Kali Linux 最佳工具之Wireshark简介与方法

Wireshark 是一种用于网络故障排除和分析的数据包分析工具。该工具可以实时捕获和分析网络流量，也可以分析先前捕获的数据包。该分析提供了对网络行为的洞察，并有助于诊断和识别潜在的安全威胁。

主要的 Wireshark 应用程序是基于GUI的。不过，有一个名为 TShark 的命令行版本。

特征

• 实时数据捕获。

• 从以太网、IEEE 802.11、PPP 和环回网络读取数据。

• 显示过滤器。

• 插件支持。

• VoIP 呼叫检测。

• 原始 USB 数据捕获。

价钱

Wireshark 是免费且开源的。

1.什么是 Wireshark？

Wireshark 是一个网络数据包分析器。网络数据包分析器尽可能详细地呈现捕获的数据包数据。

您可以将网络数据包分析器视为一种测量设备，用于检查网络电缆内部发生的情况，就像电工使用电压表检查电缆内部发生的情况一样（当然，是在更高的级别）。

过去，此类工具要么非常昂贵，要么是专有的，或者两者兼而有之。然而，随着 Wireshark 的出现，情况发生了变化。Wireshark 免费提供，是开源的，并且是当今最好的数据包分析器之一。

1.1.一些预期目的

以下是人们使用 Wireshark 的一些原因：

• 网络管理员用它来解决网络问题

• 网络安全工程师用它来检查安全问题

• QA 工程师用它来验证网络应用程序

• 开发人员使用它来调试协议实现

• 人们用它来学习网络协议的内部结构

Wireshark 在许多其他情况下也很有帮助。

1.2.特征

以下是 Wireshark 提供的众多功能中的一部分：

• 适用于UNIX和Windows。

• 从网络接口 捕获实时数据包数据。

• 打开包含使用 tcpdump/WinDump、Wireshark 和许多其他数据包捕获程序捕获的数据包数据的文件。

• 从包含数据包数据的十六进制转储的文本文件 导入数据包。

• 显示包含非常详细的协议信息的数据包。

• 保存捕获的数据包数据。

• 以多种捕获文件格式 导出部分或全部数据包。

• 根据许多标准 过滤数据包。

• 根据多种标准 搜索数据包。

• 基于过滤器对数据包显示 进行着色。

• 创建各种统计数据。

• ...还有更多！

然而，要真正体会它的力量，你必须开始使用它。

图 1.1，“Wireshark 捕获数据包并让您检查其内容。”显示 Wireshark 已捕获一些数据包并等待您检查它们。

图 1.1。Wireshark 捕获数据包并让您检查其内容。

1.3.来自许多不同网络媒体的实时捕获

Wireshark 可以捕获来自许多不同网络媒体类型的流量，包括以太网、无线 LAN、蓝牙、USB 等。支持的特定媒体类型可能受到多种因素的限制，包括您的硬件和操作系统。有关支持的媒体类型的概述，请访问 https://gitlab.com/wireshark/wireshark/-/wikis/CaptureSetup/NetworkMedia。

1.4.从许多其他捕获程序导入文件

Wireshark可以打开大量捕获程序的数据包捕获。有关输入格式的列表，请参阅第 5.2.2 节“输入文件格式”。

1.5.为许多其他捕获程序导出文件

Wireshark 可以以多种格式保存捕获的数据包，包括其他捕获程序使用的格式。有关输出格式的列表，请参阅第 5.3.2 节“输出文件格式”。

1.6. 许多协议解析器

许多协议都有协议解析器（或解码器，因为它们在其他产品中被称为）：请参阅附录 C，协议和协议字段。

1.7. 开源软件

Wireshark 是一个开源软件项目，根据 GNU 通用公共许可证(GPL) 发布。您可以在任意数量的计算机上自由使用 Wireshark，而无需担心许可证密钥或费用等。此外，所有源代码均可在 GPL 下免费获取。正因为如此，人们很容易向 Wireshark 添加新协议，无论是作为插件，还是内置到源代码中，而且他们经常这样做！

1.8. Wireshark 不是什么

以下是 Wireshark 不提供的一些功能：

• Wireshark 不是入侵检测系统。当有人在您的网络上做了不允许他/她做的奇怪事情时，它不会警告您。然而，如果发生奇怪的事情，Wireshark 可能会帮助您弄清楚到底发生了什么。

• Wireshark 不会操纵网络上的事物，它只会“测量”网络上的事物。Wireshark 不会在网络上发送数据包或执行其他活动（域名解析除外，但可以禁用）。

原文始发于微信公众号（河南等级保护测评）：Kali Linux 最佳工具之Wireshark简介与方法