目錄
- Wireshark的簡介
- Wireshark面向的用戶
- Wireshark的下載安裝
- Wireshark抓取一個流量包
內容
1.Wireshark的簡介
Wireshark(前稱Ethereal)是一個數據包分析軟件。數據包分析軟件的功能是擷取網絡數據包,並盡可能顯示出最為詳細的數據包資料。Wireshark使用WinPCAP作為接口,直接與網卡進行數據報文交換。(wireshark只能用來進行網絡的監控,而不能用來對流量包進行修改)
什么是數據包?WinPCAP?網卡?
- 數據包:計算機的網絡通信就是二進制數據的傳輸,但是計算機不可能識別任意的二進制數據,所以統一規定了以數據包這種格式進行傳輸。可以把數據包比喻成平常的信封,既會有地址、郵政編碼等規定格式(通信規定好的格式),也有信封內容(傳輸的數據)
- WinPCAP:提供了一個編程接口,可以為win32應用程序提供訪問網絡底層的能力
- 網卡:無論是外界傳過來的數據流量,還是電腦傳到外界的數據流量,都要經過網卡的處理。
2.Wireshark面向的用戶
- 網絡管理員用來解決網絡問題
- 網絡安全工程師用來檢測安全隱患
- 開發人員用來測試協議執行情況
- 用來學習網絡協議
在工作中,需要查看網絡情況的地方
3.Wireshark的下載安裝
- 最新版:https://www.wireshark.org/
- 可用於xp的版本(官方說是1.10版本以下):https://www.wireshark.org/download/win32/all-versions/
1.首先打開網站,然后找到適用於xp的版本(1.10版本以下),然后下載
2.剛下載下來是u3p格式的文件,這里直接修改為zip格式然后解壓出來,運行wireshark.bat就行
4.Wireshark抓取一個流量包
- 選擇想要捕捉的接口,要清楚自己想要捕獲的是那部分的流量信息。那什么是接口?我們該如何進行選擇呢?接口可以簡單的理解為系統為本地與外界進行溝通的橋梁,一般系統中存在的接口有以太網(網線)、WLAN(WiFi)和其他虛擬接口。在進行選擇是可以通過本機用的是WiFi或網線進行選擇,如果先捕獲的是虛擬機的流量,也可以選擇虛擬網絡接口
- 捕捉流量時用到的主要顯示窗口:顯示過濾器、封包列表、封包詳細信息、16進制數據
- 保存捕捉到的流量:先停止流量的捕捉,然后選擇文件->另存為即可,保存為pcap格式。什么是pcap格式?pcap格式就是數據包存儲格式,現在wireshark在最新的版本中推出了pcapng數據包格式
