前言:为什么要学wireshark?工欲善其事必先利其器,wireshark是一款工具软件,主要作用是抓取数据封包,可以帮助我们更加直观更加具象的学习各种网路协议(http、TLS、TCP、UDP、IP、ARP、ICMP等)。学习wireshark能够帮助我们更好的了解网络协议,当然学习好网络协议也能够让我们更快地学习wireshark,二者相辅相成、互相促进。
说明:文中使用的是wiresharkv2.6.3汉化版,操作系统是windows10。
特殊的标记:【注意】指出一些常见的错误,或者一些不明显的东西;【提示】表示这个功能日常用到的地方比较多。
一:wireshark是什么?
wireshark是一款封包查看和分析工具(或者说是一种软件),能够截取各种网络封包,并显示封包的详细信息。
- wireshark是开源软件,可以在windows和Mac os上运行。
- 处于安全考虑,wireshark只能查看封包,不能修改封包里的数据,也不能发送封包。
二:常用的抓包工具
- fiddler:是在windows上运行的程序, 专门捕获http https 协议的封包,也可以解密https封包,可以修改封包和发送数据。
- wireshark:可以抓各种协议的封包,比如http、https、tcp、SSL等,但是不能解析https封包,不能修改封包,不能发送数据。
- 其他类型的抓包工具:network monitor、sniffer等
三:我们用wireshark可以做什么?
抓包应该是每个技术人员应该掌握的基础的技能,那么,这个工具可以做什么哪?
- 检查网络
- 查看封包数据
- 调试代码
- 总之和网路相关的东西都可以用到wireshark。
五:网络嗅探的工作原理
- 收集。 wireshark是捕获机器上某一块网卡的封包,如果你的机器上有多个网卡的话,首先就要选择一个网卡,然后收集这个网卡的二进制信息。
- 转换。将收集的二进制信息转换成人类易读的信息。
- 分析。对捕获和转换后的数据进行分析。
六:wireshark主窗口介绍
- 菜单栏。
- 工具栏。
- 显示过滤器。
- 保存的本地捕捉文件。
- 捕捉过滤器。【注意】捕捉过滤器一定要在捕捉开始之前设定,如果捕捉在进行中,则不能设置此选项。
- 本地网卡。本地连接是有线;WLAN是无线。本机使用的是本地连接,后面的心电图曲线表示使用的是本地连接的网卡,WLAN后面是一条直线,表示此网卡没有使用。
- wireshark相关信息。包括版本、wiki、用户指导等。