網絡（luò）抓包工（gōng）具wireshark

wireshark綠色（sè）中文版是國內使（shǐ）用（yòng）比較（jiào）多的（de）網絡封包分析軟件，網絡管理（lǐ）員經（jīng）常（cháng）用的到的。小編帶來的此（cǐ）版本為中文，英文（wén）的相信（xìn）很多人看不懂；並且（qiě）打（dǎ）開就可以使用，無需安裝，很方（fāng）便。如果你是網絡安全工（gōng）程（chéng）師，建議（yì）收藏哦！

wireshark官方介紹

Wireshark是一款非常棒（bàng）的Unix和Windows上的開源網絡協（xié）議（yì）分析器。它可以實時檢測網絡通訊數據，也可以檢測其抓取的（de）網絡通（tōng）訊數據快照文件。

可以（yǐ）通過圖（tú）形界麵（miàn）瀏覽這（zhè）些數據，可以（yǐ）查看網絡通訊數據包（bāo）中每一層的詳細內容（róng）。

軟件特色

1.在接口（kǒu）實時捕捉（zhuō）包（bāo）

2.支持UNIX和Windows平台

3.可以打開/保存捕捉（zhuō）的包

4.能詳細顯示包的（de）詳細協議信息

5.可以通過多種方（fāng）式過濾包

6.可以導入（rù）導出（chū）其他捕捉程序支持的包數（shù）據格（gé）式

7.多種方式（shì）查找（zhǎo）包

8.通過過濾以多種色（sè）彩顯（xiǎn）示包

9.創建多種統計分析

wireshark中文版（bǎn）功能

1、網絡安全工程師用來檢測安全隱患。

2、網絡管（guǎn）理（lǐ）員檢測網（wǎng）絡問（wèn）題。

3、能（néng）夠與網卡直接（jiē）進行數據（jù）報文交換。

使（shǐ）用方法

1、確定Wireshark的位置

如果（guǒ）沒有一個正確的位置，啟（qǐ）動Wireshark後會花費很長的時間捕獲一些（xiē）與（yǔ）自（zì）己無（wú）關（guān）的數據（jù）。

2、選擇（zé）捕獲（huò）接口

一（yī）般都是（shì）選擇（zé）連（lián）接到Internet網絡的（de）接口，這樣才可（kě）以捕獲到與（yǔ）網絡相（xiàng）關的數據。否則（zé），捕獲（huò）到（dào）的（de）其（qí）它數據對自己也沒有（yǒu）任何幫助。

3、使用捕獲（huò）過濾器

通過設置捕獲過濾器（qì），可以（yǐ）避免產生過大的捕獲文件（jiàn）。這樣用戶在分析數據時，也不會受其它數（shù）據幹擾。而且（qiě），還可（kě）以為用（yòng）戶節約大（dà）量（liàng）的時（shí）間。

4、使用顯示過濾器

通常（cháng）使用（yòng）捕（bǔ）獲過濾器過濾後的數據，往往（wǎng）還是很複雜。為了使（shǐ）過濾的數據包再更細（xì）致，此時（shí）使用顯示過濾器進行過濾（lǜ）。

5、使用（yòng）著色（sè）規（guī）則

通常使用顯（xiǎn）示過濾器過濾後的數據，都是有用的數據包。如果想更加（jiā）突出的顯（xiǎn）示某個會（huì）話，可以使用著（zhe）色規（guī）則高亮顯示。

6、構建圖（tú）表

如果用（yòng）戶想要更明顯的看（kàn）出一個（gè）網絡中數據的變化情況，使（shǐ）用（yòng）圖表的形式可以很方便的（de）展現數據分布情況。

7、重組數據

Wireshark的重組功（gōng）能（néng），可以重組一個會話中不同數據包（bāo）的信（xìn）息，或者（zhě）是一個重組（zǔ）一個完整（zhěng）的圖片或（huò）文（wén）件。由於傳輸的文（wén）件往往較大，所以信息（xī）分布在多個數據包中（zhōng）。為了能夠查（chá）看到整個圖（tú）片或文（wén）件（jiàn），這時候就需要使用重組（zǔ）數據的（de）方法來實現。

界麵詳細說明和（hé）操（cāo）作（zuò）

說明：數據包列表區中不同（tóng）的協議使用（yòng）了不同的顏色區分。協議顏（yán）色（sè）標識定位在菜單欄View --> Coloring Rules。如（rú）下所（suǒ）示

