wireshark綠色中文版是國內(nèi)使用比較多的網(wǎng)絡(luò)封包分析軟件��,網(wǎng)絡(luò)管理員經(jīng)常用的到的�。小編帶來的此版本為中文,英文的相信很多人看不懂��;并且打開就可以使用�,無需安裝,很方便��。如果你是網(wǎng)絡(luò)安全工程師�,建議收藏哦!
wireshark官方介紹
Wireshark是一款非常棒的Unix和Windows上的開源網(wǎng)絡(luò)協(xié)議分析器��。它可以實時檢測網(wǎng)絡(luò)通訊數(shù)據(jù)�,也可以檢測其抓取的網(wǎng)絡(luò)通訊數(shù)據(jù)快照文件。
可以通過圖形界面瀏覽這些數(shù)據(jù)��,可以查看網(wǎng)絡(luò)通訊數(shù)據(jù)包中每一層的詳細內(nèi)容。
軟件特色
1.在接口實時捕捉包
2.支持UNIX和Windows平臺
3.可以打開/保存捕捉的包
4.能詳細顯示包的詳細協(xié)議信息
5.可以通過多種方式過濾包
6.可以導入導出其他捕捉程序支持的包數(shù)據(jù)格式
7.多種方式查找包
8.通過過濾以多種色彩顯示包
9.創(chuàng)建多種統(tǒng)計分析
wireshark中文版功能
1��、網(wǎng)絡(luò)安全工程師用來檢測安全隱患�。
2、網(wǎng)絡(luò)管理員檢測網(wǎng)絡(luò)問題��。
3�、能夠與網(wǎng)卡直接進行數(shù)據(jù)報文交換。
使用方法
1�、確定Wireshark的位置
如果沒有一個正確的位置,啟動Wireshark后會花費很長的時間捕獲一些與自己無關(guān)的數(shù)據(jù)��。
2�、選擇捕獲接口
一般都是選擇連接到Internet網(wǎng)絡(luò)的接口,這樣才可以捕獲到與網(wǎng)絡(luò)相關(guān)的數(shù)據(jù)��。否則��,捕獲到的其它數(shù)據(jù)對自己也沒有任何幫助�。
3、使用捕獲過濾器
通過設(shè)置捕獲過濾器��,可以避免產(chǎn)生過大的捕獲文件��。這樣用戶在分析數(shù)據(jù)時,也不會受其它數(shù)據(jù)干擾��。而且��,還可以為用戶節(jié)約大量的時間�。
4、使用顯示過濾器
通常使用捕獲過濾器過濾后的數(shù)據(jù)�,往往還是很復雜。為了使過濾的數(shù)據(jù)包再更細致�,此時使用顯示過濾器進行過濾。
5��、使用著色規(guī)則
通常使用顯示過濾器過濾后的數(shù)據(jù)��,都是有用的數(shù)據(jù)包�。如果想更加突出的顯示某個會話�,可以使用著色規(guī)則高亮顯示。
6�、構(gòu)建圖表
如果用戶想要更明顯的看出一個網(wǎng)絡(luò)中數(shù)據(jù)的變化情況,使用圖表的形式可以很方便的展現(xiàn)數(shù)據(jù)分布情況�。
7、重組數(shù)據(jù)
Wireshark的重組功能��,可以重組一個會話中不同數(shù)據(jù)包的信息��,或者是一個重組一個完整的圖片或文件。由于傳輸?shù)奈募^大�,所以信息分布在多個數(shù)據(jù)包中。為了能夠查看到整個圖片或文件��,這時候就需要使用重組數(shù)據(jù)的方法來實現(xiàn)�。
界面詳細說明和操作
說明:數(shù)據(jù)包列表區(qū)中不同的協(xié)議使用了不同的顏色區(qū)分。協(xié)議顏色標識定位在菜單欄View --> Coloring Rules��。如下所示
WireShark 主要分為這幾個界面
1. Display Filter(顯示過濾器)�, 用于設(shè)置過濾條件進行數(shù)據(jù)包列表過濾。菜單路徑:Analyze --> Display Filters�。
2. Packet List Pane(數(shù)據(jù)包列表), 顯示捕獲到的數(shù)據(jù)包��,每個數(shù)據(jù)包包含編號�,時間戳,源地址��,目標地址�,協(xié)議,長度��,以及數(shù)據(jù)包信息�。 不同協(xié)議的數(shù)據(jù)包使用了不同的顏色區(qū)分顯示。
