什么是Wireshark？

什么是Wireshark？

线鲨 是在 GNU 通用公共许可证下授权的跨平台网络协议分析器。 该项目由 Gerald Combs 撰写，最初在 1990 年代后期为一家小型 Internet 服务提供商工作时被命名为 Ethereal 项目。

虽然他拥有源代码的版权，但他并不拥有 Ethereal 名称的商标。 Gerald 后来离开了公司，2006 年 Wireshark 诞生于 Ethereal Subversion 存储库和源代码。

Wireshark 是一种广泛使用的数据包嗅探器，是其中一种：

• 过滤
• 抓包
• 可视化

主要的 Wireshark 功能实时捕获网络数据包并详细显示捕获的包内容，以便进行分析。

Wireshark 广泛用于网络领域。 例如，网络管理员使用它来解决和排除网络功能问题、网络设计和实时网络安全保护。

Wireshark 功能

根据您的平台，通过以下方法离线读取、捕获和分析实时数据：

• 以太网
• IEEE 802.11
• USB
• 点对点协议 (PPP)/高级数据链路控制 (HDLC)
• 光纤分布式数据接口 (FDDI)
• 帧中继
• 自动柜员机
• 蓝牙
• 令牌环

Wireshark 为大量协议提供解密支持，包括：

• ISAKMP
• SSL/TLS
• SNMPv3
• 网络安全
• Kerberos
• WEP
• WPA/WPA2

Wireshark 拥有一个接口，可以在所有网络类型上呈现数百种协议的数据，以及强大的 VoIP 分析和显示过滤器。 数据包以各种捕获文件格式在网络内部或外部进行实时分析，例如：

• 网络仪器观察员
• 网屏窥探
• Pcap NG
• 弹射器 DCT2000
• 微软网络监视器
• Shomiti / Finisar 测量员
• 泰克 K12xx
• 思科安全 IDS iplog
• Novell LANalyzer
• RADCOM WAN/LAN 分析仪

系统要求

Wireshark 列出了几个 系统要求，但这里是您需要的基本要求。 支持的操作系统是 Windows、macOS 和 Linux。 虽然以下要求适用于 Windows，但其他系统需要类似的规范：

• 本教程的某些部分需要根权限/访问或管理员访问。
• 通用 C 运行时（包含在 Windows 10、Windows Server 2019 中，并在早期版本上自动安装）。
• 任何现代 64 位 AMD64/x86-64 或 32 位 x86 处理器。
• 500 MB 可用内存。 更大的捕获文件需要更多的 RAM。
• 500 MB 可用磁盘空间。 捕获文件需要额外的磁盘空间。
• 任何现代显示器。 Wireshark 建议使用 1280 × 1024 或更高的分辨率。 如果可用，它会使用 HiDPI 或 Retina 分辨率。
• 用于捕获的支持网卡。
  • 任何以太网卡均可用于捕获流量。
  • 在没有特殊设备的情况下，获取原始电气和电子工程师协会 (IEEE) 802.11 信息可能是一项挑战。

如何安装 Wireshark

Wireshark 是免费的 下载 并且适用于大多数操作系统。 为您的操作系统选择最合适的选项。

如何在 Windows 上安装 Wireshark

要完成安装，您将需要管理员权限。 对于 Windows 安装，下载 64 位 Windows 安装程序并按照屏幕上的安装程序步骤操作。

电容 是实时数据包捕获所必需的，并且包含在适用于 Windows 的 Wireshark 稳定发布包中。 如果需要，您可以从他们的网站单独下载。

如何在 macOS 上安装 Wireshark

要在 macOS 上安装 Wireshark，请下载并打开 .dmg 文件。 然后，将 Wireshark 应用程序拖放到您的应用程序文件夹中。 接下来，您需要 ChmodBPF 启动守护程序来捕获数据包。 最后，在Wireshark .dmg中找到并打开Install ChmodBPF.pkg文件，完成安装。

替代 Homebrew 安装

您可以选择使用 Homebrew 在 macOS 上安装 Wireshark。 首先，使用以下命令通过终端提示安装 Homebrew。

url/bin/ruby -e "$(curl - fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"

成功安装 Homebrew 后，在终端提示中使用以下命令。

brew install wireshark

如何在 Debian Linux 上安装 Wireshark

基于 Debian 的 Linux 系统需要 root 权限。 使用以下命令完成安装。

sudo apt-get install wireshark

sudo dpkg-reconfigure wireshark-common

sudo usermod -a -G wireshark $USER

newgrp wireshark

在 CentOS、Red Hat Enterprise Linux (RHEL) 和 Fedora Linux

CentOS、红帽企业 Linux (RHEL) 和 Fedora Linux 系统安装需要 root 权限。 根据您的包管理器，使用以下命令之一。

sudo dnf install wireshark

或者

sudo yum install wireshark

抓包

成功安装 Wireshark 后，您可以捕获实时数据。 在主窗口中，选择 捕获 进而 选项. 这将打开另一个窗口，其中包含可用接口列表。 找到所需的界面并单击 开始 开始捕获数据包。

捕捉到你想要的流量后，点击 停止 （红色方块）并开始分析。

将 Wireshark 切换到混杂模式需要管理员或 root 访问权限。 混杂模式允许您的网络接口向主机设备提供它看到的所有数据包。 它是默认模式，除非 以混杂模式捕获数据包 选项在 捕获选项。

过滤数据包

过滤数据是 Wireshark 最重要的功能之一，尤其是在需要分析大量数据的情况下。

通过配置 Wireshark，您可以根据您的条件捕获数据包：

• 进出特定 IP 地址的流量。
• 发送到特定主机的流量。
• 特定端口上的流量。

Wireshark 颜色编码

默认情况下，数据包采用颜色编码，但每种数据包颜色都允许进行自定义。 一些默认颜色代码是：

• UDP：浅蓝色
• TCP：浅紫色
• ICMP：浅粉色

Wireshark 网络统计

统计分析对于深入了解您的网络至关重要。 幸运的是，您不必手动进行统计分析，因为您只需单击提供各种绘图、指标和图表的统计菜单即可。

一些统计分析的变量：

• 捕获的数据包数。
• 流的时间跨度或持续时间。
• 每秒平均数据包数 (PPS)。
• 以字节为单位的大小。
• 平均字节/秒。

重要的 Wireshark 命令

如果您的操作系统没有图形用户界面 (GUI)，则 Wireshark 具有命令行界面 (CLI) 支持。

使用 CLI，您使用的任何命令的语法都采用以下格式。

wireshark [options] [<infile>]

您可以使用以下命令列出 Wireshark 的所有 CLI 参数。

wireshark -h

在下面的示例中，Wireshark 命令在以太网接口 0 上捕获数据包 3 分钟。 flat -a 用于自动停止捕获，-i 指定要捕获的接口。

wireshark -a duration:180 -i eth0 -w wireshark

结论

网络专业人员使用 Wireshark 作为他们选择的数据包捕获工具。 一旦他们分解了数据包，他们就会将它们用于实时或离线分析。 它是深入了解网络流量的强大工具。

Liquid Web 为您的网站、应用程序和办公基础设施提供了广泛的托管托管环境。 立即联系我们的销售团队以获取更多信息，以确保您获得适合您需求的环境。