Wireshark是一个免费的应用程序,用于捕获和查看在网络上来回传输的数据。它提供了向下钻取和读取每个数据包内容的功能,并经过筛选以满足您的特定需求。它通常用于解决网络问题以及开发和测试软件。这种开源协议分析仪被广泛接受为行业标准,多年来赢得了公平的奖项。
Wireshark最初称为Ethereal,具有用户友好的界面,可以显示所有主要网络类型上数百种不同协议的数据。可以实时查看数据包或离线分析数据包。 Wireshark支持许多支持的捕获/跟踪文件格式,包括CAP和ERF。集成的解密工具允许您查看多种常用协议(包括WEP和WPA / WPA2)的加密数据包。
01年01月下载并安装Wireshark
Wireshark可以从Wireshark Foundation网站免费下载,用于macOS和Windows操作系统。除非您是高级用户,否则建议您仅下载最新的稳定版本。在Windows安装过程中,您应该选择在出现提示时安装WinPcap,因为它包含实时数据捕获所需的库。
该应用程序也可用于Linux和大多数其他类UNIX平台,包括Red Hat,Solaris和FreeBSD。这些操作系统所需的二进制文件可以在第三方软件包部分的下载页面底部找到。您也可以从此页面下载Wireshark的源代码。
如何捕获数据包
首次启动Wireshark时,会出现一个欢迎屏幕,其中包含当前设备上可用网络连接的列表。在此示例中,您将注意到显示以下连接类型:蓝牙网络连接,以太网,VirtualBox仅主机网络和Wi-Fi。每个显示在右侧的是EKG样式的折线图,表示相应网络上的实时流量。
要开始捕获数据包,请通过单击您的选择并使用,选择一个或多个网络 转移 要么 按Ctrl 如果要同时记录来自多个网络的数据,请使用密钥。选择连接类型进行捕获后,其背景将以蓝色或灰色阴影显示。点击 捕获 位于Wireshark界面顶部的主菜单中。出现下拉菜单时,选择 开始 选项。
您还可以通过以下快捷方式之一启动数据包捕获。
- 键盘: 按按Ctrl + E.
- 老鼠: 要开始从一个特定网络捕获数据包,请双击其名称。
- 工具栏: 单击位于Wireshark工具栏最左侧的蓝色鲨鱼鳍按钮。
实时捕获过程开始,Wireshark在记录时显示数据包详细信息。要停止捕获:
- 键盘: 按 按Ctrl + Ë
- 工具栏: 点击红色 停止 按钮位于Wireshark工具栏上的鲨鱼鳍旁边。
查看和分析数据包内容
记录一些网络数据后,是时候查看捕获的数据包了。捕获的数据接口包含三个主要部分:数据包列表窗格,数据包详细信息窗格和数据包字节窗格。
包列表
位于窗口顶部的数据包列表窗格显示在活动捕获文件中找到的所有数据包。每个数据包都有自己的行和分配给它的相应编号,以及每个数据点。
- 时间: 捕获数据包的时间戳显示在此列中。默认格式是自首次创建此特定捕获文件以来的秒数或部分秒数。要将此格式修改为可能更有用的内容,例如实际的时间,请选择 时间显示格式 Wireshark的选项 视图 菜单位于主界面的顶部。
- 资源: 此列包含数据包发起的地址(IP或其他)。
- 目的地: 此列包含数据包发送到的地址。
- 协议: 可以在此列中找到数据包的协议名称,例如TCP。
- 长度: 数据包长度(以字节为单位)显示在此列中。
- 信息: 此处提供有关数据包的其他详细信息。根据数据包内容,此列的内容可能会有很大差异。
在顶部窗格中选择数据包时,您可能会注意到第一列中出现一个或多个符号。打开或关闭括号和直线水平线表示数据包或数据包组是否都是网络上相同的来回通话的一部分。水平线损坏表示数据包不是所述会话的一部分。
包详细信息
中间的详细信息窗格以可折叠格式显示所选数据包的协议和协议字段。除了扩展每个选择之外,您还可以根据特定详细信息应用单个Wireshark过滤器,并通过详细信息上下文菜单跟踪基于协议类型的数据流,可以通过右键单击此窗格中所需项目来访问该菜单。
包字节
底部是数据包字节窗格,它以十六进制视图显示所选数据包的原始数据。此十六进制转储包含16个十六进制字节和16个ASCII字节以及数据偏移量。
选择此数据的特定部分会自动突出显示数据包详细信息窗格中的相应部分,反之亦然。任何无法打印的字节都由句点表示。
您可以选择以位格式显示此数据而不是十六进制,方法是右键单击窗格中的任意位置,然后从上下文菜单中选择适当的选项。
07年04月使用Wireshark过滤器
Wireshark中最重要的功能集之一是它的过滤功能,特别是当您处理大小相当的文件时。可以在事实之前设置捕获过滤器,指示Wireshark仅记录符合指定条件的数据包。
过滤器也可以应用于已创建的捕获文件,以便仅显示某些数据包。这些被称为显示过滤器。
Wireshark默认提供大量预定义过滤器,只需几次按键或鼠标点击即可缩小可见数据包的数量。要使用其中一个现有过滤器,请将其名称放在 应用显示过滤器 输入字段位于Wireshark工具栏正下方或 输入捕获过滤器 入口字段位于欢迎屏幕的中心。
有多种方法可以实现这一目标。如果您已经知道过滤器的名称,请在相应的字段中键入它。例如,如果您只想显示TCP数据包,请键入 TCP。 Wireshark的自动完成功能会在您开始输入时显示建议的名称,从而更容易找到您正在寻找的过滤器的正确名字。
选择过滤器的另一种方法是单击位于输入字段左侧的类似书签的图标。这提供了一个菜单,其中包含一些最常用的过滤器以及一个选项 管理捕获过滤器 要么 管理显示过滤器。如果您选择管理任一类型,则会出现一个界面,允许您添加,删除或编辑过滤器。
您还可以通过选择输入字段右侧的向下箭头来访问以前使用的过滤器,以显示历史记录下拉列表。
设置后,一旦开始记录网络流量,就会应用捕获过滤器。要应用显示过滤器,请单击输入字段最右侧的右箭头按钮。
05年05月颜色规则
虽然Wireshark的捕获和显示过滤器允许您限制在屏幕上记录或显示哪些数据包,但其着色功能可以更容易地根据各自的色调区分不同的数据包类型。这个方便的功能使您可以通过数据包列表窗格中的行颜色快速定位已保存集中的某些数据包。
Wireshark内置了大约20个默认着色规则,如果您愿意,可以编辑,禁用或删除每个规则。您还可以通过着色规则界面添加新的基于阴影的过滤器,可从中访问 视图 菜单。除了为每个规则定义名称和过滤条件外,还要求您将背景颜色和文本颜色相关联。
可以通过以下方式打开和打开数据包着色 着色包列表 选项,也发现在 视图 菜单。
07年6月统计
除了Wireshark主窗口中显示的有关您的网络数据的详细信息之外,还可以通过其他几个有用的指标获得。 统计 在屏幕顶部找到下拉菜单。其中包括有关捕获文件本身的大小和时间信息,以及从数据包对话故障到HTTP请求负载分配等主题的数十个图表和图形。
显示过滤器可以通过其接口应用于许多这些统计信息,并且结果可以导出为几种常见的文件格式,包括CSV,XML和TXT。
07年07月高级功能
除了Wireshark的主要功能外,此强大工具还提供了一系列附加功能,通常仅供高级用户使用。这包括使用Lua编程语言编写自己的协议解析器的能力。
