Wireshark(网络包分析工具)v3.6.1官方版

Wireshark（以前称为Ethereal）是一款网络数据包分析软件。网络数据包分析软件的作用是捕获网络数据包并尽可能显示最详细的网络数据包信息。

Wireshark可谓网络分析行业中的常青树，任何负责任的网络分析师都对这款软件情有独钟。如今很少有产品具有如此持久的吸引力，原因很容易理解。想要了解网络上发生的情况的网络管理员可以使用该软件捕获数据包，然后以一种使管理员可以轻松跟踪计算机之间的对话和数据流的方式显示它们。该软件有大量的排序和过滤选项，供用户找到他们正在寻找的确切信息。此外，它还可以分析来自其他软件包（例如微软的网络监视器）的数据。怎么会有人不喜欢这个呢？

基本介绍

Wireshark是一款适用于Unix 和Windows 的优秀开源网络协议分析器。它可以实时检测网络通信数据，也可以检测其捕获的网络通信数据快照文件。这些数据可以通过图形界面浏览，让您查看网络通信数据包中每一层的详细信息。

特征

Wireshark拥有许多强大的特性：包括丰富的显示过滤语言和查看TCP会话重建流的能力；它更支持上百种协议和媒体类型：有一个名为tethereal的命令，类似于tcpdump（Linux下的网络协议分析工具）行版本。

过去，网络数据包分析软件非常昂贵或专门用于商业应用。

Ethereal的出现改变了一切。

在GNU GPL通用许可证的保护下，用户可以免费获得软件及其代码，并有权修改和定制其源代码。 Ethereal 是世界上最广泛的网络数据包分析软件之一。

使用目的

网络管理员使用Wireshark检测网络问题，网络安全工程师使用Wireshark检查信息安全相关问题，开发人员使用Wireshark调试新的通信协议，普通用户使用Wireshark学习网络协议。当然，也有人会利用它来“别有用心”地寻找一些敏感信息……

Wireshark 不是入侵检测系统(IDS)。 Wireshark 不会对网络上的异常流量行为生成警告或提示。不过，仔细分析Wireshark捕获的数据包可以帮助用户更清楚地了解网络行为。 Wireshark不会修改网络数据包的内容，它只会反映当前流通的数据包信息。 Wireshark 本身并不向网络发送数据包。

指示

1.确定Wireshark的位置

如果没有正确的位置，启动Wireshark后需要很长时间才能捕获一些与你无关的数据。

2.选择采集接口

通常，选择连接到Internet网络的接口，以便可以捕获网络相关的数据。否则，捕获的其他数据对您没有任何帮助。

3.使用捕获过滤器

通过设置捕获过滤器，您可以避免生成太大的捕获文件。这样，用户在分析数据时就不会受到其他数据的干扰。而且，它还可以为用户节省大量时间。

4.使用显示过滤器

使用捕获过滤器过滤的数据通常仍然非常复杂。为了使过滤后的数据包更加详细，此时使用显示过滤器进行过滤。

5.使用着色规则

通常使用显示过滤器过滤的数据都是有用的数据包。如果您想更突出地突出显示某个会话，可以使用着色规则来突出显示它。

6. 构建图表

如果用户想要更清楚地看到网络中数据的变化，可以很容易地以图表的形式展示数据分布。

7. 重组数据

Wireshark的重组功能可以重新组装一个会话中不同数据包的信息，或者重新组装一张完整的图片或文件。由于传输的文件往往很大，因此信息分布在多个数据包中。为了能够查看整个图片或文件，就需要使用重新组织数据的方法。