Wireshark網(wǎng)絡(luò)分析器是專(zhuān)門(mén)為開(kāi)發(fā)人員推出的一款網(wǎng)絡(luò)封包分析軟件。Wireshark中文版可以幫助用戶(hù)免費(fèi)獲得網(wǎng)絡(luò)上的各種軟件及其源代碼，大大提高了你的工作效率，為你的開(kāi)發(fā)工作帶來(lái)便利。

【基本介紹】

Wireshark 中文便攜版使用 WinPCAP 作為接口，直接與網(wǎng)卡進(jìn)行數(shù)據(jù)報(bào)文交換。網(wǎng)絡(luò)封包分析軟件的功能可想像成 “電工技師使用電表來(lái)量測(cè)電流、電壓、電阻” 的工作 – 只是將場(chǎng)景移植到網(wǎng)絡(luò)上，并將電線替換成網(wǎng)絡(luò)線。
在過(guò)去，網(wǎng)絡(luò)封包分析軟件 Wireshark 非常昂貴，或是專(zhuān)門(mén)屬于營(yíng)利用的軟件。Ethereal 的出現(xiàn)改變了這一切。在 GNUGPL 通用許可證的保障范圍底下，使用者可以以免費(fèi)的代價(jià)取得軟件與其源代碼，并擁有針對(duì)其源代碼修改及客制化的權(quán)利。Ethereal是目前全世界最廣泛的網(wǎng)絡(luò)封包分析軟件之一。
Wireshark 中文版是世界上最流行的網(wǎng)絡(luò)分析工具。這個(gè)強(qiáng)大的工具可以捕捉網(wǎng)絡(luò)中的數(shù)據(jù)，并為用戶(hù)提供關(guān)于網(wǎng)絡(luò)和上層協(xié)議的各種信息。與很多其他網(wǎng)絡(luò)工具一樣，Wireshark 也使用 pcap network library 來(lái)進(jìn)行封包捕捉?？善平饩钟蚓W(wǎng)內(nèi)QQ、郵箱、msn、賬號(hào)等的密碼!!
Wireshark 中文版的原名是 Ethereal，新名字是 2006 年起用的。當(dāng)時(shí) Ethereal 的主要開(kāi)發(fā)者決定離開(kāi)他原來(lái)供職的公司，并繼續(xù)開(kāi)發(fā)這個(gè)軟件。但由于 Ethereal 這個(gè)名稱(chēng)的使用權(quán)已經(jīng)被原來(lái)那個(gè)公司注冊(cè)，Wireshark 這個(gè)新名字也就應(yīng)運(yùn)而生了。
在成功運(yùn)行 Wireshark 之后，我們就可以進(jìn)入下一步，更進(jìn)一步了解這個(gè)強(qiáng)大的工具。

【軟件特點(diǎn)】

1.確定 Wireshark 的位置
如果沒(méi)有一個(gè)正確的位置，啟動(dòng)Wireshark后會(huì)花費(fèi)很長(zhǎng)的時(shí)間捕獲一些與自己無(wú)關(guān)的數(shù)據(jù)。
2.選擇捕獲接口
一般都是選擇連接到Internet網(wǎng)絡(luò)的接口，這樣才可以捕獲到與網(wǎng)絡(luò)相關(guān)的數(shù)據(jù)。否則，捕獲到的其它數(shù)據(jù)對(duì)自己也沒(méi)有任何幫助。
3.使用捕獲過(guò)濾器
通過(guò)設(shè)置捕獲過(guò)濾器，可以避免產(chǎn)生過(guò)大的捕獲文件。這樣用戶(hù)在分析數(shù)據(jù)時(shí)，也不會(huì)受其它數(shù)據(jù)干擾。而且，還可以為用戶(hù)節(jié)約大量的時(shí)間。
4.使用顯示過(guò)濾器
通常使用捕獲過(guò)濾器過(guò)濾后的數(shù)據(jù)，往往還是很復(fù)雜。為了使過(guò)濾的數(shù)據(jù)包再更細(xì)致，此時(shí)使用顯示過(guò)濾器進(jìn)行過(guò)濾。
5.使用著色規(guī)則
通常使用顯示過(guò)濾器過(guò)濾后的數(shù)據(jù)，都是有用的數(shù)據(jù)包。如果想更加突出的顯示某個(gè)會(huì)話，可以使用著色規(guī)則高亮顯示。
6.構(gòu)建圖表
如果用戶(hù)想要更明顯的看出一個(gè)網(wǎng)絡(luò)中數(shù)據(jù)的變化情況，使用圖表的形式可以很方便的展現(xiàn)數(shù)據(jù)分布情況。
7.重組數(shù)據(jù)
Wireshark的重組功能，可以重組一個(gè)會(huì)話中不同數(shù)據(jù)包的信息，或者是一個(gè)重組一個(gè)完整的圖片或文件。由于傳輸?shù)奈募^大，所以信息分布在多個(gè)數(shù)據(jù)包中。為了能夠查看到整個(gè)圖片或文件，這時(shí)候就需要使用重組數(shù)據(jù)的方法來(lái)實(shí)現(xiàn)。

