官网： https://www.wireshark.org/


1,安装：
Installing from rpm’s under Red Hat and alike:

Use the following command to install the Wireshark RPM that you have downloaded from the Wireshark web site:
rpm -ivh wireshark-2.0.5.i386.rpm
If the above step fails because of missing dependencies, install the dependencies first, and then retry the  step above.

Installing from deb’s under Debian, Ubuntu
$ sudo apt-get install wireshark

安装成功后，执行 wiresharp 命令即可启动.


wireshark只能查看封包，而不能修改封包的内容，或者发送封包。

wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容，总结，如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark.

wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。

RTT(Round-Trip Time): 往返时延。在计算机网络中它是一个重要的性能指标，表示从发送端发送数据开始，到发送端收到来自接收端的确认。
   --> The RTT to ACK the segment was: 0.195293000 seconds



ireShark 主要分为这几个界面
1. Display Filter(显示过滤器)，  用于过滤
2. Packet List Pane(封包列表)， 显示捕获到的封包， 有源地址和目标地址，端口号。 颜色不同，代表
3. Packet Details Pane(封包详细信息), 显示封包中的字段
4. Dissector Pane(16进制数据)
5. Miscellanous(地址栏，杂项)


过滤器有两种，
一种是显示过滤器，就是主界面上那个，用来在捕获的记录中找到所需要的记录
一种是捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录。 在Capture -> Capture Filters 中设置


过滤表达式的规则
表达式规则
1. 协议过滤
比如TCP，只显示TCP协议。
2. IP 过滤
比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102，
ip.dst==192.168.1.102, 目标地址为192.168.1.102
3. 端口过滤
tcp.port ==80,  端口为80的
tcp.srcport == 80,  只显示TCP协议的愿端口为80的。
4. Http模式过滤
http.request.method=="GET",   只显示HTTP GET方法的。
5. 逻辑运算符为 AND/ OR

http 只查看HTTP协议的记录
ip.src ==192.168.1.102 or ip.dst==192.168.1.102 源地址或者目标地址是192.168.1.102



封包详细信息 (Packet Details Pane)
这个面板是我们最重要的，用来查看协议中的每一个字段。
各行信息分别为
Frame:   物理层的数据帧概况
Ethernet II: 数据链路层以太网帧头部信息
Internet Protocol Version 4: 互联网层IP包头部信息
Transmission Control Protocol:  传输层T的数据段头部信息，此处是TCP
Hypertext Transfer Protocol:  应用层的信息，此处是HTTP协议