Wireshark是一款非常好用的網絡抓包工具: http://www.wireshark.org/
下面這篇鏈接是一個比較general的介紹: How to Use Wireshark to Capture, Filter and Inspect Packets
然而, 默認情況下wireshark會把網絡上所有的包都抓過來,所以結果中有很多我們不想去關心的信息.
此時我們就需要使用Filter, 來進行有重點的分析.
下面的鏈接是wireshark filter的一個easy tutorial
http://openmaniak.com/wireshark_filters.php
詳細可以參考下面這連個官方wiki
第一個是抓包的Filter
http://wiki.wireshark.org/CaptureFilters
從這個鏈接中, 我們可以瞭解到其實capture filter的語法是和tcpdump(windows下是WinDump)的語法完全相同.
雖然這個文檔裏面沒有提, 但是我認爲wireshark可能應該使用的就是tcpdump
參考這個維基百科(http://en.wikipedia.org/wiki/Tcpdump),
tcpdump需要使用庫libpcap(packet capture的意思)
而windows下, 對應的, 需要使用WinDump, 同樣WinDump依賴於WinPcap
我想着也是爲什麼在windows上安裝wireshark的時候, 會讓我們首先安裝WinPcap的原因.
第二個是顯示的Filter
http://wiki.wireshark.org/DisplayFilters
這個鏈接不僅僅介紹我們如何可以只顯示我們需要的包,
還介紹了wireshark默認對不同類型的包的顏色顯示規則(ColoringRules), 當然這些也可以定製.
最後一個鏈接是wireshark的FAQ, 裏面介紹了wireshark的改名等歷史原因
http://www.wireshark.org/faq.html