3. Packet Details Pane(數(shù)據(jù)包詳細信息), 在數(shù)據(jù)包列表中選擇指定數(shù)據(jù)包�,在數(shù)據(jù)包詳細信息中會顯示數(shù)據(jù)包的所有詳細信息內(nèi)容。數(shù)據(jù)包詳細信息面板是最重要的,用來查看協(xié)議中的每一個字段�。各行信息分別為
(1)Frame: 物理層的數(shù)據(jù)幀概況
(2)Ethernet II: 數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息
(3)Internet Protocol Version 4: 互聯(lián)網(wǎng)層IP包頭部信息
(4)Transmission Control Protocol: 傳輸層T的數(shù)據(jù)段頭部信息,此處是TCP
(5)Hypertext Transfer Protocol: 應(yīng)用層的信息�,此處是HTTP協(xié)議
TCP包的具體內(nèi)容
從下圖可以看到wireshark捕獲到的TCP包中的每個字段。
4. Dissector Pane(數(shù)據(jù)包字節(jié)區(qū))�。
Wireshark過濾器設(shè)置
初學者使用wireshark時,將會得到大量的冗余數(shù)據(jù)包列表�,以至于很難找到自己自己抓取的數(shù)據(jù)包部分。wireshar工具中自帶了兩種類型的過濾器��,學會使用這兩種過濾器會幫助我們在大量的數(shù)據(jù)中迅速找到我們需要的信息�。
(1)抓包過濾器
捕獲過濾器的菜單欄路徑為Capture --> Capture Filters。用于在抓取數(shù)據(jù)包前設(shè)置��。
如何使用��?可以在抓取數(shù)據(jù)包前設(shè)置如下��。
ip host 60.207.246.216 and icmp表示只捕獲主機IP為60.207.246.216的ICMP數(shù)據(jù)包��。獲取結(jié)果如下:
(2)顯示過濾器
顯示過濾器是用于在抓取數(shù)據(jù)包后設(shè)置過濾條件進行過濾數(shù)據(jù)包�。通常是在抓取數(shù)據(jù)包時設(shè)置條件相對寬泛�,抓取的數(shù)據(jù)包內(nèi)容較多時使用顯示過濾器設(shè)置條件顧慮以方便分析。同樣上述場景�,在捕獲時未設(shè)置捕獲規(guī)則直接通過網(wǎng)卡進行抓取所有數(shù)據(jù)包,如下
執(zhí)行ping www.huawei.com獲取的數(shù)據(jù)包列表如下
觀察上述獲取的數(shù)據(jù)包列表,含有大量的無效數(shù)據(jù)��。這時可以通過設(shè)置顯示器過濾條件進行提取分析信息�。ip.addr == 211.162.2.183 and icmp。并進行過濾�。
上述介紹了抓包過濾器和顯示過濾器的基本使用方法。在組網(wǎng)不復雜或者流量不大情況下��,使用顯示器過濾器進行抓包后處理就可以滿足我們使用��。下面介紹一下兩者間的語法以及它們的區(qū)別��。
主要作用
網(wǎng)絡(luò)管理員使用Wireshark來檢測網(wǎng)絡(luò)問題�,網(wǎng)絡(luò)安全工程師使用 Wireshark 來檢查資訊安全相關(guān)問題,開發(fā)者使用 Wireshark 來為新的通訊協(xié)定除錯�,普通使用者使用 Wireshark 來學習網(wǎng)絡(luò)協(xié)定的相關(guān)知識。當然�,有的人也會“居心叵測”的用它來尋找一些敏感信息……
Wireshark不是入侵偵測系統(tǒng)(Intrusion Detection System,IDS)。對于網(wǎng)絡(luò)上的異常流量行為��,Wireshark 不會產(chǎn)生警示或是任何提示��。然而��,仔細分析 Wireshark 擷取的封包能夠幫助使用者對于網(wǎng)絡(luò)行為有更清楚的了解��。Wireshark 不會對網(wǎng)絡(luò)封包產(chǎn)生內(nèi)容的修改,它只會反映出目前流通的封包資訊�。 Wireshark本身也不會送出封包至網(wǎng)絡(luò)上。
小編點評
網(wǎng)絡(luò)協(xié)議分析�、抓包嗅探軟件的“世界標準”!