WireShark 主要分為這幾（jǐ）個界麵

1. Display Filter(顯（xiǎn）示過濾器)，  用於（yú）設（shè）置過濾條件進行數據包列（liè）表過濾。菜單（dān）路（lù）徑（jìng）：Analyze --> Display Filters。

2. Packet List Pane(數（shù）據包列表)， 顯示捕獲到（dào）的數據包，每個數據包包含編號，時間戳，源地址，目標地址，協議，長度，以及數據包信（xìn）息。 不同協議的數據包使用了不同的顏色區分顯示。

3. Packet Details Pane(數據包（bāo）詳細信息（xī）), 在數據包列表中（zhōng）選擇指定數據包，在數據（jù）包詳細信（xìn）息中會顯（xiǎn）示數據包的所有詳細（xì）信息內容。數據包（bāo）詳細信息麵（miàn）板是最重要的，用來查看協議中的每一個字段（duàn）。各行信息分（fèn）別為（wéi）

（1）Frame:   物（wù）理層的數據幀概況

（2）Ethernet II: 數據鏈路層以太網（wǎng）幀頭部信息（xī）

（3）Internet Protocol Version 4: 互聯（lián）網層IP包頭部信（xìn）息（xī）

（4）Transmission Control Protocol:  傳輸層T的數據段（duàn）頭部信息，此（cǐ）處（chù）是TCP

（5）Hypertext Transfer Protocol:  應用層的（de）信息，此處是HTTP協議

TCP包的具體內容

從下（xià）圖可以看到wireshark捕獲到的TCP包中的每個字段。

4. Dissector Pane(數據包字節區)。

Wireshark過（guò）濾器設置

初學者使用（yòng）wireshark時，將會得到大（dà）量的冗餘數（shù）據包列表，以至於很難找到自己自己抓（zhuā）取（qǔ）的數據包部分。wireshar工具中自帶了兩種類型（xíng）的過濾器（qì），學（xué）會使（shǐ）用這兩種過濾（lǜ）器會幫助（zhù）我（wǒ）們在（zài）大量的數據（jù）中迅速（sù）找到我們需要（yào）的信息。

（1）抓包過濾器

捕獲過濾器（qì）的菜單欄（lán）路徑（jìng）為Capture --> Capture Filters。用於在抓取（qǔ）數據包前設置。

如何使用？可以在（zài）抓取數據包前設置如（rú）下（xià）。

ip host 60.207.246.216 and icmp表示隻捕獲主機IP為60.207.246.216的ICMP數據包。獲取結（jié）果如下：

（2）顯示過濾器（qì）

顯示過（guò）濾器是用（yòng）於在抓取（qǔ）數（shù）據包（bāo）後（hòu）設置（zhì）過濾條（tiáo）件（jiàn）進行過（guò）濾（lǜ）數據（jù）包。通常是在抓取數據包時（shí）設置條件相對寬泛，抓取的數據（jù）包內（nèi）容較多時使（shǐ）用顯示過濾器設置（zhì）條件顧慮以方（fāng）便（biàn）分析。同樣上述（shù）場景，在捕獲時未設置捕（bǔ）獲規則直接通（tōng）過網卡進行抓取所有數（shù）據包（bāo），如（rú）下（xià）

執行ping www.huawei.com獲取的數據包（bāo）列（liè）表如下

觀察上述獲取（qǔ）的數據包列表，含有大量的無效數據。這時可（kě）以通過（guò）設（shè）置顯（xiǎn）示器過濾（lǜ）條件進行提取分析信息。ip.addr == 211.162.2.183 and icmp。並進行過（guò）濾。

上述介紹了抓包過濾器和顯示過（guò）濾（lǜ）器的基本使用方法（fǎ）。在組網（wǎng）不複雜或者流量（liàng）不大情況（kuàng）下（xià），使用顯示器過濾器進行抓（zhuā）包（bāo）後處理（lǐ）就可以滿足我們使（shǐ）用。下麵介紹一（yī）下（xià）兩者間的語法（fǎ）以及它們（men）的區別。

主（zhǔ）要作用

網絡管理（lǐ）員使（shǐ）用Wireshark來檢測網絡問題，網絡安全（quán）工程師使用 Wireshark 來（lái）檢查資訊安（ān）全相關（guān）問題，開發者使用 Wireshark 來（lái）為新的通（tōng）訊（xùn）協定除（chú）錯，普通使用者使用 Wireshark 來學習網絡協定的相（xiàng）關知識。當然，有的人也會“居心（xīn）叵測（cè）”的（de）用它來尋找一些敏感（gǎn）信息……

