Wireshark

《Wireshark》是一款轻松给网络进行封包分析的电脑软件，主要就是撷取网络封包的功能，给你最为详细的电脑的网络封包资料。就像是甚或中来测电流、电压、电阻的工作一样，只是在网络上进行，感兴趣的用户就快来看看吧！

Wireshark 软件特色

1、Wireshark抓包工具有许多强大的功能，它包含丰富的显示过滤语言和查看TCP会话重建流的能力，它还支持数百种协议和媒体类型。

2、有一个命令行版本叫做tethereal，类似于tcpdump(Linux下的网络协议分析工具)，以前网络包分析软件很贵，或者专门用于商业。

3、在GNU GPL通用许可证的保护下，用户可以免费获得软件及其代码，并有权修改和定制其源代码，以太网是全球广泛使用的网络数据包分析软件之一。

4、它是一款通过计算机捕捉数据包的软件，可以实现网络数据包的功能，帮助工程师通过各种数据分析网络，有效捕捉网络通信数据的快照。

Wireshark 软件亮点

1、Wireshark这款电脑软件能帮助网络工程师检测信息安全相关问题。同时，该软件不会修改网络数据内容，以防止修改后找不到问题的情况，随时进行网络分包。

2、初学者可以学习相关的网络协议知识，通过捕获数据进行过滤，不受其他数据的干扰，帮助用户节省时间。当传输文件比较大的时候，还可以传输多个数据包。

3、它是网络数据包的分析工具。主要功能是尽量捕捉网络包，尽量显示网络包的细节，Wireshark 64位版本大概是现在能用的最好的开元网络分析软件了。

4、网络管理员使用wireshark检测网络问题，网络安全工程师使用Wireshark中文版检查信息安全相关问题，开发人员使用Wireshark作为新的通信协议进行调试。

Wireshark 软件说明

1、是一个支持Unix和Windows的免费网络协议测试程序。它允许您通过流程捕获运行网站的相关信息，包括每个数据包的流向及其内容，使用很方便。

2、如果没有正确的位置，启动Wireshark后，需要很长时间才能捕捉到一些无关的数据，信息可以根据操作系统语言查看，方便查看和监控TCP会话动态等。

3、在软件上随时都能使用使用捕获过滤器，一般选择连接到互联网的接口，这样就可以捕捉到网络相关的数据，否则，捕获的其他数据对您没有帮助。

Wireshark 基本设置

常用捕获过滤器：

tcp[13]&32==32 (设置了URG位的TCP数据包)

tcp[13]&16==16 (设置了ACK位的TCP数据包)

tcp[13]&8==8 (设置了PSH位的TCP数据包)

tcp[13]&4==4 (设置了RST位的TCP数据包)

tcp[13]&2==2 (设置了SYN位的TCP数据包)

tcp[13]&1==1 (设置了FIN位的TCP数据包)

tcp[13]==18 (TCP SYN-ACK 数据包)

ether host 00:00:00:00:00:00 (流入或流出MAC地址的流量,替换为你的mac)

!ether host 00:00:00:00:00:00 (不流入或流出MAC地址的流量,替换为你的mac)

broadcast (仅广播流量)

icmp (ICMP流量)

icmp[0:2]==0x0301 (ICMP目标不可达.主机不可达)

ip (仅IPv4流量)

ip6 (仅IPv6流量)

udp (仅UDP流量)

常用显示过滤器：

!tcp.port==3389 (排除RDP流量)

tcp.flags.syn==1 (具有SYN标志位的TCP数据包)

tcp.flags.rst==1 (具有RST标志位的TCP数据包)

!arp (排除ARP流量)

http (所有HTTP流量)

tcp.port==23||tcp.port ==21 (FTP或telnet)

smtp||pop||imap (smtp.pop或imap)

Wireshark 常见问题

1.Wireshark可以使用哪些设备来捕获数据包?

答：Wireshark可以读取以太网，令牌环，FDDI，串行(PPP和SLIP)的实时数据(如果它运行的操作系统允许Wireshark这样做)，802.11无线局域网(如果它运行的操作系统允许Wireshark)要做到这一点)，ATM连接(如果它运行的操作系统允许Wireshark这样做)，以及最近版本的libpcap在Linux上支持的“任何”设备。

2.我安装了Wireshark RPM(或其他软件包); 为什么安装TShark而不是Wireshark?

答： 许多发行版都有单独的Wireshark软件包，一个用于非GUI组件，如TShark，editcap，dumpcap等，另一个用于GUI。如果您的系统出现这种情况，可能会有一个名为的单独软件包wireshark-qt。找到并安装它。

3.当我尝试运行Wireshark时，为什么抱怨 sprint_realloc_objid未定义?

答： Wireshark只能与版本4.2.2或更高版本的UCD SNMP链接。你的Wireshark版本与这种版本的UCD SNMP动态链接; 但是，您安装了较旧版本的UCD SNMP，这意味着当运行Wireshark时，它会尝试链接到旧版本，并失败。您必须使用4.2.2版或更高版本替换该版本的UCD SNMP。