1. 学习Wireshark的安装及设置
2. 选择网卡，进行正常网络活动收集数据
3. 分析得到数据
4. 从Wireshark wiki处下载样本分析

Wireshark介绍

Wireshark是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包， 并尝试显示包的尽可能详细的情况。网络包分析工具是一种用来测量有什么东西从网线上进出的测量工具，Wireshark是最好的开源网络分析软件。

1.Wireshark的主要应用

（1）网络管理员用来解决网络问题
（2）网络安全工程师用来检测安全隐患
（3）开发人员用来测试协议执行情况
（4）用来学习网络协议

2.Wireshark的主要特性

（1）支持UNIX和Windows平台
（2）在接口实时捕捉包
（3）能详细显示包的详细协议信息
（4）可以打开/保存捕捉的包
（5）可以导入导出其他捕捉程序支持的包数据格式
（6）可以通过多种方式过滤包
（7）多种方式查找包
（8）通过过滤以多种色彩显示包
（9）创建多种统计分析

实验过程

1.Wireshark的安装及设置

1. 在https://www.wireshark.org/download.html下载安装Wireshark for Mac版
   
2. 安装完成后，打开软件，主界面显示如下：
   

2.进行正常网络活动收集数据

3. 在菜单栏中，点击“Capture”：
   
4. 在下拉框中找到“Options”，点击，我们可以看到如下界面：
5. 选择对应接口Wi-Fi，点击start，会出来一个窗口，分为三个部分：
   第一块：数据包列表。显示截获的每个数据包例如序号、时间、源地址、目的地址、协议、长度等的总结性信息；
   第二块：协议树。显示选定的具体的某个数据包所属的协议信息；
   第三块：以十六进制形式表示的数据包内容。显示数据包在物理层上传输时的最终形式。
   成功抓包的界面如下所示：
   
6. 在Wireshark窗口的Filter中输入http，按下回车表示确定，Wireshark便只显示http协议的包。

3.分析得到数据

7. 在第一块中选择一个数据包，可以看到第二块显示的报文信息如下：
   物理层数据帧概况：
   数据链路层以太网帧头部信息：
   网络层IP包头部信息：
   传输层TCP数据段头部信息：
   应用层头部信息：

4.下载样本分析

8. 接下来我们使用Wireshark wiki上的样本进行分析：
9. 双击样本文件，文件中的数据包信息显示如下：
10. 选择一个数据包，其报文信息显示如下：
    物理层数据帧概况：
    数据链路层以太网帧头部信息：
    网络层IP包头部信息：
    传输层TCP数据段头部信息：