wireshark

概述

监控网卡

1. 笔记本无线网：选 Wi-Fi 或 WLAN
2. 台式机有线：选 Ethernet
3. 虚拟网卡（如VMware）需特殊设置，物理网卡可直接捕获真实流量

HTTP

设置捕获过滤器（关键防御）

1. 为什么过滤
   1. 未过滤时风险：每秒捕获数千个ARP/DNS/TLS等无关数据包
2. 案例
   1. 未过滤时打开视频网站 → 1分钟产生50,000+数据包 → Wireshark内存溢出崩溃
3. 原理
   1. BPF引擎在网卡层面丢弃非TCP 80端口流量，大幅降低CPU负载

开始捕获与流量生成

1. 步骤
   1. 点击蓝色鲨鱼鳍按钮，开始捕获
   2. 浏览器访问： http://neverssl.com（纯HTTP测试站）
   3. 点击红色方块按钮，停止捕获
2. 验证
   1. 成功标志：主窗口显示彩色数据包

筛选HTTP流量

1. 为什么二次过滤
   1. 捕获文件包含底层TCP握手（SYN/ACK）、TLS协商等噪音，需要精确定位HTTP层

深度解析HTTP请求包（以GET为例）

1. 找到 GET / HTTP/1.1 数据包，逐层展开分析：
2. Frame 层（物理帧信息）
   1. 计算网络延迟（如响应包Arrival Time - 请求包Arrival Time）

3. Ethernet II 层
   1. 网络诊断
      MAC地址错误会导致数据包无法离开本机网络

4. IP层
   1. 关键用途
      TTL值异常减小 → 存在路由循环故障

5. TCP 层
   1. PSH+ACK 标志组合是触发HTTP应用层解析的关键信号

6. HTTP 层
   1. 恶意爬虫的User-Aent通常包含Python-urllib/3.10等特征值

解析HTTP响应包（200 OK）

1. 找到对应请求的响应包：
   1. 查看响应体HTML
   2. 右键数据包 → Follow → HTTP Stream

2. 状态码

3. 请求头