Wireshark簡介
協議分析(Protocol Analysis)(也稱呼為網絡分析-Network Analysis)是進入網絡通信系統,捕獲穿行在網絡中的數據,搜集網絡統計信息,將數據包解碼為可閱讀形式的過程。Wireshark 是使用最為廣泛的網絡協議分析器,從本質上來說,協議分析器是竊聽網絡通信。Wireshark通常被用來診斷網絡通信故障、測試網絡、搜集網絡性能趨勢數據等 。
前置知識
http協議
網卡
網卡(NIC)是局域網(LAN,全稱是:Local Area NetWork)中連接計算機和傳輸介質的接口,它工作在物理層(L1)。它是處於主機箱內的一塊網絡接口板,因為它的存在,從而使得本機能夠與外部局域網進行連接通信。
任何一台計算機,想要進行上網、通信功能,就必須使用網卡。
網卡的書面語是網絡適配器/網絡接口卡。
Wireshark協議分析器主要是用來對網絡中流入到本機計算機的數據包進行捕獲並分析,因此它和網卡的關系極為親近,沒有網卡就沒有協議分析器。
網卡分類
網卡種類很多,若按照數據鏈路層的控制來分,則有:以太網卡、令牌環網卡和ATM網卡等;若是按照物理層來分,則有無線網卡、光線網卡、同軸電纜網卡等。它們在數據鏈路層的控制、尋址及幀結構不同;物理上的鏈接方式不同、編碼方式不同、信號傳輸介質不同以及電平高低位不同等。
局域網LAN
用於機構內部通信與信息傳遞。通常使用以太網技術在公司、學習等局部的范圍內部構建一個網絡。LAN可以分為有線(使用雙絞線,光纖、電纜等)LAN如以太網和無線(使用電波)LAN如WLAN。
原理
wireshark是捕獲機器上的某一塊網卡的網絡包,當你的機器上有多塊網卡的時候,你需要選擇一個網卡。因為網絡上傳輸的數據包通過網卡進入到網絡協議分析器系統。
混雜模式與監視模式區別
監視模式僅用於無線卡,混雜模式用於無線和有線。監控模式使卡無需關聯接入點即可偵聽無線數據包。混雜模式使卡可以偵聽所有數據包,即使不是針對其的數據包。
顯示過濾器
顯示過濾器支持若干的過濾選項:源MAC, 目的MAC, 源IP, 目的IP, TCP/UDP傳輸協議,應用層協議(HTTP, DHCP等待), 源端口Port, 目的端口Port等。
經常用到捕獲或者顯示過濾器來對某一個協議進行過濾,來只查看該協議的流量
localhost問題
wireshark默認不支持監控本地回環數據
wireshark看不到訪問localhost的流量,只能看到經過網卡的流量。這在開發過程中導致無法調試自己本地localhost的接口。
具體解決方法見參考鏈接3