Wireshark抓包分析 V2.4.6 官方版

Wireshark抓包分析是一款非常棒的Unix和Windows上的网络抓包工具。

使用这款Wireshark抓包分析你可以实时检测网络通讯数据，也可以检测其抓取的网络通讯数据快照文件。可以通过图形界面浏览这些数据，可以查看网络通讯数据包中每一层的详细内容。Wireshark拥有许多强大的特性：包含有强显示过滤器语言（rich display filter language）和查看TCP会话重构流的能力；它更支持上百种协议和媒体类型； 拥有一个类似tcpdump(一个Linux下的网络协议分析工具)的名为tethereal的的命令行版本。

Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包, 并尽可能显示出最为详细的网络封包资料。网络封包分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作 - 只是将场景移植到网络上，并将电线替换成网络线。

在过去，网络封包分析软件是非常昂贵，或是专门属于营利用的软件。Ethereal的出现改变了这一切。在GNU GPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其程式码，并拥有针对其原始码修改及客制化的权利。Ethereal是目前全世界最广泛的网络封包分析软件之一。

软件功能：

Wireshark具有丰富的功能集，其中包括以下内容：

深入检查数百种协议，并随时添加更多协议

实时捕捉和离线分析

标准的三窗格数据包浏览器

多平台：运行在Windows，Linux，macOS，Solaris，FreeBSD，NetBSD等等上

捕获的网络数据可以通过GUI或TTY模式的TShark实用程序浏览

业界最强大的显示滤镜

丰富的VoIP分析

读/写许多不同的捕获文件格式：tcpdump（libpcap），Pcap NG，Catapult DCT2000，Cisco Secure IDS iplog，Microsoft网络监视器，Network GeneralSniffer®（压缩和未压缩），Sniffer®Pro和NetXray®，Network Instruments Observer ，NetScreen snoop，Novell LANalyzer，RADCOM广域网/局域网分析仪，Shomiti /Finisar Surveyor，泰克K12xx，可视网络Visual UpTime，WildPackets EtherPeek / TokenPeek / AiroPeek等等

捕获使用gzip压缩的文件可以即时解压缩

实时数据可以从以太网，IEEE 802.11，PPP / HDLC，ATM，蓝牙，USB，令牌环，帧中继，FDDI等（取决于您的平台）读取，

许多协议的解密支持，包括IPsec，ISAKMP，Kerberos，SNMPv3，SSL / TLS，WEP和WPA / WPA2

着色规则可应用于数据包列表以进行快速，直观的分析

输出可以导出为XML，PostScript®，CSV或纯文本

Wireshark下载工作流程：

(1)确定Wireshark的位置.如果没有一个正确的位置,启动Wireshark后会花费很长的时间捕获一些与自己无关的数据.

(2)选择捕获接口.一般都是选择连接到Internet网络的接口,这样才可以捕获到与网络相关的数据.否则,捕获到的其它数据对自己也没有任何帮助.

(3)使用捕获过滤器.通过设置捕获过滤器,可以避免产生过大的捕获文件.这样用户在分析数据时,也不会受其它数据干扰.而且,还可以为用户节约大量的时间.

(4)使用显示过滤器.通常使用捕获过滤器过滤后的数据,往往还是很复杂.为了使过滤的数据包再更细致,此时使用显示过滤器进行过滤.

(5)使用着色规则.通常使用显示过滤器过滤后的数据,都是有用的数据包.如果想更加突出的显示某个会话,可以使用着色规则高亮显示.

(6)构建图表.如果用户想要更明显的看出一个网络中数据的变化情况,使用图表的形式可以很方便的展现数据分布情况.

(7)重组数据.Wireshark的重组功能,可以重组一个会话中不同数据包的信息,或者是一个重组一个完整的图片或文件.由于传输的文件往往较大,所以信息分布在多个数据包中.为了能够查看到整个图片或文件,这时候就需要使用重组数据的方法来实现.