能與思科gns3模擬器��、華為eNSP模擬器完美調(diào)用結(jié)合��!
更新日志
v3.6.8更新內(nèi)容:
1:全新界面��,清爽��,簡單�,高效
2:性能越來越好
v3.6.1更新內(nèi)容:
錯誤修復
以下漏洞已修復:
RTMPT解析器無限循環(huán)。17745年問題��。cve – 2021 – 4185�。
BitTorrent DHT解析器無限循環(huán)。17754年問題�。cve – 2021 – 4184��。
pcapng文件解析器崩潰��。17755年問題�。cve – 2021 – 4183�。
RFC 7468文件解析器無限循環(huán)��。17801年問題�。cve – 2021 – 4182。
Sysdig事件剖析器崩潰�。cve – 2021 – 4181。
Kafka解析區(qū)無限循環(huán)�。17811年問題。
以下錯誤已被修復:
允許以hexdumps形式顯示次秒時間戳��。
GRPC:如果GRPC消息體長度為0 Issue 17675�,會顯示一個不必要的空Protobuf項。
無法安裝”ChmodBPF��?�;颉皩ireshark添加到系統(tǒng)路徑”�。在沒有羅塞塔2 17757號的M1 MacBook Air Monterey上。
LIN有效載荷被截斷1字節(jié)17760問題�。
如果一個BASE_CUSTOM類型的64位字段被應(yīng)用為一個列Issue 17762, Wireshark會崩潰。
命令行選項”-o console.log�。導致wireshark和tshark在啟動時退出。
設(shè)置WIRESHARK_LOG_LEVEL=debug會中斷接口捕獲�。
沒有tshark Issue 17766無法構(gòu)建。
IEEE 802.11動作幀沒有被解析�,總是被看作是畸形的17767問題��。
iec60870 -5-101鏈路地址字段是1字節(jié)��,但應(yīng)該具有0�、1或2字節(jié)的可配置長度��。
dfilter:“tcp�。port not in{1}’崩潰Wireshark Issue 17785
新增和更新特性
“console.log。在Wireshark 3.6.0中刪除了level的優(yōu)先級�。這個版本增加了一個’-o console.log。level:’ CLI中的向后兼容選項�,映射到新的日志子系統(tǒng)。注意��,這沒有位掩碼語義��,也不對應(yīng)任何實際的首選項�。它只是一個過渡機制,為用戶依賴這個CLI選項��,并將在未來被刪除�。要查看新的診斷輸出選項,請參閱手冊或’——help’的輸出��。
新協(xié)議支持
本版本中沒有新的協(xié)議�。
更新后的協(xié)議支持
ANSI A I/F、AT�、BitTorrent DHT、FF��、GRPC��、IEC 101/104�、IEEE 802.11、IEEE 802.11 Radiotap�、IPsec、Kafka��、QUIC�、RTMPT、RTSP��、SRVLOC�、Sysdig Event、TECMP
新的和更新的捕獲文件支持
BLF和RFC 7468
新的文件格式解碼支持
本版本不支持新的或更新后的文件格式��。
網(wǎng)友評分:8 