Wireshark不是（shì）入侵偵測係（xì）統（Intrusion Detection System,IDS）。對於網（wǎng）絡（luò）上的異（yì）常（cháng）流（liú）量行為，Wireshark 不會產生（shēng）警示或是（shì）任（rèn）何提示。然而，仔細分析 Wireshark 擷取的封包能夠幫助使用者對於網絡（luò）行為有更清楚的了解。Wireshark 不會對網（wǎng）絡封包產生內容的修（xiū）改，它隻會反映出目（mù）前流通的（de）封包資（zī）訊。 Wireshark本身也不（bú）會送出封包至網絡上。

小（xiǎo）編點評

網絡（luò）協議（yì）分析、抓包嗅探軟（ruǎn）件的“世界（jiè）標準”！

能與思科（kē）gns3模擬器（qì）、華為eNSP模擬器完美調用（yòng）結合！

更新日誌

v3.6.8更新內容（róng）：

1：全新界麵，清（qīng）爽，簡單，高（gāo）效

2：性能越（yuè）來越好

v3.6.1更新內容：

錯誤修複

以下漏洞已修複（fù）:

RTMPT解析器無（wú）限循環。17745年問（wèn）題。cve – 2021 – 4185。

BitTorrent DHT解析（xī）器（qì）無限循環。17754年（nián）問題。cve – 2021 – 4184。

pcapng文（wén）件解（jiě）析器崩潰。17755年問題。cve – 2021 – 4183。

RFC 7468文件解析器無限循環。17801年問題。cve – 2021 – 4182。

Sysdig事件剖析器崩潰。cve – 2021 – 4181。

Kafka解析區（qū）無限循（xún）環。17811年問題。

以下錯誤已被修複:

允許以hexdumps形式顯示次秒時間戳。

GRPC:如果GRPC消息體長（zhǎng）度為0 Issue 17675，會顯示一個不必要的空Protobuf項。

無法安裝”ChmodBPF。或“將Wireshark添加到係統路徑”。在沒有羅塞塔（tǎ）2 17757號（hào）的M1 MacBook Air Monterey上。

LIN有效載荷（hé）被截斷1字節17760問（wèn）題。

如果（guǒ）一個BASE_CUSTOM類型的64位字段被應用為一個列Issue 17762, Wireshark會（huì）崩潰。

命令行選（xuǎn）項”-o console.log。導致wireshark和tshark在啟動時退出。

設置（zhì）WIRESHARK_LOG_LEVEL=debug會中斷接口捕獲。

沒（méi）有（yǒu）tshark Issue 17766無法構建。

IEEE 802.11動（dòng）作（zuò）幀（zhēn）沒有被解析，總是被看作是畸形的（de）17767問題。

iec60870 -5-101鏈路地址（zhǐ）字段是1字節，但應該具有0、1或（huò）2字節的可配置長度。

dfilter:“tcp。port not in{1}’崩（bēng）潰Wireshark Issue 17785

新增和更新特性

“console.log。在Wireshark 3.6.0中刪除了level的（de）優先級（jí）。這個版本增加（jiā）了一個（gè）’-o console.log。level:’ CLI中的向後兼容選項（xiàng），映射（shè）到（dào）新的（de）日誌子係統。注意（yì），這沒（méi）有（yǒu）位掩碼語義，也不對應（yīng）任何實（shí）際的首選項。它隻是一個過渡（dù）機製，為（wéi）用戶依賴這個CLI選（xuǎn）項，並將在未來被刪除（chú）。要（yào）查看（kàn）新的診斷輸出選項（xiàng），請參閱手冊或’——help’的輸（shū）出。

新協議支持

本版本中沒有新的協議。

更新後的協議支持

ANSI A I/F、AT、BitTorrent DHT、FF、GRPC、IEC 101/104、IEEE 802.11、IEEE 802.11 Radiotap、IPsec、Kafka、QUIC、RTMPT、RTSP、SRVLOC、Sysdig Event、TECMP

新的和更新的捕（bǔ）獲文件支持

BLF和RFC 7468

新（xīn）的（de）文（wén）件格式解碼支持

本（běn）版本不支（zhī）持新的或更新後的文（wén）件格（gé）式。