网络数据包分析软件Wireshark简介

Posted 2022-03-01 fengbingchun

      Wireshark是被广泛使用的免费开源的网络协议分析软件(network protocol analyzer)或网络数据包分析软件，它可以让你在微观层面上查看网络上发生的事情，它的功能是截取网络数据包，并尽可能显示出最为详细的网络数据包信息。它的源码在https://github.com/wireshark/wireshark，最新发布版本为3.6.2，它的license为GPLv2。

      Wireshark功能特性包括：

      (1).支持检查数百种协议，并不断添加支持更多协议；

      (2).支持实时捕获和离线分析；

      (3).标准三窗格数据包浏览；

      (4).支持多平台，如Windows、Linux、macOS等等；

      (5).可以通过GUI或通过TTY模式浏览捕获的网络数据；

      (6).最强大的显示过滤器(the most powerful display filters)；

      (7).丰富的VoIP分析；

      (8).支持读/写许多不同的捕获文件格式，如tcpdump(libpcap)、Microsoft Network Monitor、Pcap NG等等；

      (9).捕获到的使用gzip压缩的文件可以即时解压缩；

      (10).实时数据可以从以太网、IEEE 802.11、蓝牙、USB、Token Ring、帧中继(Frame Relay)、FDDI等读取；

      (11).支持对许多协议的解密支持，如IPsec、SSL/TLS、WEP等等；

      (12).可以将着色规则(coloring rule)应用于数据包列表，以进行快速、直观的分析；

      (13).输出可以导出为XML、CSV或纯文本。

      Windows上安装Wireshark：

      (1).从https://www.wireshark.org/download.html下载Windows Installer(64-bit)即Wireshark-win64-3.6.2.exe；

      (2).双击Wireshark-win64-3.6.2.exe，按默认设置安装即可。

      Ubuntu上安装Wireshark：依次执行如下命令

      在16.04上无法通过apt-get install直接安装wireshark，会报很多"server certificate verification failed. CAfile: /etc/ssl/certs/ca-certificates.crt CRLfile: none"的错误，可能是因为ubuntu版本太低导致

sudo add-apt-repository ppa:wireshark-dev/stable
sudo apt-get update
sudo apt-get install wireshark

      Windows上Wireshark抓包简单举例：

      (1).打开Wiresharkexe："捕获" --> "选项"，仅勾选WLAN(因为测试机是采用WiFi无线上网) --> 点击"开始"，启动抓包，如下图所示：

       (2).Wireshark启动后便处于抓包状态中，执行需要抓包的操作，如抓取https://blog.csdn.net/数据包，打开"Git Bash Here"，执行命令如下图所示：

       (3).通过浏览器打开https://blog.csdn.net/fengbingchun，为避免其它无用的数据包影响分析，可以通过在过滤栏设置过滤条件进行数据包过滤，如输入：ip.dst == 10.158.218.26 && ip.src == 182.92.187.217，执行结果如下图所示：

       GitHub： https://github.com/fengbingchun/OpenSSL_Test