Wireshark是瑞士**式的网络分析工具。无论您是在网络上寻找点对点流量，还是只想查看特定IP地址正在访问哪些网站，Wireshark都可以为您服务。

我们之前介绍过Wireshark。这篇文章建立在我们之前的文章之上。请记住，您必须在网络上可以看到足够网络流量的位置进行捕获。如果您在本地工作站上进行捕获，则可能看不到网络上的大部分流量。Wireshark可以从远程位置进行捕获-请查看我们的Wireshark技巧帖子以获取更多信息。

识别点对点通信

Wireshark的协议列显示每个数据包的协议类型。如果您正在查看Wireshark捕获，您可能会看到BitTorrent或其他对等流量潜伏在其中。

您可以从位于“统计信息”菜单下的“协议层次结构”工具中查看网络上正在使用的协议。

此窗口显示按协议划分的网络使用情况。从这里，我们可以看到网络上近5%的数据包是BitTorrent数据包。这听起来并不多，但BitTorrent也使用UDP数据包。被归类为UDP数据包的近25%的数据包在这里也是BitTorrent流量。

通过右键单击协议并将其作为过滤器应用，我们只能查看BitTorrent数据包。您可以对可能存在的其他类型的点对点通信量执行相同的操作，例如Gnutella、eDonkey或Soulseek。

使用应用过滤器选项应用过滤器“bittorrent”。您可以跳过右键单击菜单，直接在过滤器框中键入协议的名称来查看协议的通信量。

从过滤后的流量可以看出，192.168.1.64的本地IP地址使用的是BitTorrent。

要使用BitTorrent查看所有IP地址，我们可以在统计菜单中选择端点。

单击IPv4选项卡并启用“限制显示筛选器”复选框。您将看到与BitTorrent流量相关联的远程和本地IP地址。本地IP地址应该出现在列表的顶部。

如果要查看Wireshark支持的不同类型的协议及其筛选器名称，请在“分析”菜单下选择“启用的协议”。

您可以开始键入协议以在“启用的协议”窗口中搜索它。

监控网站访问

现在我们知道了如何按协议分解通信量，我们可以在筛选器框中键入“http”以仅查看http通信量。选中“启用网络名称解析”选项后，我们将看到网络上正在访问的网站的名称。

同样，我们可以使用统计菜单中的Endpoints选项。

单击IPv4选项卡并再次启用“限制显示筛选器”复选框。您还应该确保启用了“名称解析”复选框，否则只能看到IP地址。

从这里，我们可以看到正在访问的网站。广告网络和第三方网站的主机脚本在其他网站上使用也将出现在名单中。

如果我们想用一个特定的IP地址来分解它，看看一个IP地址在浏览什么，我们也可以这样做。使用组合过滤器和httpip地址==[IP地址]查看与特定IP地址相关联的HTTP流量。

再次打开Endpoints对话框，您将看到该特定IP地址访问的网站列表。

这些都只是你能用Wireshark做些什么的皮毛。您可以构建更高级的过滤器，甚至可以使用Wireshark tricks帖子中的防火墙ACL规则工具轻松阻止您在此处找到的通信类型。