软件介绍
中文版Wireshark 是一款完全免费的网络数据包捕获软件。Wireshark可以轻松完成网络数据包的获取,并对捕获的内容进行综合分析,获得目标软件和代码。此外,Wireshark中文版还支持对网络通信数据的实时检测,您可以通过浏览这些数据来查看详情。
Wireshark中文版不仅功能多样,还可以支持上百种协议和媒体类型。用户可以通过使用Wireshark了解各种网络协议。本页面提供的Wireshark是最新的官方版本,功能更全面,优化更好。
Wireshark中文版功能介绍
支持的协议Wireshark在支持的协议数量上是出类拔萃的,目前已经提供了一千多种协议的支持。
用户友好性
Wireshark的接口是数据包嗅探工具中最容易理解的工具之一。基于GUI,并提供了清晰的菜单栏和简洁的布局。
免费
由于Wireshark是开源的,所以在价格上没有可比性。Wireshark是根据GPL协议发布的自由软件。任何人都可以出于私人或商业目的下载和使用Wireshark。
计划支持
Wireshark的网页提供了各种程序的链接,包括在线文档、支持和开发wiki、常见问题解答,并且您可以注册Wireshark开发人员关注的邮件列表。
支持的操作系统
Wireshark支持主流操作系统,包括Windows、Mac OSX和基于Linux的系统。
软件功能
它包含丰富的显示过滤语言和查看TCP会话重建过程的能力;它支持数百种协议和媒体类型:
有一个类似于tcpdump(Linux下的网络协议分析工具)的命令行版本叫做tethereal。
以前网络包分析软件很贵,或者是专用于商业用途。
在GNU GPL通用许可证的保护下,用户可以免费获得软件及其代码,并有权修改和定制其源代码。Ethereal是世界上使用最广泛的网络数据包分析软件之一。
Wireshark中文版使用说明
1.确定Wireshark的位置。如果你没有合适的位置,启动Wireshark后需要很长时间才能捕捉到一些与你无关的数据。
2.选择捕获接口。
通常,选择连接到互联网网络的接口,从而可以捕获与网络相关的数据。否则,其他捕获的数据对您没有帮助。
3.使用捕获过滤器
通过设置捕获过滤器,可以避免捕获文件过大。这样,用户在分析数据时就不会受到其他数据的干扰。而且可以为用户节省大量时间。
4.使用显示过滤器
通常情况下,捕获过滤器过滤的数据仍然非常复杂。为了使过滤后的数据包更加详细,此时使用显示过滤器进行过滤。
5.使用着色规则
通常,由显示过滤器过滤的数据是有用的数据包。如果您想要突出显示某个对话,您可以使用着色规则来突出显示它。
6.构建图表
如果用户想更清楚地看到一个网络中数据的变化,以图表的形式显示数据的分布是很方便的。
7.重新组织数据
Wireshark的重组功能可以重组一个会话中不同数据包的信息,也可以重组一个完整的图片或文件。因为传输的文件通常很大,所以信息分布在多个数据包中。为了查看整个图片或文件,有必要使用重组数据的方法。
快捷键介绍
Ctrl++增加字体大小Atl+向右前方跑
Ctr+Q关
Ctrl+T设置参考时间(校准)
Ctrl+P打印
Shift+Ctr|+C复制
Ctrl+S保存
Ctrl+ Shift+B搜索最后标记的包
Shift+Ctr+P的参数选择
Ctrl+R与当前捕获文件相同。
Ctrl+B搜索上一个
Ctrl+=返回正常大小
Ctrl+O文件打开
Ctrl+N搜索下一个
可以分析的协议列表
Ctrl+M标记(校准)数据包
Shift+Ctr|+N搜索下一个标记的包
Ctrl+F搜索数据包
将Shift+Ctr+S另存为
Ctrl+K捕捉参数选择
Alt+Left向后运行
安装教程
1.首先在本页下载中文版Wireshark文件包,然后解压得到Wireshark.exe程序。2.双击Wireshark.exe开始安装,然后单击下一步继续安装。
3.单击浏览自定义软件安装目录,然后单击下一步继续安装。
4.等待安装完成,然后单击完成。
使用教程
