Wireshark是一种用于捕获和分析网络流量的工具。Wireshark主要由网络管理员和安全专业人员使用,用于检查网络并发现安全漏洞或恶意软件行为。
实时捕获
Wireshark可以捕获给定接口的网络流量。Wireshark支持不同的接口类型和协议。以下是Wireshark支持的接口类型列表
- 以太网
- 无线802.11
- 通用串口总线
Wireshark支持很多不同的协议。但在这里列出它们是不可行的,我们将只列出其中最受欢迎的。
- USB 2.0、3.0
- 以太网
- 无线网络
- Wimax网络
- 爱尔达
Wireshark可以捕获接口或协议的给定流量。我们可以过滤并获得有关给定流量或数据包的详细信息,如下所示。
网络检查
Wireshark主要设计为一种网络捕获或检查工具。对Wireshark特征的检查非常先进。 我们可以以如下所示的结构化格式列出所有捕获的数据。所有捕获的数据包都被逐一编号和检查。我们可以看到下面的1754包数据和信息提供了一个易于阅读的方式。我们可以获得有关帧、以太网、IP、UDP和DNS的信息。
过滤网络流量
我们也可以根据我们的参数过滤给定的流量。我们可以根据以下参数进行过滤。
- 以太网和选项
- IP和选项
- IP地址
- 源IP地址
- 目的地址
- TCP和选项
- UDP和选项
- TCP会话
我们可以使用带有相关参数的表达式框进行过滤。在下面的屏幕截图中,我们将只过滤DNS流量进行检查。我们就把 dns 到表达式框。
网络和捕获统计
在捕获的最后,我们可以得到一个网络和捕获统计数据。统计数据为不同的协议提供了大量的信息。我们可以使用 Statistics 提供端点、包长度、协议层次结构、DNS、TCP、HTTP相关统计信息的菜单。这里我们看到了关于协议的对话统计。我们可以看到具有流量大小的IP源和目标端点。
颜色规则
在分析数据包时,我们必须使用着色使分析工作更容易。会有很多数据包,很难逐一读取和跟踪。我们可以根据不同的情况给包着色。Wireshark为不同的数据包协议和案例提供20种颜色。可以添加新的颜色规则。
我们看得出来 Bad TCP 或 OSP State Change 包的颜色是黑色的。还有一些过滤器匹配给定的情况。
相关文章: 如何为Tcpdump指定主机、端口和协议?
多平台
Wireshark是一个多平台应用程序。我们可以将Wireshark安装到以下平台并使用其大部分功能。
- Windows 32和64位
- Windows便携式
- 麦可思
- Linux操作系统
- FreeBSD公司
- Unix系统
VoIP分析
VoIP近年来非常流行。Wireshark为VoIP流量捕获和分析提供支持。我们可以从 Telephony 菜单如下。Wireshark支持以下协议和统计信息。
- VoIP呼叫
- 实时处理
- RTSP公司
- SCTP公司
- SIP流
- SIP统计
支持多种捕获格式
在实时捕获期间,捕获的流量将存储在内存中,但如果我们想稍后检查或存储,则需要将其保存。Wireshark支持不同的格式来存储捕获的流量。Wireshark支持以下捕获格式。
- 帽子
- pcap公司
- pcapng公司
- dmp公司
- bfr公司
- 窥探
- 真相与和解委员会
SSL/TLS、WEP和WPA/WPA2等加密协议的解密
一些网络协议如SSL/TLS、WEP、WPA/WPA2出于安全原因提供加密。在安全评估或检查中,我们可能需要以明文格式查看此加密流量。我们可以使用Wireshark通过提供密钥、密码短语、密码或证书来加密这些加密的流量。
漂亮的GUI
Wireshark有一个非常漂亮和有用的GUI来检查大量捕获的流量。我们还可以从 Preferences 菜单。这将提供给我们设置 Packet List , Packet Details , Packet Bytes 等。
使用tshark工具的命令行支持
Wireshark提供了GUI的特性,但是如果我们需要命令行支持,Wireshark提供 tshark 命令行工具。我们可以使用所有的GUI特性 tshark 命令。
$ tshark
![关于”PostgreSQL错误:关系[表]不存在“问题的原因和解决方案-yiteyi-C++库](https://www.yiteyi.com/wp-content/themes/zibll/img/thumbnail.svg)
