目录
- Wireshark的简介
- Wireshark面向的用户
- Wireshark的下载安装
- Wireshark抓取一个流量包
内容
1.Wireshark的简介
Wireshark(前称Ethereal)是一个数据包分析软件。数据包分析软件的功能是撷取网络数据包,并尽可能显示出最为详细的数据包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。(wireshark只能用来进行网络的监控,而不能用来对流量包进行修改)
什么是数据包?WinPCAP?网卡?
- 数据包:计算机的网络通信就是二进制数据的传输,但是计算机不可能识别任意的二进制数据,所以统一规定了以数据包这种格式进行传输。可以把数据包比喻成平常的信封,既会有地址、邮政编码等规定格式(通信规定好的格式),也有信封内容(传输的数据)
- WinPCAP:提供了一个编程接口,可以为win32应用程序提供访问网络底层的能力
- 网卡:无论是外界传过来的数据流量,还是电脑传到外界的数据流量,都要经过网卡的处理。
2.Wireshark面向的用户
- 网络管理员用来解决网络问题
- 网络安全工程师用来检测安全隐患
- 开发人员用来测试协议执行情况
- 用来学习网络协议
在工作中,需要查看网络情况的地方
3.Wireshark的下载安装
- 最新版:https://www.wireshark.org/
- 可用于xp的版本(官方说是1.10版本以下):https://www.wireshark.org/download/win32/all-versions/
1.首先打开网站,然后找到适用于xp的版本(1.10版本以下),然后下载
2.刚下载下来是u3p格式的文件,这里直接修改为zip格式然后解压出来,运行wireshark.bat就行
4.Wireshark抓取一个流量包
- 选择想要捕捉的接口,要清楚自己想要捕获的是那部分的流量信息。那什么是接口?我们该如何进行选择呢?接口可以简单的理解为系统为本地与外界进行沟通的桥梁,一般系统中存在的接口有以太网(网线)、WLAN(WiFi)和其他虚拟接口。在进行选择是可以通过本机用的是WiFi或网线进行选择,如果先捕获的是虚拟机的流量,也可以选择虚拟网络接口
- 捕捉流量时用到的主要显示窗口:显示过滤器、封包列表、封包详细信息、16进制数据
- 保存捕捉到的流量:先停止流量的捕捉,然后选择文件->另存为即可,保存为pcap格式。什么是pcap格式?pcap格式就是数据包存储格式,现在wireshark在最新的版本中推出了pcapng数据包格式
