文章目录
- 一、WireShark软件介绍
- 1. **概述**
- 2. **主要功能**
- 3. **使用场景**
- 4. **安装和使用**
- 5. **优点和限制**
- 6. **结论**
- 二、WireShark的安装
- 三、WireShark的基本使用
- 1. **混杂模式(Promiscuous Mode)**
- **概述**
- **工作原理**
- **应用场景**
- **启用方式**
- 2. **普通模式(Non-Promiscuous Mode)**
- **概述**
- **工作原理**
- **应用场景**
- **启用方式**
- **总结**
- 四、怎么知道要抓取哪个连接
一、WireShark软件介绍
Wireshark 是一个广泛使用的网络协议分析工具,它提供了强大的功能用于捕获、分析和调试网络流量。以下是对 Wireshark 的详细介绍:
1. 概述
Wireshark 是一款开源的网络协议分析工具,用于网络故障排除、分析、软件和通信协议开发以及教育等多个领域。它能够捕获网络接口上的数据包,并以图形化界面展示这些数据包的详细信息。
2. 主要功能
-
数据包捕获:Wireshark 可以实时捕获通过网络接口传输的数据包,支持多种网络接口类型,包括以太网、Wi-Fi、蓝牙等。
-
协议解析:它支持超过 1000 种协议的解析,包括常见的 TCP/IP 协议、HTTP、DNS、SMTP 等。解析后的数据包信息可以以分层结构显示,便于分析。
-
实时分析:捕获数据包时,Wireshark 可以实时分析并展示流量统计信息,如流量图、协议分布等。
-
过滤功能:提供强大的过滤功能,包括捕获过滤和显示过滤。用户可以通过过滤器定义条件,仅捕获或显示符合条件的数据包。
-
详细的数据包信息:每个捕获的数据包都可以显示详细的信息,包括协议层次、字段值、原始数据等,帮助用户深入理解网络流量的细节。
-
图形化界面:Wireshark 提供了友好的图形用户界面 (GUI),使得用户可以通过点击和选择的方式进行操作,无需命令行输入。
-
导入和导出:支持将捕获的数据包导出为多种格式(如 PCAP、PCAPNG、CSV 等),也支持从文件中导入数据进行分析。
-
数据包重组:能够处理和重组分段的数据包,如 TCP 流的重组,以便分析整个通信会话。
3. 使用场景
-
网络故障排除:帮助网络工程师诊断网络问题,如延迟、丢包、协议错误等。
-
性能监控:分析网络流量,监控网络性能和带宽使用情况。
-
安全分析:检测和分析网络攻击、入侵、恶意流量等。
-
协议开发:用于开发和测试自定义协议,确保它们符合标准并正确实现。
-
教育和培训:作为学习和教学工具,帮助理解网络协议和网络通信的内部工作原理。
4. 安装和使用
-
安装:Wireshark 可以在多种操作系统上运行,包括 Windows、macOS 和 Linux。可以从 Wireshark 官方网站下载并安装。
-
捕获数据包:启动 Wireshark,选择要捕获的网络接口,点击“开始捕获”按钮即可。
-
分析数据包:捕获的数据包将显示在主窗口中,用户可以点击数据包查看详细信息,使用过滤器查找特定数据包。
-
保存和加载:捕获的数据包可以保存为文件,以便后续分析或共享。保存的文件可以通过 Wireshark 重新加载进行分析。
5. 优点和限制
优点:
- 开源免费:Wireshark 是一个开源项目,免费提供给用户使用。
- 强大的解析能力:支持大量协议的解析,适用于各种网络分析需求。
- 用户友好:图形化界面易于操作,适合各种水平的用户。
限制:
- 资源消耗:在捕获大量数据时可能会消耗较多系统资源。
- 需要一定网络知识:对于复杂的网络问题,理解协议和数据包的详细信息可能需要一定的网络知识。
6. 结论
Wireshark 是一个功能强大的网络协议分析工具,广泛应用于网络故障排除、性能监控、安全分析和协议开发等多个领域。凭借其丰富的功能和友好的用户界面,Wireshark 成为网络工程师和安全专家的重要工具。
二、WireShark的安装
WireShark官网下载链接:WireShark官网
选择对应的版本安装:
下载不下来的同学,我会将安装包放入微信公众号:优质程序猿。
回复WireShark即可领取。
安装步骤的话比较简单,直接下一步下一步就可以了。
三、WireShark的基本使用
Wireshark 的数据包捕获模式可以分为两种:混杂模式(Promiscuous Mode)和普通模式(Non-Promiscuous Mode)。这两种模式决定了网络接口卡(NIC)如何处理接收到的网络流量。
1. 混杂模式(Promiscuous Mode)
概述
- 混杂模式允许网络接口卡(NIC)接收所有通过其上的网络流量,而不仅仅是发给它自己的数据包。在这种模式下,NIC 不会过滤掉任何数据包,无论数据包的目标地址是否与其自身的 MAC 地址匹配。
工作原理
- 当网络接口卡设置为混杂模式时,它将接收网络上所有的数据包,并将这些数据包传递给操作系统的网络协议栈。Wireshark 可以捕获并分析这些数据包,即使它们并不是发送给计算机的。
应用场景
- 网络故障排除:可以捕获和分析所有流经网络的流量,帮助诊断网络问题。
- 网络分析:用于监控和分析整个网络的流量,获取全面的数据。
- 安全监控:能够捕获网络上的所有流量,有助于发现潜在的安全威胁。
启用方式
2. 普通模式(Non-Promiscuous Mode)
概述
- 普通模式下,网络接口卡只接收目标地址与其自身 MAC 地址匹配的数据包。也就是说,只有发送到计算机的数据包会被捕获,其它数据包会被忽略。
工作原理
- 在普通模式中,NIC 会根据 MAC 地址过滤掉不相关的数据包,只将目标地址匹配的数据包传递给操作系统。这种模式下,Wireshark 只能捕获发送到本机的数据包,而无法捕获其他网络流量。
应用场景
- 局部分析:当只对发送到本机的数据包感兴趣时使用,如测试特定的应用程序或服务。
- 节省资源:对于资源有限的系统,普通模式可以减少捕获的数据量,降低系统负担。
启用方式
总结
-
混杂模式:允许捕获所有通过网络接口的数据包,不论数据包的目标地址。适用于需要全面监控和分析网络流量的情况,如网络故障排除和安全监控。
-
普通模式:只捕获发送到本机的数据包,适用于局部分析和节省资源的需求。
在大多数网络分析任务中,混杂模式是更常用的设置,因为它提供了更全面的网络视图。然而,在特定的测试或资源限制的情况下,普通模式可能更合适。
四、怎么知道要抓取哪个连接
可以先使用cmd在cmd中输入ipconfig指令来查询当前的电脑的网络连接和IP地址:
然后在对应到WireShark中:
这样我们就可以选择对应的网络进行抓取了。
开始进行抓包:
停止抓包:
继续抓包:
