什么是 Wireshark?

什么是 Wireshark?

线鲨 是根据 GNU 通用公共许可证授权的跨平台网络协议分析器。 该项目由 Gerald Combs 撰写,最初在 1990 年代后期被命名为 Ethereal 项目,当时他为一家小型 Internet 服务提供商工作。

虽然他拥有源代码的版权,但他并不拥有 Ethereal 名称的商标。 Gerald 后来离开了公司,2006 年 Wireshark 从 Ethereal Subversion 存储库和源代码中诞生。

Wireshark 是一种广泛使用的数据包嗅探器,它是一种用于:

  • 过滤
  • 数据包捕获
  • 可视化

主要的 Wireshark 功能实时捕获网络数据包并详细显示捕获的数据包内容,以便进行分析。

Wireshark 广泛用于网络领域。 为了 example网络管理员使用它来解决和排除网络功能问题、网络设计和实时网络安全保护。

Wireshark 功能

根据您的平台,通过以下方法离线读取、捕获和分析实时数据:

  • 以太网
  • IEEE 802.11
  • USB
  • 点对点协议 (PPP)/高级数据链路控制 (HDLC)
  • 光纤分布式数据接口 (FDDI)
  • 帧中继
  • 自动柜员机
  • 蓝牙
  • 令牌环

Wireshark 为大量协议提供解密支持,包括:

  • ISAKMP
  • SSL/TLS
  • SNMPv3
  • IPsec
  • Kerberos
  • WEP
  • WPA/WPA2

Wireshark 拥有一个界面,可以在所有网络类型上呈现数百种协议的数据,以及强大的 VoIP 分析和显示过滤器。 以各种捕获文件格式在网络内外实时分析数据包,例如:

  • 网络仪器观察员
  • 网屏窥探
  • Pcap NG
  • 弹射器 DCT2000
  • 微软网络监视器
  • Shomiti/Finisar 测量员
  • 泰克 K12xx
  • 思科安全 IDS iplog
  • Novell LAN 分析仪
  • RADCOM WAN/LAN 分析仪

系统要求

Wireshark 列出了几个 系统要求,但这里是您需要的基本要求。 支持的操作系统是 Windows、macOS 和 Linux。 虽然针对 Windows 规定了以下要求,但其他系统需要类似的规格:

  • 本教程的部分内容需要 Root 权限/访问权限或管理员访问权限。
  • 通用 C 运行时(包含在 Windows 10、Windows Server 2019 中,并在早期版本上自动安装)。
  • 任何现代 64 位 AMD64/x86-64 或 32 位 x86 处理器。
  • 500 MB 可用 RAM。 较大的捕获文件需要更多 RAM。
  • 500 MB 可用磁盘空间。 捕获文件需要额外的磁盘空间。
  • 任何现代显示器。 Wireshark 建议使用 1280 × 1024 或更高的分辨率。 如果可用,它会使用 HiDPI 或 Retina 分辨率。
  • 用于捕获的受支持的网卡。
    • 任何以太网卡都可用于捕获流量。
    • 在没有特殊设备的情况下,获取电气和电子工程师协会 (IEEE) 802.11 的原始信息可能是一项挑战。

如何安装 Wireshark

Wireshark 是免费的 下载 并且适用于大多数操作系统。 为您的操作系统选择最合适的选项。

如何在 Windows 上安装 Wireshark

要完成安装,您需要管理员权限。 对于 Windows 安装,请下载 64 位 Windows 安装程序并按照屏幕上的安装程序步骤进行操作。

Npcap 是实时数据包捕获所必需的,并且包含在 Windows 的 Wireshark 稳定版本包中。 如果需要,您可以从他们的网站单独下载。

如何在 macOS 上安装 Wireshark

要在 macOS 上安装 Wireshark,请下载并打开 .dmg 文件。 然后,将 Wireshark 应用程序拖放到您的 Applications 文件夹中。 接下来,您需要 ChmodBPF 启动守护程序来捕获数据包。 最后,找到并打开 Wireshark .dmg 中的 Install ChmodBPF.pkg 文件,完成安装。

替代 Homebrew 安装

您可以选择使用 Homebrew 在 macOS 上安装 Wireshark。 首先,使用以下命令通过终端提示安装 Homebrew。

url/bin/ruby -e "$(curl - fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"

成功安装 Homebrew 后,在终端提示符下使用以下命令。

brew install wireshark

如何在 Debian Linux 上安装 Wireshark

基于 Debian 的 Linux 系统需要 root 权限。 使用以下命令完成安装。

sudo apt-get install wireshark
sudo dpkg-reconfigure wireshark-common
sudo usermod -a -G wireshark $USER
newgrp wireshark

在 CentOS、Red Hat Enterprise Linux (RHEL) 和 Fedora Linux

CentOS、红帽企业 Linux (RHEL) 和 Fedora Linux 系统安装需要 root 权限。 根据您的包管理器,使用以下命令之一。

sudo dnf install wireshark

或者

sudo yum install wireshark

抓包

成功安装 Wireshark 后,您可以捕获实时数据。 在主窗口中,选择 捕获 进而 选项. 这将打开另一个带有可用接口列表的窗口。 找到您想要的界面,然后单击 开始 开始捕获数据包。

捕获您想要的流量后,单击 停止 (红色方块)在顶部并开始您的分析。

将 Wireshark 切换到混杂模式需要管理员或 root 访问权限。 混杂模式允许您的网络接口向主机设备提供它看到的所有数据包。 这是默认模式,除非 以混杂模式捕获数据包 选项在 捕获选项。

过滤数据包

过滤数据是 Wireshark 最重要的功能之一,尤其是在需要分析大量数据的情况下。

通过配置 Wireshark,您可以按照您的条件捕获数据包:

  • 进出特定 IP 地址的流量。
  • 发送到特定主机的流量。
  • 特定端口上的流量。

Wireshark 颜色编码

默认情况下,数据包采用颜色编码,但每种数据包颜色都允许自定义。 一些默认颜色代码是:

  • UDP:浅蓝色
  • TCP:浅紫色
  • ICMP:浅粉色

Wireshark 网络统计

统计分析对于深入了解您的网络至关重要。 幸运的是,您不必手动进行统计分析,因为您只需单击提供各种绘图、指标和图表的统计菜单即可。

一些统计分析的变量:

  • 捕获的数据包数。
  • 流的时间跨度或持续时间。
  • 每秒平均数据包数 (PPS)。
  • 大小以字节为单位。
  • 平均字节/秒。

重要的 Wireshark 命令

如果您的操作系统没有图形用户界面 (GUI),Wireshark 具有命令行界面 (CLI) 支持。

使用 CLI,您使用的任何命令的语法都采用以下格式。

wireshark [options] [<infile>]

您可以使用以下命令列出所有 Wireshark 的 CLI 参数。

wireshark -h

在里面 example 下面,Wireshark 命令在以太网接口 0 上捕获数据包 3 分钟。 flat -a 用于自动停止捕获,-i 指定要捕获的接口。

wireshark -a duration:180 -i eth0 -w wireshark

结论

网络专业人员使用 Wireshark 作为他们选择的数据包捕获工具。 一旦他们分解数据包,他们就会使用它们进行实时或离线分析。 它是深入了解您的网络流量的强大工具。

Liquid Web 为您的网站、应用程序和办公基础设施提供了广泛的托管托管环境。 立即联系我们的销售团队以获取更多信息,以确保您获得适合您需求的环境。