使用Wireshark抓包工具

下载Wireshark:

https://www.wireshark.org/

选择要监听的网卡

用户界面

数据包分层结构

关于过滤器

分为 显示过滤器 和 捕获过滤器

显示过滤器：过滤已捕获的数据包，符合条件的进行显示

ip.addr == ip地址  # 过滤所有与该网站相关的数据包

ip.addr == ip地址 && http  # 按照协议进行过滤

ip.addr == ip地址 && http && tcp.port == 80# 按照端口进行过滤

#按内容过滤：选择想要的数据或参数，右键->“作为过滤器应用”->选择逻辑判断

模糊匹配：
_ws.col.info contains "想要匹配的参数"

捕获过滤器：只捕获符合条件的数据包

点击捕获->选择想捕获的类型

应用

1、查看arp

网络中的设备都有一个APR缓存表，存储了其它网络设备IP地址与MAC地址的对应关系。当发送设备向目标设备发送信息时，首先会检索APR缓存表来查找目标设备的MAC地址。若缓存表中没有存储，发送设备会在本地网络上广播发送一个ARP请求，目标设备接受后以单播方式进行ARP应答。这样发送设备便获得了目标设备的MAC地址，可以发送信息，同时也会更新自己的ARP缓存表。

过滤条件：arp

2、查看DNS

设置了阿里云DOH（223.5.5.5）后，抓包发现数据进行了加密
过滤条件：dns && ip_addr = 223.5.5.5

3、三次握手、数据通信、四次挥手

4、TLS