如何使用Wireshark:2023年风格的网络分析

20多年前,杰拉德·科姆斯(Gerald Combs)宣布了Ethereal 0.2.0,这是我们现在称为Wireshark的第一个公开版本。 Wireshark是为Solaris和Linux开发的,是一个开源网络和数据包分析器。该项目于1998年以Ethereal的形式开始,但由于商标权问题,其名称在2006年更名为Wireshark.

如今,Wireshark已成为世界上最重要的网络分析器,拥有600多位杰出作者,多次获奖以及其自己的开发者大会SharkFest.

本指南将帮助您入门并使用Wireshark。我们将介绍一些基础知识,例如如何下载,捕获,查看和过滤数据包。 Wireshark具有许多高级功能,这些功能在本文范围内无法涵盖,但是在wireshark.org上有很多关于它们的教程.

下载并设置Wireshark

Wireshark可通过其下载页面进行下载。要在Windows或macOS上获得它,请单击“稳定版本”部分下的它们各自的链接。如果您需要Linux的来源,请滚动至页面底部,然后在“第三方软件包”下找到适用于您的版本的下载内容。

Wireshark下载

下载完应用程序后,即可开始设置过程。如果您是Windows用户,则需要安装WinPcap库,该库可以捕获实时网络流量。没有它,您将只能查看已保存的捕获数据包。默认情况下,最新版本的Wireshark应该安装WinPcap.

同样,请确保安装USBPcap,这样Wireshark可以捕获来自USB设备的流量.

如何使用Wireshark捕获数据包

Wireshark建立在捕获网络数据包并以只能由凡人解释的格式显示它们的能力的基础上。如果您不确定什么是网络数据包,请参阅我们的IPv4与IPv6指南.

下载并安装后,您就可以启动Wireshark并开始捕获数据包.

Wireshark启动

要开始捕获过程,您需要选择网络接口。启动应用程序后,您将在启动屏幕中看到可用的网络连接。您还可以通过单击“捕获”,然后选择“选项”来查看高级功能。.

捕获选项

选择要捕获的连接:

  • 双击其名称.
  • 使用键盘快捷键CTRL + E.
  • 单击工具栏上最左边的鱼翅.

完成后,将要记录的连接将以蓝色或灰色阴影显示,Wireshark将开始记录网络流量并对其进行详细说明。要停止录制过程,请按鱼翅按钮旁边的红色停止按钮。或者,您可以使用CTRL + E键盘快捷键.

使用Wireshark捕获时,默认情况下启用混杂模式。它允许捕获网络上的所有数据包,而不仅仅是捕获发给计算机或网络适配器的数据包。也就是说,并非所有网络硬件和接口都支持混杂模式。可以通过单击“编辑”,然后单击“首选项…”进行更改。.

Wireshark首选项

查看Wireshark常见问题解答,了解有关混杂模式的更多详细信息.

使用Wireshark查看捕获的数据包

现在,您已经记录了数据,现在该查看数据了。查看数据包时,您会看到分布在三个窗格中的信息:数据包列表,数据包详细信息和数据包字节。数据包列表窗格是最上面的窗格,它显示时间,源,目的地,协议和其他信息.  

Wireshark-packet_pane1
 

数据包详细信息窗格位于中间。顾名思义,它显示有关所选数据包的详细信息。它以可折叠列表格式显示协议类型(例如IPv4或IPv6)和地址(例如IP或MAC).

Wireshark-packet-pane2

数据包字节窗格位于底部。它包含来自数据包的原始数据,并以十六进制或位格式显示.

Wireshark-packet-pane3

使用Wireshark过滤数据包

每当您分析网络流量时,都希望关闭发送不想看到的数据包的应用程序以缩小流量。即使这样,您仍然可能会留有很多残留的数据包以进行筛选。那就是Wireshark的过滤器起作用的地方。它提供了捕获过滤器和显示过滤器,两者对捕获文件的影响不同.

在记录过程开始之前,将捕获过滤器应用于捕获文件,从而使您可以决定Wireshark将捕获哪些数据包。另一方面,显示过滤器在事后被应用于捕获文件,从而使您只能看到符合特定条件的数据包。.

要添加捕获过滤器,请单击启动窗口中显示的界面上方的输入字段。您可以在其中输入过滤器,例如TDP,或单击左侧的书签图标并从下拉列表中选择。有关更多选项,请单击绿色书签图标后,选择“管理捕获过滤器”。

Wireshark捕获过滤器

在捕获字段上方,您将看到另一个输入字段,上面写着“应用显示过滤器…”,您可以按照与应用捕获过滤器相同的方式来应用显示过滤器.

Wireshark显示过滤器

使用Wireshark进行颜色编码

Wireshark的颜色规则可让您根据突出显示的颜色进一步分离和个性化数据包。这样,您可以一眼识别出某些类型的流量或错误。 Wireshark的内置颜色库提供大约20种阴影,所有这些阴影都可以编辑,禁用或删除.

通过单击工具栏中的“查看”,而不是选择“着色规则”,可以访问着色选项。

Wireshark颜色

可以通过单击“查看”并在下拉菜单中切换“着色数据包列表”选项来禁用数据包着色.

Wireshark-colors2

在Wireshark中查看网络统计信息

Wireshark提供了有关您的网络的各种数据和指标,可通过工具栏中的“统计”下拉菜单进行访问。度量标准包括解析的地址,IPv4统计信息,IPv6统计信息以及其他图表。您也可以在此处使用显示过滤器。统计信息也可以导出为不同的文件格式,例如.txt,.csv和.xml。.

Wireshark统计

最后的想法

Wireshark是一款简单但用途广泛的网络分析仪,最重要的是,它是免费的。尽管本指南旨在向您展示基础知识,但我们才刚刚开始了解Wireshark可以做的事情。如果您想掌握Wireshark并编写自己的协议解剖器,请参考Wireshark官方用户指南.

Wireshark Wiki是与该程序一起使用的另一个绝佳资源,因为它具有教程,示例捕获以及工具和插件。.

有关更多软件,请查看我们最好的防病毒软件,最好的密码管理器和最好的记帐软件。否则,感谢您的阅读,如果您有Wireshark的提示或技巧,请在评论或推文中告知我们。.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
  阿根廷的最佳VPN:2023年探戈周边监视