Wireshark是非常好用的抓包工具，但是对于初学以太网的同学来说，很少会去用它，通过自身的经历，我觉得初学者很少使用wireshark是因为学习以太网协议时看的比较多，动手比较少，而wireshark就是需要动手去抓包分析的工具

好处

举个例子，我们想要学习ping命令是如何检测网络是否能通信的？就可以通过wireshark工具抓包后分析下过程

准备两台电脑，A电脑配置ip地址为192.168.1.100/24，B电脑配置ip地址为192.168.2.100/24，现在我们用A电脑去ping B，在A电脑上启动wireshark抓包，可以发现经过A电脑网卡上的报文有如下几条

我们一条一条去分析

第一条报文

从上图可以看出：这是一条广播ARP请求报文，是A发给B的，目的是请求B的mac地址

第二条报文

从上图可以看出：这是一条ARP响应报文，是B回给A的，目的是告诉A它的mac地址

第三条报文

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DQNXChFQ-1617943867475)(https://gitee.com/jasonj333/picture/raw/master/2021-4-9/1617943449605-640%20(2)].png)

从上图可以看出：这是一条A发给B的icmp echo request报文

第四条报文

从上图可以看出：这是一条B发给A的icmp echo replay报文

这样就能很直观地看出ping命令的整个通信过程，尤其是当你ping不通的时候，如果你不抓包分析，你很难找到问题的原因

比如遇到过一个问题，AB双方配置好同网段的ip地址后，怎么都ping不通，通过在A上发起ping操作，AB双方同时抓包后，发现A发出一条广播ARP请求报文，但是B网卡上没有收到；然后在B上发起ping操作，AB双方同时抓包后，发现B发出广播ARP请求报文，A收到了这个请求，并且A回复了ARP响应，但是B的网卡又没收到这个ARP响应

很明显，问题出在B上，所有发到B上的报文都被它丢弃了，后来了解到，B系统做了一个限制，所有B接收到的报文，只要不带vlan，都会被丢弃。我们又把AB双方网卡配置vlan后，再进行ping操作，就可以ping通了

使用

wireshark的使用很简单，下载安装包安装完成后，打开，选择需要抓包的网卡，然后点击运行即可

还支持报文解析，过滤，保存等操作

---