾和分析我們需要的信息過(guò)濾：過(guò)濾器會(huì)如此重要。它們可以幫助我們?cè)邶嬰s的結(jié)果中迅速找到我們需要的信息。-捕捉過(guò)濾器：用于決定將什么樣的信息記錄在捕捉結(jié)果中。需要在開(kāi)始捕捉前設(shè)置。-顯示過(guò)濾器：在捕捉結(jié)果中進(jìn)行詳細(xì)查找。他們可以在得到捕捉結(jié)果后隨意修改。兩種過(guò)濾器的目的是不同的。捕捉過(guò)濾器是數(shù)據(jù)經(jīng)過(guò)的第一層過(guò)濾器，它用于控制捕捉數(shù)據(jù)的數(shù)量，以避免產(chǎn)生過(guò)大的日志文件。顯示過(guò)濾器是一種更為強(qiáng)大（復(fù)雜）的過(guò)濾器。它允許您在日志文件中迅速準(zhǔn)確地找到所需要的記錄。捕捉過(guò)濾器捕捉過(guò)濾器的語(yǔ)法與其它使用Lipcap（Linux）或者Winpcap（Windows）庫(kù)開(kāi)發(fā)的軟件一樣，比如著名的TCPdump。捕捉過(guò)濾器必須在開(kāi)始捕捉前設(shè)置完畢，這一點(diǎn)跟顯示過(guò)濾器是不同的。設(shè)置捕捉過(guò)濾器的步驟是：-選擇capture->options。-填寫(xiě)"capturefilter"欄或者點(diǎn)擊"capturefilter"按鈕為您的過(guò)濾器起一個(gè)名字并保存，以便在今后的捕捉中繼續(xù)使用這個(gè)過(guò)濾器。-點(diǎn)擊開(kāi)始（Start）進(jìn)行捕捉。CaptureInterfaces. Ctrl+I窿 Options... 匚tri十KSi Start Ctrl-bE一'瓣 Stop Ctrh-E帽 Restart Gtrl+R. §_■CaptureFilters'^.Ldd utLireE)口tiun^-CaptureInterface:Local RealtekIO/100/1000EthernetNIC :\j[ |IPaddress;Link-layerhedclertyue;Ethiernet * WirelessSettings[g]capturepacketsinpromls匚uousmodeCapturepacketsinpcap-naformat(experimental)_ '云i—— ,日uttersize:1 rriegdbyt9(￡)iIUmlteach口ai：ketto1 ..bytesDisplayOptions商Updatelistofpacketsinre^ltime商AutomaticscrollinginlivecaptureSHidocaptureinfodialogNameResolutian胃DisplayOptions商Updatelistofpacketsinre^ltime商AutomaticscrollinginlivecaptureSHidocaptureinfodialogNameResolutian胃EnablemacnameresolutionEnablenetworknameresolutionF/lEnabletrans口cirtnameresolutionL 窸art ]cancelLZINext'fibevery1~1Nt?xtfifeevery商Ringbufferwith11StopcaptureafternlGgabyt^(s)■rnirjutfcjfs) ―fil世m(xù)filc(s)L:二CaptureFilefs)—File: Drowse...口usemultiplefilesB；.after1 ?packet(s)口..after1 目mGg3bytQ(s)■wB..after1 61minute^5J ■rStoqCapture...語(yǔ)法：ProtocolLDirectionHost(s)ValueLogicalOperationsOtherexpression_r例子：tcpdst80andtcpdst3128tdelD■Protocol(協(xié)議)：可能的值：ether,fddi,ip,arp,rarp,decnet,lat,sca,moprc,mopdl,tcpandudp.如果沒(méi)有特別指明是什么協(xié)議，則默認(rèn)使用所有支持的協(xié)議。