📌  相关文章
📜  Wireshark 简介

📅  最后修改于: 2021-10-22 03:18:26             🧑  作者: Mango

Wireshark 是一种软件工具,用于通过网络接口监控网络流量。它是当今使用最广泛的网络监控工具。 Wireshark 受到系统管理员、网络工程师、网络爱好者、网络安全专家和黑帽黑客的同等喜爱。它的流行程度如此之大,以至于使用 Wireshark 的经验被认为是计算机网络相关专业人士的宝贵/基本特征。
Wireshark 如此受欢迎的原因有很多:

  1. 它有一个很棒的 GUI 以及一个传统的 CLI(T Shark)。
  2. 它提供几乎所有类型的网络标准(以太网、WLAN、蓝牙等)的网络监控
  3. 它是开源的,拥有庞大的支持者和开发者社区。
  4. 存在用于监控、分析和记录网络流量的所有必要组件。
    它可以免费使用。

Wireshark 的历史
Wireshark 最初的目的是开发一种用于密切分析网络数据包的工具。它由 Gerald Combez 于 1997 年创立,最初的名字是 Ethereal。它最初于 1998 年 7 月作为 0.2.0 版发布。由于得到了开发者社区的支持,它发展迅速,并于 2008 年以 1.0 版的形式发布,在它更名为 Wireshark 近两年后。

Wireshark 安装:
窗户

  • 您可以在 Windows 系统上正确安装或将 Wireshark 作为便携式应用程序运行。要下载安装可执行文件或便携式应用程序,请转到 Wireshark 下载
  • 运行可执行文件并按照屏幕上的说明完成安装。

在 Linux 上:

  • 使用您的包管理器安装。有关正确的语法,请参阅包管理器的手册。
    大多数 Debian Linux 操作系统都预装了 apt(高级打包工具)包管理器。同样,Fedora 系列操作系统也预装了“yum”包管理器。
    通用命令是 

     install Wireshark 
  • 您可以选择预先安装了 Wireshark 的基于安全性的 Linux 操作系统,例如 Kali Linux。

启动 Wireshark 时,您将看到如下屏幕:
(此处插入图片)

Wireshark 的基本特性是:

  1. 数据包监视器:此段直观地显示网络内部流动的数据包。每种类型的数据包都有颜色代码。数据包显示有以下信息:
    1.源地址
    2. 目的地地址
    3. 数据包类型
    4. 数据包的十六进制转储
    5. 文本包内容
    6. 源端口(如适用)
    7. 目的港(如适用)
  2. 从捕获文件导入:
    此功能允许您从捕获文件导入数据包转储以进一步分析。 Wireshark 支持多种格式,其中一些是:
    • 包邮
    • libpcap
    • Oracle 监听和 atmsnoop
    • Finisar(以前称为 Shomiti)Surveyor 捕获
    • Microsoft 网络监视器捕获
    • Novell LANalyzer 捕获
    • AIX iptrace 捕获
    • Cinco Networks NetXray 捕获
    • Network Associates 基于 Windows 的 Sniffer 和 Sniffer Pro 捕获
    • Network General/Network Associates 基于 DOS 的嗅探器(压缩或未压缩)捕获
    • AG Group/WildPackets/Savvius EtherPeek/TokenPeek/AiroPeek/EtherHelp/PacketGrabber 捕获
    • RADCOM 的 WAN/LAN 分析器捕获
    • Network Instruments Observer 版本 9 捕获
    • Lucent/Ascend 路由器调试输出
    • HP-UX 的 nettl
    • 东芝的 ISDN 路由器转储输出
    • ISDN4BSD i4btrace 实用程序
    • 来自 EyeSDN USB S0 的踪迹
    • 来自 Cisco 安全入侵检测系统的 IPLog 格式

      pppd 日志(pppdump 格式)

    • VMS 的 TCPIPtrace/TCPtrace/UCX$TRACE 实用程序的输出
    • DBS Etherwatch VMS 实用程序的文本输出
    • Visual Networks 的 Visual UpTime 流量捕获
    • CoSine L2 调试的输出
    • Accellent 的 5Views LAN 代理的输出
    • Endace Measurement Systems 的 ERF 格式捕获
    • Linux Bluez 蓝牙堆栈 hcidump -w 跟踪
    • Catapult DCT2000 .out 文件
    • Gammu 在 Netmonitor 模式下从诺基亚 DCT3 手机生成文本输出
    • IBM 系列 (OS/400) 通信跟踪(ASCII 和 UNICODE)
    • 瞻博网络 Netscreen 窥探捕获
    • Symbian 操作系统 btsnoop 捕获
    • Tamosoft CommView 捕获
    • Textronix K12xx 32 位 .rf5 格式捕获
    • Textronix K12 文本文件格式捕获
    • Apple PacketLogger 捕获
    • 从 Aethra Telecommunications 的 PC108 软件捕获
  3. 导出到捕获文件:Wireshark 允许您将结果保存为捕获文件,以便在以后继续处理它们。支持的格式有:
    • pcapng (*.pcapng)
    • libpcap、tcpdump 和其他各种使用 tcpdump 捕获格式(*.pcap、*.cap、*.dmp)的工具
    • Accellent 5Views (*.5vw)
    • HP-UX 的 nettl (*.TRC0, *.TRC1)
    • Microsoft 网络监视器 – NetMon (*.cap)
    • Network Associates Sniffer – DOS(*.cap、*.enc、*.trc、*fdc、*.syc)
    • Network Associates Sniffer – Windows (*.cap)
    • Network Instruments Observer 版本 9 (*.bfr)
    • Novell LANalyzer (*.tr1)
    • Oracle(以前是 Sun)探听(*.snoop、*.cap)
    • Visual Networks Visual UpTime 流量 (*.*)。

作为初学者,您应该只专注于熟悉 Wireshark UI 的基础知识和其他基础知识(此处给出的格式仅供一目了然,此时您不必对它们进行任何操作)。

完成这些基础知识后,您现在可以开始使用该工具了。启动Wireshark,选择一个接口(选择一个当前正在通信的接口,可以通过接口名称前面的锯齿图案来验证),然后点击fin图标开始抓包。将结果保存为捕获文件,并在查看完流量后退出。基本面到此结束。