Wireshark 64位中文版(抓包工具)

簡介

Wireshark 是一款非常棒的Unix和Windows上的開源網絡協議分析器。它可以實時檢測網絡通訊數據，也可以檢測其抓取的網絡通訊數據快照文件。可以通過圖形界面瀏覽這些數據，可以查看網絡通訊數據包中每一層的詳細內容。

安裝

下載地址：

https://www.wireshark.org/download.html

版本：

Stable Release (2.6.4)
Old Stable Release (2.4.10)
Development Release (2.5.1)

使用最新開發版，安裝後即是中文的（Wireshark-win64-2.5.1.exe）
使用最新穩定版，安裝後即是英文的（Wireshark-win64-2.6.4.exe）

注意

最新穩定版調整爲chinese,還是英文版，所以習慣中文的，使用開發版。

使用目的

1、網絡管理員使用Wireshark來檢測網絡問題

2、網絡安全工程師使用Wireshark來檢查信息安全相關問題

3、開發者使用Wireshark來爲新的通信協議除錯

4、普通用戶使用Wireshark來學習網絡協議的相關知識

主要界面

1. Display Filter(顯示過濾器)， 用於過濾

2. Packet List Pane(封包列表)， 顯示捕獲到的封包， 有源地址和目標地址，端口號。 顏色不同，代表

3. Packet Details Pane(封包詳細信息), 顯示封包中的字段

4. Dissector Pane(16進制數據)

5. Miscellanous(地址欄，雜項)

過濾規則詳解

過濾器有兩種：

一種是顯示過濾器，就是主界面上那個，用來在捕獲的記錄中找到所需要的記錄

一種是捕獲過濾器，用來過濾捕獲的封包，以免捕獲太多的記錄。 在Capture -> Capture Filters 中設置

保存過濾

在Filter欄上，填好Filter的表達式後，點擊Save按鈕， 取個名字。比如"Filter 102",

Filter欄上就多了個"Filter 102" 的按鈕。

過濾表達式的規則

1. 協議過濾

比如TCP，只顯示TCP協議。

2. IP 過濾

比如 ip.src ==192.168.1.102 顯示源地址爲192.168.1.102，

ip.dst==192.168.1.102, 目標地址爲192.168.1.102

3. 端口過濾

tcp.port ==80, 端口爲80的

tcp.srcport == 80, 只顯示TCP協議的願端口爲80的。

4. Http模式過濾

http.request.method==“GET”, 只顯示HTTP GET方法的。

5. 邏輯運算符爲 AND/ OR

工作流程

(1)確定Wireshark的位置。如果沒有一個正確的位置，啓動Wireshark後會花費很長的時間捕獲一些與自己無關的數據。

(2)選擇捕獲接口。一般都是選擇連接到Internet網絡的接口，這樣纔可以捕獲到與網絡相關的數據。否則，捕獲到的其它數據對自己也沒有任何幫助。

(3)使用捕獲過濾器。通過設置捕獲過濾器，可以避免產生過大的捕獲文件。這樣用戶在分析數據時，也不會受其它數據干擾。而且，還可以爲用戶節約大量的時間。

(4)使用顯示過濾器。通常使用捕獲過濾器過濾後的數據，往往還是很複雜。爲了使過濾的數據包再更細緻，此時使用顯示過濾器進行過濾。

(5)使用着色規則。通常使用顯示過濾器過濾後的數據，都是有用的數據包。如果想更加突出的顯示某個會話，可以使用着色規則高亮顯示。

(6)構建圖表。如果用戶想要更明顯的看出一個網絡中數據的變化情況，使用圖表的形式可以很方便的展現數據分佈情況。

(7)重組數據。Wireshark的重組功能，可以重組一個會話中不同數據包的信息，或者是一個重組一個完整的圖片或文件。由於傳輸的文件往往較大，所以信息分佈在多個數據包中。爲了能夠查看到整個圖片或文件，這時候就需要使用重組數據的方法來實現。

區別

Wireshark和WinPcap區別：

WinPcap是用於網絡封包抓取的一套工具，可適用於32位或64位的操作平臺上解析網絡封包，包含了核心的封包過濾，一個底層動態鏈接庫，和一個高層系統函數庫，及可用來直接存取封包的應用程序界面。

Winpcap是一個免費公開的軟件系統。它用於windows系統下的直接的網絡編程。

大多數網絡應用程序訪問網絡是通過廣泛使用的套接字。這種方法很容易實現網絡數據傳輸，因爲操作系統負責底層的細節(比如協議棧，數據流組裝等)以及提供了類似於文件讀寫的函數接口。

但是有時，簡單的方法是不夠的。因爲一些應用程序需要一個底層環境去直接操縱網絡通信。因此需要一個不需要協議棧支持的原始的訪問網絡的方法

Wireshark(前稱Ethereal)是一個網絡封包分析軟件。網絡封包分析軟件的功能是擷取網絡封包，並儘可能顯示出更爲詳細的網絡封包資料。

網絡封包分析軟件的功能[1]可想像成 “電工技師使用電錶來量測電流、電壓、電阻” 的工作 - 只是將場景移植到網絡上，並將電線替換成網絡線。

在過去，網絡封包分析軟件是非常昂貴，或是專門屬於營利用的軟件。Ethereal的出現改變了這一切。在GNUGPL通用許可證的保障範圍底下，使用者可以以免費的代價取得軟件與其源代碼，並擁有針對其源代碼修改及客製化的權利。Ethereal是目前全世界廣泛運用的網絡封包分析軟件之一。

總結：兩者功能不盡相同，用戶可根據自己實際需求進行選擇。