【使用目的】

網(wǎng)絡(luò)管理員使用 Wireshark 來(lái)檢測(cè)網(wǎng)絡(luò)問(wèn)題，網(wǎng)絡(luò)安全工程師使用 Wireshark 來(lái)檢查資訊安全相關(guān)問(wèn)題，開(kāi)發(fā)者使用 Wireshark 來(lái)為新的通訊協(xié)定除錯(cuò)，普通使用者使用 Wireshark 來(lái)學(xué)習(xí)網(wǎng)絡(luò)協(xié)定的相關(guān)知識(shí)。當(dāng)然，有的人也會(huì)“居心叵測(cè)”的用它來(lái)尋找一些敏感信息……
Wireshark 不是入侵偵測(cè)系統(tǒng)(Intrusion Detection System,IDS)。對(duì)于網(wǎng)絡(luò)上的異常流量行為，Wireshark 不會(huì)產(chǎn)生警示或是任何提示。然而，仔細(xì)分析 Wireshark 擷取的封包能夠幫助使用者對(duì)于網(wǎng)絡(luò)行為有更清楚的了解。Wireshark 不會(huì)對(duì)網(wǎng)絡(luò)封包產(chǎn)生內(nèi)容的修改，它只會(huì)反映出目前流通的封包資訊。 Wireshark本身也不會(huì)送出封包至網(wǎng)絡(luò)上。

【使用教程】

wireshark 開(kāi)始抓包
開(kāi)始界面

wireshark是捕獲機(jī)器上的某一塊網(wǎng)卡的網(wǎng)絡(luò)包，當(dāng)你的機(jī)器上有多塊網(wǎng)卡的時(shí)候，你需要選擇一個(gè)網(wǎng)卡。
點(diǎn)擊Caputre->Interfaces.. 出現(xiàn)下面對(duì)話框，選擇正確的網(wǎng)卡。然后點(diǎn)擊"Start"按鈕, 開(kāi)始抓包

Wireshark 窗口介紹

WireShark 主要分為這幾個(gè)界面
1. Display Filter(顯示過(guò)濾器)， 用于過(guò)濾
2. Packet List Pane(封包列表)， 顯示捕獲到的封包， 有源地址和目標(biāo)地址，端口號(hào)。 顏色不同，代表
3. Packet Details Pane(封包詳細(xì)信息), 顯示封包中的字段
4. Dissector Pane(16進(jìn)制數(shù)據(jù))
5. Miscellanous(地址欄，雜項(xiàng))

使用過(guò)濾是非常重要的， 初學(xué)者使用wireshark時(shí)，將會(huì)得到大量的冗余信息，在幾千甚至幾萬(wàn)條記錄中，以至于很難找到自己需要的部分。搞得暈頭轉(zhuǎn)向。
過(guò)濾器會(huì)幫助我們?cè)诖罅康臄?shù)據(jù)中迅速找到我們需要的信息。
過(guò)濾器有兩種，
一種是顯示過(guò)濾器，就是主界面上那個(gè)，用來(lái)在捕獲的記錄中找到所需要的記錄
一種是捕獲過(guò)濾器，用來(lái)過(guò)濾捕獲的封包，以免捕獲太多的記錄。 在Capture -> Capture Filters 中設(shè)置
保存過(guò)濾
在Filter欄上，填好Filter的表達(dá)式后，點(diǎn)擊Save按鈕， 取個(gè)名字。比如"Filter 102",

