主界面布局一览
打开网络协议分析器,比如常用的 Wireshark,最先看到的是三大区域:顶部是菜单栏和工具栏,中间是数据包列表区,底部是数据包详情解析区。最上面一排按钮能快速开始抓包、停止、保存会话,像是开车前系安全带一样基础。
中间那一大块列表,每行代表一个网络数据包,显示编号、时间、源地址、目标地址、协议类型和简要信息。点一下某一行,下面的详情区就会展开这个包的具体结构。
数据包详情解析
点开一个 HTTP 请求,你会看到它被拆成 Ethernet、IP、TCP、HTTP 四层。每一层展开后,能看到对应的源 MAC 地址、IP 地址、端口号、请求方法等。就像拆快递,一层层剥开看里面到底是什么。
比如你访问百度时抓到的一个包,在 HTTP 部分能看到 GET \/ HTTP\/1.1,Host 字段写着 www.baidu.com,这些就是浏览器实际发出的内容。
过滤器的实用技巧
数据太多怎么办?用显示过滤器。在顶部输入框打上 http,列表就只留 HTTP 流量;想看某个 IP 的通信,写 ip.src == 192.168.1.100 或 ip.dst == 192.168.1.1。这就像微信聊天列表里搜人名,瞬间找到目标。
如果只想抓特定流量,得用捕获过滤器。比如只抓本机和服务器之间的 80 端口通信,设置捕获条件为:
host 192.168.1.100 and port 80实际排查小场景
公司内网有人打不开网页,但能 ping 通。抓包一看,TCP 三次握手完成,但后续没发 HTTP 请求。再细看,原来是客户端一直重传 SYN 包,问题出在防火墙拦截了 80 端口。通过协议分析器直接定位到 TCP 层异常,比瞎猜快多了。
另一个例子:APP 登录总失败。抓移动设备的包发现,虽然 HTTPS 握手成功,但服务器返回了 400 错误。切换到 HTTP 解析部分,发现请求头里少了一个必要字段。开发补上后立马恢复正常。
导出与分享
分析完可以保存整个抓包文件(.pcap 格式),交给同事复现问题。也能右键某个请求,选择“追踪流”→“TCP 流”,把整个会话内容按顺序拼出来,像聊天记录一样直观。需要提交报告时,直接复制这段文本就行。