在网络安全和网络管理领域，流量分析是一项关键技能。Wireshark作为强大的网络协议分析工具，为我们深入了解网络流量提供了有力支持。下面是对Wireshark使用及流量分析相关知识的学习笔记。

一、Wireshark基础使用

（一）应用场景

Wireshark应用广泛，网络管理员用它排查网络问题，软件测试工程师分析测试软件，socket编程工程师用于调试，运维人员在日常工作和应急响应中也会使用。只要涉及网络相关工作，都可能用到Wireshark。

（二）抓包原理

Wireshark借助WinPCAP接口与网卡直接进行数据报文交换。其使用环境主要有电脑直连网络的单机环境，以及连接交换机的常见网络环境。

（三）抓包界面介绍

Wireshark界面包含菜单栏、工具栏、过滤栏，还有数据包列表、数据包详情和数据包字节区域。在数据包列表中，能看到如时间、源IP、目的IP、协议、长度和信息等关键信息；数据包详情展示数据包各层协议的详细内容；数据包字节则以十六进制和ASCII码显示数据包实际内容。

（四）常用功能

1. 搜索功能：支持正则表达式、字符串、十六进制等搜索方式，日常常用字符串搜索，按快捷键“ctrl+f”可快速调出查询栏。
2. 数据提取：对于通过http传输的文件内容，选中http文件传输流量包，在分组详情中找到“data”或“Line - based text data:text/htm