Wireshark-华山论剑华山剑法

很多朋友对Wireshark-华山论剑华山剑法不是很了解，每日小编刚好整理了这方面的知识，今天就来带大家一探究竟。

本文转自微信官方账号。欢迎关注Wireshark-华山派华山剑法(qq.com)。Wireshark是世界上最流行的网络协议分析软件，它是一个免费的开源工具。我相信做过网络开发的人一定用过这个工具来分析包。在USBPcap的帮助下，还可以捕获和分析USB数据包。USBPcap参考：https://desowin.org/usbpcap/.

USBPcap从I/O请求包(IRP)中携带的USB请求块(urb)中捕获数据。Wireshark将消息显示为帧。USBPcap的数据包和USB规范的不完全一样，Wireshark的帧也和USB不一样。当USBPcap捕获功能设备对象(FDO)和物理设备对象(PDO)之间传输的urb时，USBPcap可以捕获以下信息：-控制传输：设置阶段只能捕获数据，但不能捕获设置和确认数据阶段：USBPcap包包含来自事务的数据包的组合数据。

状态阶段：与状态阶段相关的USBPcap包不包含任何数据。-同步传输：

单个IRP通常携带多个同步分组。每个同步分组包含来自数据分组的数据。每个IRP有两个USBPcap包。第一个包含IRP从FDO到PDO捕获的数据，第二个包含从FDO到PDO的数据。在OUT传输的情况下，第一个USBPcap包包含完整的数据，第二个包包含关于事务完成状态的信息。

在In传输的情况下，第一个USBPcap包仅包含关于为接收数据分配的缓冲区的信息，第二个包包含接收的数据。

-中断传输：只能取数据包，不能取IN、OUT、ack。-批量传输：每个批量传输生成一个USBPcap数据包，该数据包包含来自属于给定传输的所有事务的所有数据包的组合数据。-海量存储设备：每次与USB海量存储设备的数据交换都会产生三个USBPcap数据包，第一个包含命令，第二个包含数据，最后一个包含状态。USBPcap无法捕获以下某些信息：

-总线状态(挂起、通电、断电、复位、高速检测握手)-数据包ID (PID)-拆分事务(CSPLIT、SSPLIT)-总线状态的持续时间和线路上传输数据包所用的时间-低速、全速、高速)。此外，无法捕获完整的USB枚举过程，只能看到在USB控制传输发送到设备后，设备已经分配了其地址。https://www.wireshark.org/,官网安装了来自官网的最新版本。

我在这里下载的是wireshark-win64-4.0.5.exe。双击打开它。我们可以检查安装的所有选项。检查安装桌面图标和快速启动图标以指定安装路径。请注意，这里检查了USBPcap的安装。请注意，数据被保存并重新启动。打开Wireshark程序。USB根集线器将对应于USBPcap设备。否则，安装后可能无法重新启动，或者未安装USBPcap。

您可以输入安装路径D: Program File Wireshark extcap并在命令行输入USBPcapCMD.exe来查看每个根集线器安装的设备。设备过滤我在这里连接了一个UVC设备。我们可以看到它对应的是USBPcap2的端口2。我们可以双击USBPcap2，看到数据已经被捕获，其中2.6.3正好对应我们的设备，其中2对应PORT2 6，USB设备地址为6，3对应endpoint 3。我们也可以用usb.addr==2.6.3进行过滤。单击数据包以显示解析的信息和原始数据，如下所示。

文档USBPcap没有完整的文档，只能去官网看一些相关资料https://desowin.org/usbpcap/tour.html. Wireshark有完整的文档可以参考https://www.wireshark.org/docs/. https://www.wireshark.org/docs/wsdg _ html _ chunked/chaptersection . html总结与Bus Hound相比，Wireshark的优点是协议分析更详细，缺点是不能发送和调试数据。

虽然Wireshark以其以太网数据包捕获而闻名，尤其是其数据包分析能力，但它也借助USBPcap在USB数据包捕获领域占有一席之地。比如“气为体，剑为用”，气是Wireshark强大的包解析能力，USBPcap是剑，USBPcap可以用USBPcap为剑抓取解析，以太网包可以用NPcap，WinPcap为剑抓取解析。审核编辑黄宇

以上知识分享希望能够帮助到大家！