網絡抓包工具wireshark

wireshark綠色中文版是國內使用（yòng）比（bǐ）較（jiào）多的網絡封包分析軟件，網絡管理員經常用的到的。小編（biān）帶來的此版本為中文，英文的相信很多人看不懂；並且打開就（jiù）可（kě）以使（shǐ）用，無需安裝，很方便。如果你是網絡安全工程師，建議收藏哦！

wireshark官方介紹

Wireshark是一款非常棒的Unix和Windows上的開源網絡協議分析（xī）器。它可以實時檢測網絡通訊數據，也可（kě）以檢測（cè）其抓取的網（wǎng）絡通訊數據快照文件。

可以通（tōng）過圖形界麵瀏覽這些數（shù）據，可以查看網絡通訊數（shù）據包中每（měi）一層的（de）詳細內（nèi）容。

軟件特色

1.在接口實時（shí）捕捉包

2.支持UNIX和Windows平台

3.可（kě）以打開/保（bǎo）存捕捉的包

4.能詳細顯示（shì）包的詳細協議信息

5.可以通過多種方式（shì）過濾包

6.可以（yǐ）導入導出其他捕捉程序（xù）支持的包數據格式

7.多種方式（shì）查找包

8.通過過濾以多種色彩顯示包（bāo）

9.創建多種統計分析（xī）

wireshark中文（wén）版功能（néng）

1、網絡安全工程師用來檢測安全（quán）隱患。

2、網絡管理員檢測網絡問題。

3、能夠與網卡（kǎ）直接（jiē）進行（háng）數（shù）據報文交換。

使用方法

1、確定Wireshark的位置

如果沒有（yǒu）一個正確的位置，啟動Wireshark後會花費很長的時間捕獲一些與自己無關的數據（jù）。

2、選擇（zé）捕獲接口

一般都是選（xuǎn）擇連接到Internet網絡的接口（kǒu），這樣才可以捕獲到與網絡相關的（de）數據。否則，捕獲到的其它數據對自己也（yě）沒（méi）有任何幫助。

3、使用捕獲過濾器

通過設置捕獲過濾器，可以避免產生過大的捕獲文（wén）件。這樣用戶在分析（xī）數據時，也不會受其它數據幹擾。而（ér）且，還可以（yǐ）為用戶節約大（dà）量的時間。

4、使用顯示過濾器

通常使用捕獲過濾器過濾後的數據（jù），往往還是很複雜。為了使過濾的數據包再（zài）更細致，此（cǐ）時使用顯示過濾器（qì）進行（háng）過濾。

5、使用（yòng）著色規則

通常使用顯示過濾器（qì）過濾後（hòu）的數據，都是有用的數據包（bāo）。如（rú）果想更加突出的（de）顯示某個會話，可以（yǐ）使用著色規則高亮顯示。

6、構建圖表

如果用戶想要更明顯的看出一個網絡中數據的變化情況，使（shǐ）用圖（tú）表的形式可以很方便（biàn）的展現數據（jù）分布情況。

7、重組（zǔ）數據

Wireshark的重組（zǔ）功能（néng），可以重（chóng）組（zǔ）一個會話中不同數據包的信息，或者是一個重組一個完整的圖片或文件。由於傳（chuán）輸的文件往往較大，所以信息分布在多個（gè）數據包中。為了能夠查看到整個圖（tú）片（piàn）或（huò）文件，這時（shí）候（hòu）就需要使用重組數據的方法來實現。

界麵詳細說（shuō）明和操作

說明（míng）：數（shù）據包列表區中不同的協（xié）議使用了不同的顏色區（qū）分。協議顏色（sè）標識定（dìng）位（wèi）在菜單欄（lán）View --> Coloring Rules。如下所示

WireShark 主要分為這幾個界麵

1. Display Filter(顯示過濾器)，  用於設置過濾條件進行數據包列表過濾。菜單路徑：Analyze --> Display Filters。

2. Packet List Pane(數據包列表)， 顯示捕獲到的數據包，每個數據包包含編（biān）號，時間戳，源地址，目標地址（zhǐ），協議，長度，以（yǐ）及數據包信息。 不同協議的數據包使用了不（bú）同的顏色區分（fèn）顯示。

3. Packet Details Pane(數據包詳細信息（xī）), 在數據包列表中（zhōng）選擇指定數據包，在數據包詳細信息中會顯示數據包的（de）所有詳（xiáng）細信息（xī）內容。數（shù）據包（bāo）詳細信息麵板是最重要的，用來查看協議中的（de）每一個字段。各行信息分別為

（1）Frame:   物理層的數據（jù）幀概況

（2）Ethernet II: 數（shù）據鏈路層以太網幀頭部信（xìn）息（xī）

（3）Internet Protocol Version 4: 互聯網層IP包頭部（bù）信息

（4）Transmission Control Protocol:  傳輸層T的數據段（duàn）頭部信息，此處是TCP

（5）Hypertext Transfer Protocol:  應用層的信息，此處是HTTP協（xié）議

TCP包的具體內容

從下圖可以看到wireshark捕獲到的TCP包中（zhōng）的每個字段。

4. Dissector Pane(數據包字節區)。

Wireshark過濾器設置

初學者使用wireshark時，將會得到大量的冗餘數據包列表（biǎo），以至於很難找到自己自己抓取的數據包部分。wireshar工具中自帶了兩種類（lèi）型的過濾器，學會使用這兩種過濾器（qì）會幫助（zhù）我們在大量的數據中迅速找（zhǎo）到我們需要的（de）信息。

