Wireshark使用方法（学习笔记二——查询统计）

wireshark的抓包方法上一相关博文已经详细做了介绍，其实关于wireshark来说，比较重要的还是数对抓包之后的“查询统计分析”，如何在海量的数据包中，抓取出自己关注的数据包是处理问题的第一步，今天这篇博文主要讲解如何进行“简单”的抓包筛选。

为了直观，本篇博文以一次实例进行，我在本地对网卡进行了抓包，登录了一次QQ，与网友聊天，并且，访问了一次我的博客www.zike.me，那我就从海量数据包中，抓取关于这两个操作的相关数据包。

首先，我进行了本地抓包，进行了上述两个操作，stop抓包，仅仅十多秒钟，我抓到了3543个数据包，其中存在有我需要的数据包。（从这里看出了“筛选分析”有多么重要，如果数据流量较大，我试验过，较小的网络中，1分钟左右的抓包，可以获取300万数据包）

原始数据包

抓包分析

输入：oicq进行筛选

oicq协议分析

oicq统计结果

查看单包的数据，在data处可以看见QQ号码

详细数据包

选取第一个数据包，点击右键，我们可以看见有很多选项，我们选取“follow UDP stream”，即追踪该UDP流，跟踪整个会话

跟踪会话

可以看见，我的得到了该次聊天会话

wireshark抓包分析

同时，我们还可以选择另外一种筛选方式，在详细数据包中，我们选择QQ号码那一栏作为筛选的数据，点击数据包QQ号码处，右键，作为筛选……

wireshark筛选分析

接下来，我们看看由浏览器发起的对www.zike.me的访问，我们主要看进行对dns数据包的筛选

第一步还是选择协议，dns

dns数据包

同时，也可以直接选择所访问的域名：dns.qry.name == “www.zike.me”，直接进行筛选

wireshark抓包筛选分析

下图可以看见，我本机发起了对www.zike.me的查询，我本地的缓存域名服务器是中国电信的61.128.128.68

dns回应包

然后看见DNS服务器进行回应，回复说www.zike.me的IP地址是173.231.1.221

dns服务器回应数据包

同时，我们可以对本次抓包进行统计概况，如下图

wireshark统计汇总

可以看见总述里面，包数，实时流量大小等等。

wireshark summary

 

对本次抓包的协议总述

协议概况