凡是學網絡的人對Wireshark必定都不陌生,但我之前對Wireshark也僅僅只是會用而已,技術層面非常淺。在2015年的信息安全管理與評估國賽試題中,對Wireshark的使用提出了很高的要求,另外國外有一份網絡安全工具排行榜( http://sectools.org/),榜單中共包括了125個安全工具,其中穩居排行榜第一位的就是Wireshark。
Wireshark是目前使用最為廣泛的開源抓包軟件,其前身為Ethereal,由Gerald Combs編寫並於1998年以GPL開源許可證發布。還記得當初學習Linux時提到的GNU計划吧?GPL正是GNU的核心協議,凡是遵循這個協議的軟件都必須要開源免費,這應該也正是Wireshark可以快速發展並長期雄踞Sectools排行榜首位的主要原因吧。
Wireshark的核心功能是捕捉網絡數據包,並盡可能地顯示出數據包中的詳細信息,底層需要Winpcap的支持。其基本工作原理是:當計算機上的網卡收到數據幀時,會查看數據幀的目的MAC和本網卡的MAC地址是否相同。如果不同就丟棄幀,如果相同就接收幀並交給上一層處理。對於廣播幀或者組播幀,網卡也會接收下來,但在正常情況下,這些幀會被丟棄。當計算機上啟動Wireshark后,網卡會被置為混雜模式,這時只要數據幀能達到網卡,不論幀的目的MAC和本網卡的MAC地址是否相同,網卡將全部接收並交給Wireshark處理。
Wireshark的應用非常廣泛。如果是網絡工程師,可以通過Wireshark對網絡進行故障定位和排錯;如果是安全工程師,可以通過Wireshark對網絡黑客滲透攻擊進行快速定位並找出攻擊源;如果是滲透或軟件工程師,可以通過Wireshark分析底層通信機制等等。
Wireshark的官網是 https://www.wireshark.org/,可以根據自己的需要下載相應的版本使用。
Wireshark的安裝過程非常簡單,全部單擊next按鈕即可。Wireshark依賴Winpcap來工作,如果計算機未安裝過WinPcap軟件,安裝程序會要求安裝Winpcap,也是全部單擊next按鈕即可。
Wireshark運行之后,在Capture模塊中選擇要進行監聽的網卡,然后點擊Start即可開始抓包。
在工具欄中點擊停止按鈕終止抓包,然后可以選擇將抓取到的數據包保存下來,這樣以后可以隨時打開進行分析,或者是發送給別人幫忙分析。
從最新的2.0版開始,Wireshark已經可以完美支持中文了,使用起來更加方便。
原文鏈接:
https://blog.51cto.com/yttitan/1732746