-Direction(方向)：可能的值：src,dst,srcanddst,srcordst如果沒(méi)有特別指明來(lái)源或目的地，則默認(rèn)使用"srcordst"作為關(guān)鍵字。例如，"host"與"srcordsthost"是一樣的?！鯤ost(s):可能的值：net,port,host,portrange.如果沒(méi)有指定此值，則默認(rèn)使用"host"關(guān)鍵字。例如，"src”與"srchost"相同?！鯨ogicalOperations(邏輯運(yùn)算)：可能的值：not,and,or.否("not")具有最高的優(yōu)先級(jí)?；?"or")和與("and")具有相同的優(yōu)先級(jí)，運(yùn)算時(shí)從左至

右進(jìn)行。例如，"nottcpport3128andtcpport23"與"(nottcpport3128)andtcpport23"相同。"nottcpport3128andtcpport23"與"not(tcpport3128andtcpport23)"不同。例子：tcpdstport3128顯示目的TCP端口為3128的封包。ipsrchost顯示來(lái)源IP地址為的封包。host顯示目的或來(lái)源IP地址為的封包。srcportrange2000-2500顯示來(lái)源為UDP或TCP，并且端口號(hào)在2000至2500范圍內(nèi)的封包。notimcp顯示除了icmp以外的所有封包。(icmp通常被ping工具使用)srchost2andnotdstnet/16顯示來(lái)源IP地址為2，但目的地不是/16的封包。(srchost2orsrcnet/16)andtcpdstportrange200-10000anddstnet/8顯示來(lái)源IP為2或者來(lái)源網(wǎng)絡(luò)為/16，目的地TCP端口號(hào)在200至10000之間，并且目的位于網(wǎng)絡(luò)/8內(nèi)的所有封包。注意事項(xiàng)：當(dāng)使用關(guān)鍵字作為值時(shí)，需使用反斜杠“\”。"etherproto\ip〃（與關(guān)鍵字〃ip〃相同）.這樣寫(xiě)將會(huì)以IP協(xié)議作為目標(biāo)。"ipproto\icmp"（與關(guān)鍵字〃icmp〃相同）.這樣寫(xiě)將會(huì)以ping工具常用的icmp作為目標(biāo)?？梢栽凇╥p〃或〃ether〃后面使用〃multicast"及〃broadcast”關(guān)鍵字。當(dāng)您想排除廣播請(qǐng)求時(shí)，"nobroadcast"就會(huì)非常有用。顯示過(guò)濾器通常經(jīng)過(guò)捕捉過(guò)濾器過(guò)濾后的數(shù)據(jù)還是很復(fù)雜。此時(shí)您可以使用顯示過(guò)濾器進(jìn)行更加細(xì)致的查找。它的功能比捕捉過(guò)濾器更為強(qiáng)大，而且在您想修改過(guò)濾器條件時(shí)，并不需要重新捕捉一次。語(yǔ)法：|protocol|.String1String2ComparisonoperatorValueLogicalOperationsOtherexpression_r例子：ftppassiveip==xoricmp.type?Protocol（協(xié)議）：您可以使用大量位于OSI模型第2至7層的協(xié)議。點(diǎn)擊"Expression..."按鈕后，您可以看到它們。比如：IP，TCP，DNS，SSH

■Stringl,String2（可選項(xiàng)）：協(xié)議的子類(lèi)。點(diǎn)擊相關(guān)父類(lèi)旁的〃》〃號(hào)，然后選擇其子類(lèi)。i-ieianame>MIBS--MIBS13Expert-ExpectInfo104apci-IEC60870-5-104-ApdA104asdu-正匚60S70-5-104-AsduSdparityfec-Pro-MPEG^odeofPractice#3-rbLiLLi■,、IC-b .一 \■*!ICI- II'-?Comparisonoperators（比較運(yùn)算符）：可以使用6種比較運(yùn)算符：英文寫(xiě)法：C語(yǔ)言寫(xiě)法：含義：eq==等于ne!