Wireshark(前称Ethereal)是使用最广泛的一款开源抓包软件,常用来检测网络问题、攻击溯源、或者分析底层通信机制,还可以截取各种网络数据包,并显示数据包详细信息。它使用WinPCAP作为接口,直接与网卡进行数据报文交换。常用于开发测试过程中各种问题定位。
软件特色
●对数百种协议进行深度解析,且不断新增更多协议支持。
●支持实时捕获和离线分析。
●标准的三窗格数据包浏览器。
●跨平台:可在 Windows、Linux、macOS、FreeBSD、NetBSD 及其他多种系统上运行。
●捕获的网络数据可通过图形用户界面(GUI)或 TTY 模式的 TShark 工具进行浏览。
●行业内最强大的显示过滤器。
●强大的 VoIP 分析功能。
●支持读写多种捕获文件格式:tcpdump(libpcap)、Pcap NG、Catapult DCT2000、Cisco Secure IDS iplog、Microsoft Network Monitor、Network General Sniffer®(压缩和未压缩)、Sniffer® Pro、NetXray®、Network Instruments Observer、NetScreen snoop、Novell LANalyzer、RADCOM WAN/LAN Analyzer、Shomiti/Finisar Surveyor、Tektronix K12xx、Visual Networks Visual UpTime、WildPackets EtherPeek/TokenPeek/AiroPeek 等众多格式。
●使用 gzip 压缩的捕获文件可实时解压。
●可从以太网、IEEE 802.11、PPP/H DLC、ATM、蓝牙、USB、令牌环、帧中继、FDDI 等接口(取决于平台)读取实时数据。
●支持多种协议的解密,包括 IPsec、ISAKMP、Kerberos、SNMPv3、SSL/TLS、WEP 和 WPA/WPA2。
●可为数据包列表应用着色规则,便于快速直观地分析。
●输出结果可导出为 XML、PostScript、CSV 或纯文本格式。
常用应用场景
1. 网络管理员会使用wireshark来检查网络问题
2. 软件测试工程师使用wireshark抓包,来分析自己测试的软件
3. 从事socket编程的工程师会用wireshark来调试
4. 运维人员用于日常工作,应急响应等等
常见问题
Wireshark 下载速度为 0 是什么原因?
在中国大陆访问海外下载节点时,可能出现连接无法建立或 速度为 0 的情况,这通常与跨境网络访问质量有关。
Wireshark 找不到网卡如何解决?
这通常是因为 Npcap(Windows)或 ChmodBPF(macOS)未正确安装或服务未启动。请尝试重新安装 Wireshark 并勾选 "Install Npcap" 选项,或以管理员身份运行Wireshark。
Wireshark抓包原理是什么?
Wireshark使用的环境大致分为两种,一种是电脑直连互联网的单机环境,另外一种就是应用比较多的互联网环境,也就是连接交换机的情况。
「单机情况」下,Wireshark直接抓取本机网卡的网络流量;
「交换机情况」下,Wireshark通过端口镜像、ARP欺骗等方式获取局域网中的网络流量。
●端口镜像:利用交换机的接口,将局域网的网络流量转发到指定电脑的网卡上。
●ARP欺骗:交换机根据MAC地址转发数据,伪装其他终端的MAC地址,从而获取局域网的网络流量。
