Wireshark 1.12.4版本是經(jīng)典的版本，適用于一些老的電腦使用，有需要的用戶可以下載來(lái)使用。Wireshark是免費(fèi)專業(yè)的網(wǎng)絡(luò)抓包工具，它擁有極強(qiáng)的顯示過(guò)濾器語(yǔ)言(rich display filter language)和查看TCP會(huì)話重構(gòu)流的能力，更支持上百種協(xié)議和媒體類型，是網(wǎng)絡(luò)工程師的好幫手。

【使用技巧】

　　TCP:

　　TCP/IP通過(guò)三次握手建立一個(gè)連接。這一過(guò)程中的三種報(bào)文是：SYN，SYN/ACK，ACK。

　　第一步是找到PC發(fā)送到網(wǎng)絡(luò)服務(wù)器的第一個(gè)SYN報(bào)文，這標(biāo)識(shí)了TCP三次握手的開始。

　　如果你找不到第一個(gè)SYN報(bào)文，選擇Edit -> Find Packet菜單選項(xiàng)。選擇Display Filter，輸入過(guò)濾條件：tcp.flags，這時(shí)會(huì)看到一個(gè)flag列表用于選擇。選擇合適的flag，tcp.flags.syn并且加上==1。點(diǎn)擊Find，之后trace中的第一個(gè)SYN報(bào)文就會(huì)高亮出來(lái)了。

　　注意：Find Packet也可以用于搜索十六進(jìn)制字符，比如惡意軟件信號(hào)，或搜索字符串，比如抓包文件中的協(xié)議命令。

　　一個(gè)快速過(guò)濾TCP報(bào)文流的方式是在Packet List Panel中右鍵報(bào)文，并且選擇Follow TCP Stream。這就創(chuàng)建了一個(gè)只顯示TCP會(huì)話報(bào)文的自動(dòng)過(guò)濾條件。

　　這一步驟會(huì)彈出一個(gè)會(huì)話顯示窗口，默認(rèn)情況下包含TCP會(huì)話的ASCII代碼，客戶端報(bào)文用紅色表示服務(wù)器報(bào)文則為藍(lán)色。

　　窗口類似下圖所示，對(duì)于讀取協(xié)議有效載荷非常有幫助，比如HTTP，SMTP，F(xiàn)TP。