=不等于gt>大于It<小于ge>=大于等于le<=小于等于-Logicalexpression_rs（邏輯運(yùn)算符）：英文寫(xiě)法：C語(yǔ)言寫(xiě)法：含義：and&&邏輯與orII邏輯或xorAA邏輯異或not!邏輯非被程序員們熟知的邏輯異或是一種排除性的或。當(dāng)其被用在過(guò)濾器的兩個(gè)條件之間時(shí)，只有當(dāng)且僅當(dāng)其中的一個(gè)條件滿足時(shí)，這樣的結(jié)果才會(huì)被顯示在屏幕上。讓我們舉個(gè)例子："tcp.dstport80xortcp.dstport1025〃只有當(dāng)目的TCP端口為80或者來(lái)源于端口1025（但又不能同時(shí)滿足這兩點(diǎn)）時(shí)，這樣的封包才會(huì)被顯示。例子：snmpIIdnsIIicmp顯示SNMP或DNS或ICMP封包。ip.addr==顯示來(lái)源或目的IP地址為的封包。ip.src!=orip.dst!=顯示來(lái)源不為或者目的不為的封包。換句話說(shuō)，顯示的封包將會(huì)為：來(lái)源IP:除了以外任意；目的IP：任意以及來(lái)源IP:任意；目的IP:除了以外任意ip.src!=andip.dst!=顯示來(lái)源不為并且目的IP不為的封包。換句話說(shuō)，顯示的封包將會(huì)為：來(lái)源IP:除了以外任意；同時(shí)須滿足，目的^：除了以外任意tcp.port==25顯示來(lái)源或目的TCP端口號(hào)為25的封包。tcp.dstport==25顯示目的TCP端口號(hào)為25的封包。tcp.flags顯示包含TCP標(biāo)志的封包。tcp.flags.syn==0x02顯示包含TCPSYN標(biāo)志的封包。如果過(guò)濾器的語(yǔ)法是正確的，表達(dá)式的背景呈綠色。如果呈紅色，說(shuō)明表達(dá)式有誤。分析："FollowTCPStream如果你處理TCP協(xié)議，想要查看Tcp流中的應(yīng)用層數(shù)據(jù)，"FollowingTCPstreams"功能將會(huì)很有用。如果你項(xiàng)查看telnet流中的密碼，或者你想嘗試弄明白一個(gè)數(shù)據(jù)流?；蛘吣銉H僅只需要一個(gè)顯示過(guò)濾來(lái)顯示某個(gè)TCP流的包。這些都可以通過(guò)Wireshark的"FollowingTCPstreams"功能來(lái)實(shí)現(xiàn)。在包列表中選擇一個(gè)你感興趣的TCP包，然后選擇Wireshark工具欄菜單的"FollowingTCPStreams"選項(xiàng)（或者使用包列表鼠標(biāo)右鍵的上下文菜單）。然后，Wireshark就會(huì)創(chuàng)建合適的顯示過(guò)濾器，并彈出一個(gè)對(duì)話框顯示TCP流的所有數(shù)據(jù)。"FollowTCPStream'對(duì)話框MHowTCPStreamstream匚口門(mén)1：巳門(mén)1：g-et/Iha~loader?op=iri5gcount&charset=gbk&ca11ba.ck=IMO~Id&rerer=hi.bAccept：i'擊了hReferer:/j1-suanjT 3%D5%DF/mod1fy/bAceept-Languagezh-cnUser-Ayen'L;Muzi~\1a/4>0Ccompatib~le;M5IE7<O;Wi NT5.1;TNT5.T;三皿］;CIRA^Accept-Encod1ng:gzip>def!ateHost:Tetch,1it.baidu.coinConnectionsKeep-Al"iveCook1e:BDU5S=3-ZCLXVkTEKWdGZZQThleD^vbTZzdWl^n'lNYznZOLJdRVXS^TlhlwupwSRAAAAAAAAAAAAAAAAAAAAAAACAl-NkAAAAAAAAAAAAAAAA5RZCAAAAAAAXMC4￡N.54OPENPLATFORM_SP=^c2r6ae97575&L6e6a69b0aebat-BdSdfayQB..1.2604 794：USERID=el5aa887ea9503.1984981453480184bf413a;n_M^=L;..iM_old=0|g3.HTTP/1.1200.OKt□ntent-Type■?t /htrr~lcharset=utf-8content-Length;■9