Wireshark網(wǎng)絡(luò)抓包工具

wireshark網(wǎng)絡(luò)抓包工具是一款非常不錯(cuò)的網(wǎng)絡(luò)協(xié)議檢測程序，國內(nèi)使用比較多的網(wǎng)絡(luò)封包分析軟件，網(wǎng)絡(luò)管理員經(jīng)常用的到的。wireshark官方版擁有大量的排序和過濾選項(xiàng)，供用戶查找正在苦苦尋找的確切信息。本文中小編帶來的此版本為中文，英文的相信很多人看不懂；并且打開就可以使用，無需安裝，很方便。有需要的用戶可以收藏一下哦！

wireshark官方介紹

Wireshark是一款非常棒的Unix和Windows上的開源網(wǎng)絡(luò)協(xié)議分析器。它可以實(shí)時(shí)檢測網(wǎng)絡(luò)通訊數(shù)據(jù)，也可以檢測其抓取的網(wǎng)絡(luò)通訊數(shù)據(jù)快照文件。

可以通過圖形界面瀏覽這些數(shù)據(jù)，可以查看網(wǎng)絡(luò)通訊數(shù)據(jù)包中每一層的詳細(xì)內(nèi)容。

界面詳細(xì)說明和操作

說明：數(shù)據(jù)包列表區(qū)中不同的協(xié)議使用了不同的顏色區(qū)分。協(xié)議顏色標(biāo)識定位在菜單欄View --> Coloring Rules。如下所示

WireShark 主要分為這幾個(gè)界面

1. Display Filter(顯示過濾器)，  用于設(shè)置過濾條件進(jìn)行數(shù)據(jù)包列表過濾。菜單路徑：Analyze --> Display Filters。

2. Packet List Pane(數(shù)據(jù)包列表)， 顯示捕獲到的數(shù)據(jù)包，每個(gè)數(shù)據(jù)包包含編號，時(shí)間戳，源地址，目標(biāo)地址，協(xié)議，長度，以及數(shù)據(jù)包信息。 不同協(xié)議的數(shù)據(jù)包使用了不同的顏色區(qū)分顯示。

3. Packet Details Pane(數(shù)據(jù)包詳細(xì)信息), 在數(shù)據(jù)包列表中選擇指定數(shù)據(jù)包，在數(shù)據(jù)包詳細(xì)信息中會顯示數(shù)據(jù)包的所有詳細(xì)信息內(nèi)容。數(shù)據(jù)包詳細(xì)信息面板是最重要的，用來查看協(xié)議中的每一個(gè)字段。各行信息分別為

（1）Frame:   物理層的數(shù)據(jù)幀概況

（2）Ethernet II: 數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息

（3）Internet Protocol Version 4: 互聯(lián)網(wǎng)層IP包頭部信息

（4）Transmission Control Protocol:  傳輸層T的數(shù)據(jù)段頭部信息，此處是TCP

（5）Hypertext Transfer Protocol:  應(yīng)用層的信息，此處是HTTP協(xié)議

TCP包的具體內(nèi)容

從下圖可以看到wireshark捕獲到的TCP包中的每個(gè)字段。

4. Dissector Pane(數(shù)據(jù)包字節(jié)區(qū))。

Wireshark過濾器設(shè)置

初學(xué)者使用wireshark時(shí)，將會得到大量的冗余數(shù)據(jù)包列表，以至于很難找到自己自己抓取的數(shù)據(jù)包部分。wireshar工具中自帶了兩種類型的過濾器，學(xué)會使用這兩種過濾器會幫助我們在大量的數(shù)據(jù)中迅速找到我們需要的信息。

（1）抓包過濾器

捕獲過濾器的菜單欄路徑為Capture --> Capture Filters。用于在抓取數(shù)據(jù)包前設(shè)置。

如何使用？可以在抓取數(shù)據(jù)包前設(shè)置如下。

ip host 60.207.246.216 and icmp表示只捕獲主機(jī)IP為60.207.246.216的ICMP數(shù)據(jù)包。獲取結(jié)果如下：

（2）顯示過濾器

顯示過濾器是用于在抓取數(shù)據(jù)包后設(shè)置過濾條件進(jìn)行過濾數(shù)據(jù)包。通常是在抓取數(shù)據(jù)包時(shí)設(shè)置條件相對寬泛，抓取的數(shù)據(jù)包內(nèi)容較多時(shí)使用顯示過濾器設(shè)置條件顧慮以方便分析。同樣上述場景，在捕獲時(shí)未設(shè)置捕獲規(guī)則直接通過網(wǎng)卡進(jìn)行抓取所有數(shù)據(jù)包，如下

