Wireshark 是目前最受歡迎的抓包工具。它可以運行在 Windows、Linux 及 MAC OS X 操作系統中，并提供了友好的圖形界面。同時，Wireshark 提供功能強大的數據抓包功能。使用它，可以以各種方式抓取用戶所需要的網絡數據包。但是用戶往往無法從數據包中直接獲取所需要的數據。這是由于所有的信息在傳輸過程中，都會被按照各種網絡協議進行封裝。用戶想要從海量的數據抓包中獲取的有用的信息，必須了解各種常見的網絡協議。什么是網絡協議呢？網絡協議就和我們說話使用某種語言規范一樣。當兩個人談話時，如果不使用共同的語言，可能無法溝通。計算機也一樣，在兩臺計算機之間傳輸數據時，也必須使用相同的協議才可以進行通信。由于數據在網絡中傳輸時，無法看到傳輸的數據。這時候用戶就可以使用 Wireshark 抓包。通過學習網絡協議規范，我們就可以分析捕獲到的包，并從中查看到傳輸的數據，如用戶發送的郵件內容、QQ 號碼等。為了方便用戶對數據包的分析，本書詳細介紹了常用的各種網絡協議，如 ARP、IP、TCP、UDP、 HTTP、HTTPS 等。

　　網絡協議是用于不同計算機之間進行網絡通信的。網絡協議是網絡上所有設備（如網絡服務器、計算機、交換機、路由器等）之間通信規則的集合，它規定了通信時信息必須采用的格式和這些格式的意義。常見的協議有 TCP/IP 協議、IPX/SPX 協議、NetBEUI 協議等。本章將介紹將簡要講解 TCP/IP 網絡協議。

　　抓包工具就是用來將網絡傳輸發送與接收的數據包進行截獲、重發、編輯、轉存等操作，也用來檢查網絡安全，但也往往被某些人用來網游作弊等。抓包工具可以在 Windows、Unix 等各種平臺運行網絡監聽軟件，主要是針對 TCP/IP 協議的不安全性對運行該協議的機器進行監聽。本節將介紹數據抓包原理及工具。

　　數據在網絡上以很小的稱為幀的單位傳輸的。幀由幾部分構成，不同的部分執行不同的功能。幀通過特定的稱為網絡驅動程序的軟件進行成型，然后通過網卡發送到網線上，通過網線到達它們的目的機器，在目的機器的一端執行相反的過程。接收端機器的以太網卡捕獲到這些幀，并告訴操作系統幀已到達，然后對其進行存儲。就在這個傳輸和接收過程中，嗅探器（抓包工具）會帶來安全方面的問題。每一個在局域網（LAN）上的工作站都有其硬件地址，這些地址惟一地表示了網絡上的機器（這一點與 Internet 地址系統比較相似）。當用戶發送一個數據包時，如果為廣播包，則可達到局域網中的所有機器。如果為單播包，則只能到達處于同一碰撞域中的機器。在一般情況下，網絡上所有的機器都可以“聽”到通過的流量，但對不屬于自己的數據包則不予響應。換句話說，工作站 A 不會捕獲屬于工作站 B 的數據，而是簡單地忽略這些數據。如果某個工作站的網絡接口處于混雜模式，那么它就可以捕獲網絡上所有的數據包和幀。

　　在計算機中，可使用的抓包工具有很多，如 SmartSniff、Sniffer、HTTP Analyzer、Wireshark 等。目前最常用的數據抓包工具就是 Wireshark，所以本書以 Wireshark 抓包工具為例，捕獲各種 TCP/IP 協議數據包。本節將詳細介紹 Wireshark 工具。