Wireshark是一款非常好用的网络抓包工具: http://www.wireshark.org/
下面这篇链接是一个比较general的介绍: How to Use Wireshark to Capture, Filter and Inspect Packets
然而, 默认情况下wireshark会把网络上所有的包都抓过来,所以结果中有很多我们不想去关心的信息.
此时我们就需要使用Filter, 来进行有重点的分析.
下面的链接是wireshark filter的一个easy tutorial
http://openmaniak.com/wireshark_filters.php
详细可以参考下面这连个官方wiki
第一个是抓包的Filter
http://wiki.wireshark.org/CaptureFilters
从这个链接中, 我们可以了解到其实capture filter的语法是和tcpdump(windows下是WinDump)的语法完全相同.
虽然这个文档里面没有提, 但是我认为wireshark可能应该使用的就是tcpdump
参考这个维基百科(http://en.wikipedia.org/wiki/Tcpdump),
tcpdump需要使用库libpcap(packet capture的意思)
而windows下, 对应的, 需要使用WinDump, 同样WinDump依赖于WinPcap
我想着也是为什么在windows上安装wireshark的时候, 会让我们首先安装WinPcap的原因.
第二个是显示的Filter
http://wiki.wireshark.org/DisplayFilters
这个链接不仅仅介绍我们如何可以只显示我们需要的包,
还介绍了wireshark默认对不同类型的包的颜色显示规则(ColoringRules), 当然这些也可以定制.
最后一个链接是wireshark的FAQ, 里面介绍了wireshark的改名等历史原因