wireshark是一款非常棒的Unix和Windows上的开源网络协议分析器。它可以实时检测网络通讯数据,也可以检测其抓取的网络通讯数据快照文件。可以通过图形界面浏览这些数据,可以查看网络通讯数据包中每一层的详细内容。
wireshark抓包分析软件特性
包含有强显示过滤器语言(rich display filter language)和查看TCP会话重构流的能力;它更支持上百种协议和媒体类型; 拥有一个类似tcpdump(一个Linux下的网络协议分析工具)的名为tethereal的的命令行版本。
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包, 并尽可能显示出最为详细的网络封包资料。网络封包分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作 – 只是将场景移植到网络上,并将电线替换成网络线。
在过去,网络封包分析软件是非常昂贵,或是专门属于营利用的软件。Ethereal的出现改变了这一切。在GNU GPL通用许可证的保障范围底下,使用者可以以免费的代价取得软件与其程式码,并拥有针对其原始码修改及客制化的权利。Ethereal是目前全世界最广泛的网络封包分析软件之一。
Wireshark使用教程
抓取报文:
1、请先运行打开Wireshark,然后在软件界面中选择接口列表处选择需要的接口名。想要抓取流量就选择无线接口,再选择【Capture Options】就可以自定义配置信息了。目前操作不必要设置这些。
2、我们选择接口名后就可以看到实时接收的报文了。
3、以下软件截图是小编截取的演示结果,每一行对应一个网络报文,也有该报文的当前接受时间、目标ip地址和源。
4、不需要在继续抓取报文的时候选择界面中左上角位置的停止按钮即可停止。
Wireshark 功能
Wireshark具有丰富的功能集,包括以下内容:
深入检查数百种协议,一直加入更多
实时捕捉和离线分析
标准三窗格分组浏览器
多平台:在Windows,Linux,macOS,Solaris,FreeBSD,NetBSD等许多应用程序上运行
捕获的网络数据可以通过GUI或TTY模式TShark实用程序浏览
业界最强大的显示滤镜
丰富的VoIP分析
读/写许多不同的捕获文件格式:tcpdump(libpcap),Pcap NG,Catapult DCT2000,Cisco Secure IDS iplog,Microsoft网络监视器,Network GeneralSniffer?(压缩和未压缩),Sniffer?Pro和NetXray?网络仪器观察器,NetScreen snoop,Novell LANalyzer,RADCOM WAN / LAN分析仪,Shomiti / Finisar Surveyor,Tektronix K12xx,Visual Networks Visual UpTime,WildPackets Etherpeek / TokenPeek / AiroPeek等许多
捕获使用gzip压缩的文件可以快速解压缩
实时数据可以从以太网,IEEE 802.11,PPP / HDLC,ATM,蓝牙,USB,令牌环,帧中继,FDDI等(取决于您的平台)
许多协议的解密支持,包括IPsec,ISAKMP,Kerberos,SNMPv3,SSL / TLS,WEP和WPA / WPA2
着色规则可以应用于数据包列表,以进行快速,直观的分析
输出可以导出为XML,PostScript?,CSV或纯文本
新版变化
Wireshark · Release Notes
https://www.wireshark.org/docs/relnotes/
运行要求
Pcap驱动, Windows 7 或更高版
v1.4.9 -> 支持 WinXP 的最终版