一.wireshark介绍 Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 Wireshark使用目的 以下是一些使用Wireshark目的的例子: 网络管理员使用Wireshark来检测网络问题,网络安全工程师使用Wireshark来检查资讯安全相关问题,开发者使用Wireshark来为新的通讯协定除错,普通使用者使用Wireshark来学习网络协定的相关知识。当然,有的人也会“居心叵测”的用它来寻找一些敏感信息…… Wireshark不是入侵侦测系统(Intrusion Detection System,IDS)。对于网络上的异常流量行为,Wireshark不会产生警示或是任何提示。然而,仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改,它只会反映出目前流通的封包资讯。 Wireshark本身也不会送出封包至网络上。
二.下载安装
Wireshark官方下载地址:http://www.wireshark.org/download.html
根据自己系统需要下载相应的文件
这里选择win32版本下载后得到安装文件,一个21M的东东。
windows软件的安装相对就简单多了,一般双击下一步就可以了。其中有一步需要注意的,就是wireshark抓包需要winpcap支持。
三.配置使用
安装完成启动后可以看到以下界面
点击按钮,列出所有可用的网卡,根据自己配置选择物理网卡,然后点击下面的start按钮 即可开始抓包。
相对来说还是比较简单易用的。
开始抓包的显示如下
四.界面介绍
1.菜单栏
菜单包括以下几个项目:
File ——包括打开、合并捕捉文件,save/保存,Print/打印,Export/导出捕捉文件的全部或部分。以及退出Wireshark项.
Edit ——包括如下项目:查找包,时间参考,标记一个多个包,设置预设参数。(剪切,拷贝,粘贴不能立即执行。)
View ——控制捕捉数据的显示方式,包括颜色,字体缩放,将包显示在分离的窗口,展开或收缩详情面版的地树状节点
GO ——包含到指定包的功能。
Analyze ——包含处理显示过滤,允许或禁止分析协议,配置用户指定解码和追踪TCP流等功能。
Statistics ——包括的菜单项用户显示多个统计窗口,包括关于捕捉包的摘要,协议层次统计等等。
Help ——包含一些辅助用户的参考内容。如访问一些基本的帮助文件,支持的协议列表,用户手册。在线访问一些网站,“关于”
2.工具栏
各个功能的快捷按钮
3.过滤栏
点击Filter按钮可以弹出菜单
点击 在此区域输入或修改显示的过滤字符,在输入过程中会进行语法检查。如果您输入的格式不正确,或者未输入完成,则背景显示为红色。直到您输入合法的表达式,背景会变为绿色。你可以点击下拉列表选择您先前键入的过滤字符。列表会一直保留,即使您重新启动程序。
注意:
做完修改之后,记得点击右边的Apply(应用)按钮,或者回车,以使过滤生效。
输入框的内容同时也是当前过滤器的内容(当前过滤器的内容会反映在输入框)
下面几个区域
好了,今天先进行到这里,算是初步认识下wireshark软件的界面熟悉下具体的区域作用,对于其他详细的介绍我们后面继续进行。