執(zhí)行ping www.huawei.com獲取的數(shù)據(jù)包列表如下

觀察上述獲取的數(shù)據(jù)包列表，含有大量的無效數(shù)據(jù)。這時(shí)可以通過設(shè)置顯示器過濾條件進(jìn)行提取分析信息。ip.addr == 211.162.2.183 and icmp。并進(jìn)行過濾。

上述介紹了抓包過濾器和顯示過濾器的基本使用方法。在組網(wǎng)不復(fù)雜或者流量不大情況下，使用顯示器過濾器進(jìn)行抓包后處理就可以滿足我們使用。下面介紹一下兩者間的語法以及它們的區(qū)別。

主要作用

網(wǎng)絡(luò)管理員使用Wireshark來檢測網(wǎng)絡(luò)問題，網(wǎng)絡(luò)安全工程師使用 Wireshark 來檢查資訊安全相關(guān)問題，開發(fā)者使用 Wireshark 來為新的通訊協(xié)定除錯(cuò)，普通使用者使用 Wireshark 來學(xué)習(xí)網(wǎng)絡(luò)協(xié)定的相關(guān)知識。當(dāng)然，有的人也會“居心叵測”的用它來尋找一些敏感信息……

Wireshark不是入侵偵測系統(tǒng)（Intrusion Detection System,IDS）。對于網(wǎng)絡(luò)上的異常流量行為，Wireshark 不會產(chǎn)生警示或是任何提示。然而，仔細(xì)分析 Wireshark 擷取的封包能夠幫助使用者對于網(wǎng)絡(luò)行為有更清楚的了解。Wireshark 不會對網(wǎng)絡(luò)封包產(chǎn)生內(nèi)容的修改，它只會反映出目前流通的封包資訊。 Wireshark本身也不會送出封包至網(wǎng)絡(luò)上。

軟件特色

1.在接口實(shí)時(shí)捕捉包

2.支持UNIX和Windows平臺

3.可以打開/保存捕捉的包

4.能詳細(xì)顯示包的詳細(xì)協(xié)議信息

5.可以通過多種方式過濾包

6.可以導(dǎo)入導(dǎo)出其他捕捉程序支持的包數(shù)據(jù)格式

7.多種方式查找包

8.通過過濾以多種色彩顯示包

9.創(chuàng)建多種統(tǒng)計(jì)分析

wireshark中文版功能

1、網(wǎng)絡(luò)安全工程師用來檢測安全隱患。

2、網(wǎng)絡(luò)管理員檢測網(wǎng)絡(luò)問題。

3、能夠與網(wǎng)卡直接進(jìn)行數(shù)據(jù)報(bào)文交換。

使用方法

1、明確Wireshark的部位
要是沒有一個(gè)正確位子，運(yùn)行Wireshark之后耗費(fèi)很長時(shí)間捕獲一些和自己不相干的數(shù)據(jù)。
2、挑選捕獲插口
一般都會選擇傳送到Internet網(wǎng)絡(luò)的插口，這樣才能夠捕獲到與網(wǎng)絡(luò)相關(guān)的數(shù)據(jù)。不然，捕獲過的其他數(shù)據(jù)對自身沒有任何協(xié)助。
3、應(yīng)用捕獲過濾器
可設(shè)置捕獲過濾器，能夠避免造成過大捕獲文檔。那樣客戶在剖析數(shù)據(jù)時(shí)，都不會受其他數(shù)據(jù)影響。并且，還能夠?yàn)轭櫩凸?jié)省大量時(shí)間。
4、應(yīng)用表明過濾器
一般應(yīng)用捕獲過濾器過慮后數(shù)據(jù)，通常還很繁雜。為了能讓過慮的數(shù)據(jù)包再更具體，這時(shí)應(yīng)用表明過濾器開展過慮。
5、應(yīng)用上色標(biāo)準(zhǔn)
一般應(yīng)用表明過濾器過慮后數(shù)據(jù)，都是有效的數(shù)據(jù)包。如果要更突出的表明某一對話，可以用上色標(biāo)準(zhǔn)突出顯示。
6、搭建數(shù)據(jù)圖表
假如客戶要想更突出的看得出一個(gè)網(wǎng)絡(luò)里數(shù)據(jù)的變化趨勢，應(yīng)用數(shù)據(jù)圖表的方式能夠非常方便呈現(xiàn)數(shù)據(jù)分布特征。
7、重組數(shù)據(jù)
Wireshark的重組作用，能夠重組一個(gè)會話中不一樣數(shù)據(jù)包的信息，或者一個(gè)重組一個(gè)完整的照片或文檔。因?yàn)閭魉臀募ǔ１容^大，因此信息遍布在各個(gè)數(shù)據(jù)包中。為了能查詢到所有照片或文檔，這個(gè)時(shí)候就需要應(yīng)用重組數(shù)據(jù)的方法去完成。

以上便是WinWin7給大家分享介紹的wireshark網(wǎng)絡(luò)抓包工具！