Filter欄上就多了個(gè)"Filter 102" 的按鈕。

過(guò)濾表達(dá)式的規(guī)則
表達(dá)式規(guī)則
1. 協(xié)議過(guò)濾
比如TCP，只顯示TCP協(xié)議。
2. IP 過(guò)濾
比如 ip.src ==192.168.1.102 顯示源地址為192.168.1.102，
ip.dst==192.168.1.102, 目標(biāo)地址為192.168.1.102
3. 端口過(guò)濾
tcp.port ==80, 端口為80的
tcp.srcport == 80, 只顯示TCP協(xié)議的愿端口為80的。
4. Http模式過(guò)濾
http.request.method=="GET", 只顯示HTTP GET方法的。
5. 邏輯運(yùn)算符為 AND/ OR
常用的過(guò)濾表達(dá)式
過(guò)濾表達(dá)式 用途
http 只查看HTTP協(xié)議的記錄
ip.src ==192.168.1.102 or ip.dst==192.168.1.102 源地址或者目標(biāo)地址是192.168.1.102
封包列表(Packet List Pane)
封包列表的面板中顯示，編號(hào)，時(shí)間戳，源地址，目標(biāo)地址，協(xié)議，長(zhǎng)度，以及封包信息。 你可以看到不同的協(xié)議用了不同的顏色顯示。
你也可以修改這些顯示顏色的規(guī)則， View ->Coloring Rules.

封包詳細(xì)信息 (Packet Details Pane)
這個(gè)面板是我們最重要的，用來(lái)查看協(xié)議中的每一個(gè)字段。
各行信息分別為
Frame: 物理層的數(shù)據(jù)幀概況
Ethernet II: 數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息
Internet Protocol Version 4: 互聯(lián)網(wǎng)層IP包頭部信息
Transmission Control Protocol: 傳輸層T的數(shù)據(jù)段頭部信息，此處是TCP
Hypertext Transfer Protocol: 應(yīng)用層的信息，此處是HTTP協(xié)議


TCP包的具體內(nèi)容
從下圖可以看到wireshark捕獲到的TCP包中的每個(gè)字段。

看到這， 基本上對(duì)wireshak有了初步了解， 現(xiàn)在我們看一個(gè)TCP三次握手的實(shí)例
三次握手過(guò)程為
這圖我都看過(guò)很多遍了， 這次我們用wireshark實(shí)際分析下三次握手的過(guò)程。


打開(kāi)wireshark, 打開(kāi)瀏覽器輸入 http://www...
在wireshark中輸入http過(guò)濾， 然后選中GET /tankxiao HTTP/1.1的那條記錄，右鍵然后點(diǎn)擊"Follow TCP Stream",
這樣做的目的是為了得到與瀏覽器打開(kāi)網(wǎng)站相關(guān)的數(shù)據(jù)包，將得到如下圖


圖中可以看到wireshark截獲到了三次握手的三個(gè)數(shù)據(jù)包。第四個(gè)包才是HTTP的， 這說(shuō)明HTTP的確是使用TCP建立連接的。
第一次握手?jǐn)?shù)據(jù)包

客戶(hù)端發(fā)送一個(gè)TCP，標(biāo)志位為SYN，序列號(hào)為0， 代表客戶(hù)端請(qǐng)求建立連接。 如下圖
第二次握手的數(shù)據(jù)包

服務(wù)器發(fā)回確認(rèn)包, 標(biāo)志位為 SYN,ACK. 將確認(rèn)序號(hào)(Acknowledgement Number)設(shè)置為客戶(hù)的I S N加1以.即0+1=1, 如下圖
第三次握手的數(shù)據(jù)包

客戶(hù)端再次發(fā)送確認(rèn)包(ACK) SYN標(biāo)志位為0,ACK標(biāo)志位為1.并且把服務(wù)器發(fā)來(lái)ACK的序號(hào)字段+1,放在確定字段中發(fā)送給對(duì)方.并且在數(shù)據(jù)段放寫(xiě)ISN的+1, 如下圖:
就這樣通過(guò)了TCP三次握手，建立了連接