前言

本文长期维护，记录使用wireshark的使用过程。

虽然有官方文档-Wireshark User’s Guide，但是不想去慢慢读。应用层的图形软件，最好的教程应该是视频。视频比文档，更加直观。便于观察它的交互过程。

---

安装

Linux上wireshark安装

sudo apt install wireshark # 选择yes，表允许非超级用户捕获数据包
sudo usermod -aG wireshark $(whoami)
reboot # 重启

---

使用

捕获的时候添加过滤条件

参考：4.10. Filtering while capturing

比如下面，捕获指定接口，指定域名流量。

点击“捕获”->“选项”。捕获，wlp3s0上与百度之间交互的流量。如果还需要指定协议，端口等组合条件，见上面参考链接。

---

抓取浏览器https内容

参考：linux-使用 Wireshark 调试 HTTP/2 流量、window-Wireshark基础使用，SSL解密及http抓包入门教程

基本都是设置SSLKEYLOGFILE环境变量，然后启动浏览器。

touch $HOME/sslkey.log
export SSLKEYLOGFILE=$HOME/sslkey.log

# 命令行启动浏览器
## 不同系统,启动命令不同。具体查看桌面图标的desktop文件
## 下面是uos中chrome浏览器的启动
/opt/apps/cn.google.chrome/files/google/chrome/google-chrome

## 至于为啥不设置uos的环境变量，然后直接点击启动浏览器。因为那样不管用。我也不知道为啥。

然后在，ssl协议中，为(预)主密钥，选择上面的文件即可。

---

附录

抓取非浏览器的https流量

可以参考：Fiddler抓包工具使用详解。我没有用过。原理应该是类似与中间人攻击。