（1）抓包（bāo）過濾器

捕獲過濾器的菜單欄路徑為Capture --> Capture Filters。用（yòng）於在抓取數據（jù）包前設置。

如何使用？可以在抓取數據包前設置如下。

ip host 60.207.246.216 and icmp表示隻捕獲主機IP為60.207.246.216的ICMP數據包。獲取結果（guǒ）如下：

（2）顯示過濾器

顯示過濾器是用（yòng）於在抓（zhuā）取數據包後設置過濾條件進行過濾數據包。通常是在抓（zhuā）取數（shù）據包時設置條件（jiàn）相（xiàng）對寬泛（fàn），抓取的數據包內容較多時使用顯示過濾器設（shè）置條件顧慮以方（fāng）便分析。同樣（yàng）上述場景，在（zài）捕獲時未設置捕獲規則直接通過網卡進行抓取所有數據包，如下

執行ping www.huawei.com獲取的數據包列（liè）表如下（xià）

觀察上述獲取的數據包列表，含有大量的無效數據。這時（shí）可以通過設置（zhì）顯示器過濾條件進行（háng）提取分析信息（xī）。ip.addr == 211.162.2.183 and icmp。並（bìng）進行（háng）過濾。

上述介紹了抓包過濾器和顯示過濾器的基本使用方法。在組網不複雜或者（zhě）流量不（bú）大情況下，使用顯示器過濾器進行抓包後處理就可（kě）以滿足我們使用。下（xià）麵介紹（shào）一下兩者間的語法以及它們的區別。

主要（yào）作用

網絡管理員使用Wireshark來檢測網絡問題，網絡安全工（gōng）程師使用 Wireshark 來檢（jiǎn）查資訊安（ān）全（quán）相關問題，開發者使用 Wireshark 來（lái）為新的通訊協定除錯，普通使用者使用 Wireshark 來學習網絡協定的相關知識。當然，有的人（rén）也會“居心叵測”的用它來尋找一些敏感信息……

Wireshark不是入侵偵測（cè）係統（Intrusion Detection System,IDS）。對於網絡上的異常流量行為，Wireshark 不會產生警示（shì）或是任何提示（shì）。然而，仔細分析 Wireshark 擷取的封（fēng）包（bāo）能夠幫助使（shǐ）用者對於網絡行為有更清楚（chǔ）的了解。Wireshark 不會對網絡封包產生（shēng）內容的修改，它隻會反（fǎn）映出目前流通的封包資訊。 Wireshark本身也（yě）不會送出封（fēng）包至網絡（luò）上。

小編點評

網絡協議分析、抓包嗅（xiù）探軟件的“世界標準”！

能與（yǔ）思科gns3模擬器、華為eNSP模擬器完（wán）美調用結合（hé）！

更新日誌

v3.6.8更新內（nèi）容：

1：全（quán）新界麵，清爽，簡單，高效

2：性能越來越好（hǎo）

v3.6.1更新內容：

錯誤（wù）修複

以下漏洞已修（xiū）複:

RTMPT解析器無限循環（huán）。17745年問題。cve – 2021 – 4185。

BitTorrent DHT解析器無限循環。17754年問題。cve – 2021 – 4184。

pcapng文件解析器崩潰。17755年問題。cve – 2021 – 4183。

RFC 7468文件解析器無限循環。17801年問（wèn）題。cve – 2021 – 4182。

Sysdig事件剖析器崩潰。cve – 2021 – 4181。

Kafka解析區無限循環。17811年問題（tí）。

以下錯誤已（yǐ）被修複:

允許以（yǐ）hexdumps形式顯示次秒時間（jiān）戳。

GRPC:如果（guǒ）GRPC消息體長度為0 Issue 17675，會顯示一個不必要的空Protobuf項。

無法安裝”ChmodBPF。或“將Wireshark添（tiān）加到係統路徑”。在沒有羅塞塔（tǎ）2 17757號的M1 MacBook Air Monterey上。

LIN有效載荷（hé）被截斷1字節17760問題。

如果一個BASE_CUSTOM類型的64位字段被應用為（wéi）一個列Issue 17762, Wireshark會崩潰。

命令行選項（xiàng）”-o console.log。導致wireshark和tshark在啟動（dòng）時退出。

設置WIRESHARK_LOG_LEVEL=debug會中斷接口捕獲。

沒有tshark Issue 17766無法構建。

IEEE 802.11動作幀沒有被解析（xī），總是被看作是畸形的17767問題。

iec60870 -5-101鏈（liàn）路地址字段是1字（zì）節，但應該具有0、1或2字節的可配置長度。

dfilter:“tcp。port not in{1}’崩潰Wireshark Issue 17785

新增和更新特性

“console.log。在Wireshark 3.6.0中刪除了level的優先（xiān）級。這個（gè）版本增加（jiā）了（le）一個’-o console.log。level:’ CLI中的向後兼（jiān）容選項，映射到新的日誌子係統。注意，這沒（méi）有位（wèi）掩碼語義，也不對應任何實際的首選項。它隻是一個過渡機製，為（wéi）用戶依賴這個CLI選項，並將在未（wèi）來被刪除。要查（chá）看新的診斷輸出選項，請參閱手冊或’——help’的輸（shū）出。

新協議支持

本版本中沒有新的協議（yì）。

更新（xīn）後的協議支持

ANSI A I/F、AT、BitTorrent DHT、FF、GRPC、IEC 101/104、IEEE 802.11、IEEE 802.11 Radiotap、IPsec、Kafka、QUIC、RTMPT、RTSP、SRVLOC、Sysdig Event、TECMP

新的和更新的捕獲文件支（zhī）持

BLF和RFC 7468

新的文件格式解碼支持

本版本不支持新（xīn）的或更新後的文件格（gé）式。