Wireshark如何捕获数据包?Wireshark是捕获机器上网卡的网络数据包。当机器上有多个网卡时,您需要选择网卡。
点击捕获->接口..将出现以下对话框,并选择正确的网卡。然后点击“开始”按钮开始抢包。
WireShark主要分为这些接口。
1.显示用于过滤的过滤器。
2.数据包列表窗格,显示捕获的数据包,包括源地址、目的地址和端口号。不同的颜色,代表
3.数据包详细信息窗格,显示数据包中的字段。
4.分析器窗格(十六进制数据)
5.杂项(地址栏,杂项)
Wireshark显示过滤
过滤很重要。新手使用wireshark时,会在几千条甚至上万条记录中获得大量冗余信息,很难找到自己需要的部分。变得迷茫。
过滤器将帮助我们在大量数据中快速找到我们需要的信息。
有两种过滤器,
一个是显示过滤器,它用在主界面上,在捕获的记录中查找所需的记录。
一个是捕获过滤器,用于过滤捕获的数据包,避免捕获太多记录。在捕获->捕获过滤器中设置。
保存过滤
在过滤器栏上,填充过滤器的表达式后,单击保存按钮并给它命名。例如“过滤器102”,
过滤栏上有一个按钮“过滤器102”。
过滤表达式的规则
表达式规则
1.协议过滤
例如TCP,只显示TCP协议。
2.IP过滤
比如ip.src ==192.168.1.102表示源地址是192.168.1.102,
Ip.dst==192.168.1.102,目的地址为192.168.1.102。
3.端口过滤
Tcp.port ==80,端口为80。
Tcp.srcport == 80,只显示Tcp协议80愿意端口的端口。
4.Http模式过滤
Http.request.method=="GET ",只显示HTTP GET方法的。
5.逻辑运算符是AND/ OR
常用的筛选表达式
数据包列表窗格(数据包列表窗格)
面板显示号码、时间戳、源地址、目的地址、协议、长度和数据包信息。您可以看到不同的协议以不同的颜色显示。
您也可以修改这些显示颜色规则,并查看->颜色规则。
数据包详细信息窗格(数据包详细信息窗格)
这个面板是我们最重要的面板,用于查看方案中的每个字段。
每一行的信息如下
帧:物理层数据帧概述
以太网II:数据链路层以太网帧的报头信息。
互联网协议版本4:互联网层中IP数据包的报头信息
传输控制协议:传输层T的数据段的头信息,这里是TCP。
超文本传输协议:应用层的信息,这里是HTTP协议。
Wireshark和相应的OSI七层模型
TCP数据包的具体内容
从下图中可以看到wireshark捕获的TCP数据包中的每个字段。
分析TCP三次握手过程的一个例子。
看到这里,我们基本上对wireshak有了初步的了解。现在我们来看一个TCP三次握手的例子。
三次握手过程是
这次我们用wireshark来实际分析一下三次握手的过程。
打开wireshark,打开浏览器并输入URL。
在wireshark中进入http filtering,然后选择GET /tankxiao HTTP/1.1的记录,点击右键,然后点击“跟随TCP流”。
这样做的目的是获取打开网站的浏览器相关的数据包,你会得到下图。
从图中可以看出,wireshark从三次握手中截获了三个数据包。第四个包是HTTP,说明HTTP确实使用TCP建立连接。
第一个握手包
客户端发送一个TCP,标志位为SYN,序列号为0,代表客户端请求建立连接。如下图
第二个握手包
服务器发回一个包含SYN和ACK ACK的确认数据包。将收货号设置为客户的I S N加1,即0+1=1,如下图所示。
三次握手的数据包
客户端再次发送确认数据包(ACK ),其中SYN标志位为0,ACK标志位为1。它还将服务器发送的序列号字段+1的ACK) SYN放入确认字段发送给对方,并将ISN的+1写入数据段,如下图所示:
这样就通过了TCP三次握手,建立了连接。
Wireshark如何过滤IP?
在wireshark的过滤规则框中输入过滤标准。如果搜索到目的地址为192.168.101.8的数据包,IP . dst = = 192 . 168 . 101 . 8;;检查源地址为ip.src==1.1.1.1。
