Wireshark 数据包分析学习笔记 Day16

一个网络包括三部分，分别是网络主机、网络线路和网络设备。

网络协议是网络上所有设备（如网络服务器、计算机、交换机和路由器等）之间通信规则的集合，它规定了通信时信息必须采用的格式和这些格式的意义。

TCP/IP 由四个层次组成，分别是网络接口层、网际层、传输层和应用层。TCP/IP 模型使各种硬件在相同的层次上相互通信，每一层都需要由它的下一层所提供的网络来完成自己的需求。

Wireshark 提供了 3 种接口类型，分别是本地接口、管道接口和远程接口。

portrange 用来指定某个某端口范围发送和接收的数据包。语法格式如：portrange port1-port2。

Wireshark 还提供了一个特殊类型 gateway。其中，使用该类型表示捕获源或目标为指定以太网地址的包，但是源或目标 IP 地址不是指定主机的数据包。Gateway host。

ether src ehost：捕获源地址为指定以太网地址的数据包。

ether dst ehost：捕获目标地址为指定以太网地址的数据包。

ether host ehost：捕获指定以太网地址的数据包。

tcp src port port：捕获 TCP 协议源端口为指定端口的数据包。

使用 proto 时，tcp、udp 和 icmp 协议简写为 p，简写后的捕获过滤器语法格式为 proto p。

proto：支持的协议值。其中，可使用的协议有 ether、fddi、tr、wlan、ppp、slip、link、ip、arp、rarp、tcp、udp、icmp、ip6 或 radio。

当用户通过逻辑运算符使用多个捕获过滤器时，not(!)具有最高的优先级。and(&&)和 or(||)具有相同的优先级，运算时从左至右进行。

Error（错误）：该级别的数据包表示存在非常严重的错误，或者解析器解析时的错误。

Warning（警告）：该级别的数据包不是正常通信中的数据包。简单地说就是非正常通信产生的数据包。

Note（注意）：该级别的数据包是正常通信时的异常数据包。

Chat（会话）：该级别的数据包是正常通信的基本信息。

Comment（注释）：添加注释的数据包。其中，包的注释信息是需要用户手动添加的，所以默认没有显示注释类级别的包。