应用简介
Wireshark免安装版是一款非常专业的开源网络嗅探抓包工具。这款Wireshark破解版功能强大,可以实时检测网络通讯数据,同时也可以检测其抓取的网络通讯数据快照文件,让用户查看网络通讯数据包中每一层的详细内容,让你对网络数据封包有更加详细的了解。
可通过图形界面浏览这些数据,并查看网络通讯数据包中每一层的详细内容。通俗点来说就是将其像成 "电工技师使用电表来量测电流、电压、电阻" 的工作一样。只是将场景移植到网络上,并将电线替换成网络线,让大家可免费拥有或取得软件与其源代码,并针对其源代码修改及客制化的权利。相对而言会比较适用于网络管理和安全工程等行业领域的朋友,为大家提供有关故障排除,保护,分析和维护的高效网络基础架构、以及最佳实践的教育工具。
【功能特点】
1、Wireshark拥有许多强大的特性:
包含有强显示过滤器语言(rich display filter language)和查看TCP会话重构流的能力;
2、它更支持上百种协议和媒体类型:
拥有一个类似tcpdump(一个Linux下的网络协议分析工具)的名为tethereal的的命令行版本。
在过去,网络封包分析软件是非常昂贵,或是专门属于营利用的软件。
Ethereal的出现改变了这一切。
在GNU GPL通用许可证的保障范围底下,使用者可以以免费的代价取得软件与其程式码,并拥有针对其原始码修改及客制化的权利。Ethereal是目前全世界最广泛的网络封包分析软件之一。
【过滤规则】
有很多用户急急忙忙下载了Wireshark之后,就马上想要使用,但是在这之前,你必须先了解它的过滤规则,只有彻底清楚它的过滤规则,才能更好的使用它,那么下面小编就简单的跟大家讲解一下吧!
例子:
ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107
或者
ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP
Linux上运行的wireshark图形窗口截图示例,其他过虑规则操作类似,不再截图。
ip.src eq 10.175.168.182
截图示例:
提示: 在Filter编辑框中,收入过虑规则时,如果语法有误,框会显红色,如正确,会是绿色。
【过滤端口】
了解了上面的Wireshark过滤规则之后,接下来小编给大家讲解的就是过滤端口,其实这个过滤端口的含义还是比较容易理解的,那么有不懂的用户可以参考下面小编给大家分享的内容,让你能够清楚它的整个使用流程。
例子:
tcp.port eq 80 // 不管端口是来源的还是目标的都显示
tcp.port == 80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 只显tcp协议的目标端口80
tcp.srcport == 80 // 只显tcp协议的来源端口80
udp.port eq 15000
过滤端口范围
tcp.port >= 1 and tcp.port <= 80
【抓包教程】
Wireshark它的最大功能就是抓包,通过它,你就能轻松进行抓包操作,而且步骤也是非常简单的,针对刚开始使用的新用户,在这里小编给大家讲解一下抓包流程,图文内容在下方,刚兴趣的小伙伴可了解一下。
1、安装完成之后,打开安装好的Wireshark工具,会进入到Wireshark工具的界面,如图所示
2、然后点开菜单栏的“Capture”选项,选择里面的“Options”,在弹出的界面中选择如图所示位置
3、确认选择好网卡,勾选好Display options的选项之后,点击Start进入抓包,如图所示
4、抓包完成之后点击停止抓包按钮,然后点击菜单栏的“File”选项,点击下面的“Save”进行保存即可,如图所示
【工作流程】
(1)确定Wireshark的位置。如果没有一个正确的位置,启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。
(2)选择捕获接口。一般都是选择连接到Internet网络的接口,这样才可以捕获到与网络相关的数据。否则,捕获到的其它数据对自己也没有任何帮助。
(3)使用捕获过滤器。通过设置捕获过滤器,可以避免产生过大的捕获文件。这样用户在分析数据时,也不会受其它数据干扰。而且,还可以为用户节约大量的时间。
(4)使用显示过滤器。通常使用捕获过滤器过滤后的数据,往往还是很复杂。为了使过滤的数据包再更细致,此时使用显示过滤器进行过滤。
(5)使用着色规则。通常使用显示过滤器过滤后的数据,都是有用的数据包。如果想更加突出的显示某个会话,可以使用着色规则高亮显示。
(6)构建图表。如果用户想要更明显的看出一个网络中数据的变化情况,使用图表的形式可以很方便的展现数据分布情况。
(7)重组数据。Wireshark的重组功能,可以重组一个会话中不同数据包的信息,或者是一个重组一个完整的图片或文件。由于传输的文件往往较大,所以信息分布在多个数据包中。为了能够查看到整个图片或文件,这时候就需要使用重组数据的方法来实现。
