wireshark教程.pdf

wireshark教程.pdf Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。网络封包分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作 - 只是将场景移植到网络上，并将电线替换成网络线。 网络管理员使用Wireshark来检测网络问题，网络安全工程师使用Wireshark来检查资讯安全相关问题，开发者使用Wireshark来为新的通讯协定除错，普通使用者使用Wireshark来学习网络协定的相关知识当然，有的人也会“居心叵测”的用它来寻找一些敏感信息…… 　　 Wireshark不是入侵侦测软件（Intrusion DetectionSoftware,IDS）。对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。然而，仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改，它只会反映出目前流通的封包资讯。 Wireshark本身也不会送出封包至网络上。 　　 官方:http://www.wireshark.org/ ### Wireshark知识点详解 #### 一、Wireshark简介 **Wireshark**是一款功能强大的网络封包分析工具，最初名为**Ethereal**。它通过捕获网络中的数据包并对其进行详尽的分析，从而揭示网络通信的细节。这款工具在多种场景下都有着广泛的应用，包括但不限于： - **网络管理：**网络管理员使用Wireshark来检测网络问题，如带宽瓶颈、延迟等。 - **网络安全：**安全工程师利用Wireshark来检查网络中是否存在潜在的安全威胁或异常行为。 - **协议调试：**开发者使用Wireshark来测试和调试新开发的通信协议。 - **教育学习：**学生和初学者通过Wireshark来学习网络协议的工作原理。 Wireshark不直接参与网络通信的过程，也不发送任何数据包；它仅作为观察者，记录和分析网络中的数据流。 #### 二、Wireshark的主要功能与特点 - **多平台支持：**Wireshark可在Windows、Unix/Linux等多种操作系统上运行。 - **广泛的协议支持：**支持解析多种网络协议，如TCP/IP、HTTP、DNS等。 - **灵活的数据包捕捉方式：**可以根据不同需求选择不同的网络接口进行数据包捕捉。 - **多格式输出：**支持将捕获的数据包以不同的文件格式导出，便于进一步分析。 - **开源性：**Wireshark是一款开源软件，允许用户自由地查看和修改其源代码。 - **非入侵性：**Wireshark不对网络数据包进行修改，只负责展示当前网络中流通的数据包信息。 #### 三、Wireshark不能做的事情 Wireshark不具备以下功能： - **入侵检测：**它不会主动监测网络中的异常行为或发出警报。 - **数据包修改：**Wireshark不会对网络中的数据包内容进行任何更改。 - **数据包发送：**Wireshark本身不具有发送数据包到网络中的能力。 #### 四、Wireshark系统需求 - **一般说明：**Wireshark适用于大多数现代操作系统。 - **Microsoft Windows：**支持从Windows XP到最新的Windows版本。 - **Unix/Linux：**兼容各种Unix/Linux发行版。 #### 五、获取Wireshark的方式 - **官方网站：**访问[http://www.wireshark.org/](http://www.wireshark.org/)获取最新版本的Wireshark及相关资源。 - **第三方平台：**某些操作系统自带的包管理系统中也提供了Wireshark的安装包。 #### 六、Wireshark安装指南 - **Windows下的安装：** - 下载Wireshark安装包并执行。 - 可能需要手动安装WinPcap（现已集成到Wireshark中）。 - 更新Wireshark时，请注意先卸载旧版本。 - **Unix/Linux下的安装：** - 编译安装：下载源代码包后，按照文档指引进行配置和编译。 - 二进制包安装：根据不同Linux发行版选择相应的安装包（如RPM、Deb等）。 #### 七、Wireshark用户界面 - **主窗口：**包含主菜单、工具栏、包列表面板、包详情面板等组件。 - **工具栏：**提供常用功能的快捷按钮。 - **包列表面板：**展示捕获的所有数据包。 - **包详情面板：**显示所选数据包的详细信息。 - **包字节面板：**以十六进制形式展示数据包的原始字节内容。 #### 八、数据包捕捉流程 1. **准备阶段：**选择要捕捉的网络接口和相关选项。 2. **开始捕捉：**点击开始按钮后，Wireshark开始捕获数据包。 3. **捕捉控制：**可以随时暂停、继续或停止捕捉。 4. **过滤设置：**在捕捉过程中，可以通过设置过滤规则来筛选所需的数据包。 #### 九、文件输入输出 - **打开文件：**支持多种格式的捕获文件。 - **保存文件：**可以将捕获的数据包保存为不同的文件格式，方便后续分析或共享。 - **打印数据包：**支持将数据包列表或详情打印出来。 #### 十、数据包分析与过滤 - **浏览捕捉的数据包：**可以通过包列表面板快速查看已捕捉的数据包概览。 - **显示过滤器：**使用过滤表达式来精确查找特定的数据包。 - **深度分析：**对选定的数据包进行深入分析，查看详细的字段信息。 通过对Wireshark的学习和掌握，用户可以更好地理解网络通信的原理，提高网络安全意识，同时也能有效地解决网络故障和优化网络性能。无论是专业人士还是爱好者，Wireshark都是一个不可或缺的工具。