Wireshark遐想:关于抓包，你真的想“太多”啦

关于抓包，通常很多人会认为抓到数据包就可以解决问题了，实则不然，数据的抓取只是"万里长征"的第一步，重要的是分析，分析，再分析！这才是解决问题的关键。

1、抓包工具的部署很重要。对于初学者，往往不注重这个方面，认为随便把电脑接入故障网络，打开抓包工具就开始捕获数据包，看到"噌噌"上涨的包数量，也许这不是你所需要的。所以，在动手抓包之前要分析一下网络结构，决定在什么位置部署或采取什么方式抓取才是重要的。

2、合理利用抓包软件的过滤功能。当你抓取了需要的数据，具体分析要根据网络发生的故障情况，过滤相关的协议及数据包，通过分析报文的承载信息字段，找出问题所在。这里就需要了解协议的封装、传递等工作模式，如：TCP的三次握手过程，IP的唯一标识等。

3、学会保存需要的报文，利用不同的协议分析软件进行分析。Wireshark虽然功能很强大，但图形化是短板，我们可以导出需要的数据包文件，利用sniffer pro，科来等图形界面比较强的软件进行对比分析，以达到事半功倍的目的。