wireshark介绍
wireshark是目前应用最广泛也是最权威的网络协议分析工具,而且是完全开源免费的,wireshark开源项目起始于1998年,当前最新的稳定版本是3.6.6。wireshark能从微观角度去实际感知虚拟的网络世界,wireshark事实上(通常法律上)是很多商业、非商业组织或者政府机构,教育机构的评判依据和标准。wireshark也是我从事通信网络工作十几年使用的最重要的工具,没有之一。
wireshark功能
wireshark功能十分强大
- 支持分析数百种网络协议,而且实时发展更新的支持新协议
- 支持在线抓包,离线分析,我们用的最多的可能是离线分析工具
- 支持多种平台,Windows, Linux, macOS, Solaris, FreeBSD, NetBSD, and many others
- 支持GUI界面分析,Windows多用GUI界面分析比较直观;支持命令行使用tshark工具分析,分析效率高,这种多在Linux等命令行系统使用
- 支持丰富且强大的包过滤语法
- 支持读取分析多种文件格式: tcpdump (libpcap), Pcap NG, and many others
- 支持抓取多种物理接口:Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI, and others (depending on your platform)
- 支持分析解密多种安全协议: IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP, and WPA/WPA2
- 支持导出XML, PostScript®, CSV, or plain text等文件格式:
10.分析界面友好,如:三面板界面,mark标记,颜色标记,字段搜索,行定位,ip域名解析等
wireshark工具集
wireshark安装后,会一并安装多个工具集。
- tshark.exe
重要工具,命令行包分析工具,应用广泛功能强大 - Wireshark.exe
重要工具,图形界面包抓取及分析工具,应用广泛功能强大 - capinfos.exe
快速查询数据包的一些可用信息及统计信息,对于较大包实用,或者一些需要将统计的包信息应用到报告里,wireshark图形界面对于大包读取慢,而且显示信息文字不可copy,不便于放到报告里,这个工具也比较实用 - captype.exe
输出包文件类型 - dumpcap.exe
抓包工具,使用较少,实际我们使用tcpdump工具或者tshark直接抓包较多 - editcap.exe
包编辑和格式转换工具,应用也较多 - mergecap.exe
多个抓包文件合并成一个文件 - rawshark.exe
也可做包类似tshark,应用较少 - text2pcap.exe
将text文本格式文件转成pcap格式