端点(endpoint)是指网络上能够发生或者接收数据的一台设备。两个端点之间的通信被称之为会话(conversation)。

名称解析

也可以通过自定义hosts文件实现，文件目录如下：

Windows:\Application Data\Wireshark\hosts

OS X：/Uers//.wireshark/hosts

在Name Resolution选择Only use the profile “hosts” file。

解析器是一个网络原始数据流和Wireshark程序之间的翻译器。若要支持某个协议，就需要一个内置的解析器。

在正常情况下，一个以太网的帧最大长度为1518字节，除去以太网、IP、以及TCP头，还剩下1460字节以应用层协议的头或者数据使用。

双向时间(RTT)就是数据包到服务端以及接收到数据包确认所需的时间之和。

数据包分析常用的两个命令行工具——TShark(用于windows、linux、OS X系统)和tcpdump(用于UNIX系统)。

在Windows上安装了Wireshark之后，默然也会安装TShark。需要在cmd里去运行相应命令。可以在Wireshark 的安装路径下执行tshark –v来查看是否安装。

保存数据包

tcpdump  -i eth0 –w packets.pcap

要想从保存的文件中回读数据包，可使用-r，-c来限制在屏幕上显示的数据包数量

tcpdump  –r packets.pcap –c 10

读取packers.pcap，过滤出目的TCP端口为80的数据包，最后把这些数据包写入一个名叫http_packers.pcap的新文件里

tcpdump  –r packets.pcap ‘tcp dst port 80’ –w http_packers.pcap

在tcpdump中可以使用-v来增加冗余，至多可以加到3层。-X参数来查看数据包的ASCII形式或者十六进制形式。-x只查看十六进制，-A只输出ASCII形式。

-n会禁用IP名称解析，-nn会禁用端口服务解析

当你要应用一个极其复杂的过滤器表达式可以放在BPF过滤器文件中，用-F参数。