Wireshark是网络包(流量分析,协议分析,数据包分析,网络窃听等),主要作用是尝试捕获网络包,并尝试的情况
Wireshark不会处理网络事务,它仅仅是“测量”(监视)网络
Wireshark是开源软件项目,不用担心授权和付费问题
,杰拉尔德·库姆斯需要一个工具并想,他开始开发的
,经过数次开发,停顿,1998年,经过这么长的时间,补丁,错误报告,以及许多的鼓励,0.2.0版诞生了.Ethereal就是以这种方式成功的
此后不久,吉尔伯特拉米雷斯发现它的潜力,并为其提供了底层分析
1998年10月,哈里斯的家伙正寻找一种比TcpView更好的工具,他开始为飘渺的进行改进,并提供分析
1998年以后,正在进行TCP/IP教学的理查德·夏普关注了它在这些课程中的作用,并开始研究该软件是否他所需要的协议。如果不行,新协议支持应该很方便被添加,他开始从事飘渺的分析及改进。
从那以后,帮助飘渺的人越来越多,他们的开始几乎都是由于一些尚不被飘渺的支持的协议,所以他们拷贝了已有的解析器,并为团队提供了改进回馈
2006年项目搬家(这句不知道怎么翻译)并重新命名为:Wireshark。
GTK1/2:图像处理工具,处理用户的输入输出显示
核心:核心引擎,通过函数调用将其他模块连接在一起,起到联动调度的作用
窃听:格式支持,从抓包文件中读取数据包,支持多种文件格式
捕获:捕包引擎,利用libpcap/WinPcap从底层抓取网络数据包,提供了通用的抓包接口,能从不能类型的网络接口获取数据包
赢——/libpcap: Wireshark抓包时依赖的库文件
Wireshark使用WinPcap作为接口,直接进行数据,网络封包产生,它只会反映出目前流通的封包资讯。Wireshark本身也不会送出封包至网络上
<强>
:(将网卡设置成混杂模式,,抓包工具默认设置)
:捕获的转换成
:捕获和转换后的
混杂端口:是指一台机器能够接收所有数据流,不论其目的地址是不是它,主用于诊断网络问题
抓包前提需要将网卡设为混杂模式
抓包原理:
1,抓包本地网卡进出网络流量,针对自己网卡不能针对整个局域网
2,集线器网络,集线器是网络层设备,不学习数据包,广播所有接口(已经很少有这种环境)
3,镜像端口,将数据拷贝一份到一个端口,交换机为二层设备,第一次广播,第二次学习地址转发
4,交换机有个弊端,第一次都需要广播地址学习MAC地址才能转发,这种方式易被人利用
5, ARP欺骗
端口镜像注意:在进行多个端口同时镜像到一个端口的时候注意的
相关文档
《Wireshark数据包分析实战》第二版克里斯·桑德斯
《Wireshark网络分析》第二版劳拉Chappell
《TCP/IP协议栈详解卷一》W。理查德·史蒂文斯
相关网站
https://www.wireshark.org
https://www.wiresharkbook.com https://wiki.wiresharkbook.com
嗅探器
提琴手,httpwatch针对http协议
