wireshark使用教程

1、第1章介紹介紹1.1.1.1.什么是什么是WiresharkWiresharkWireshark是網(wǎng)絡(luò)包分析工具。網(wǎng)絡(luò)包分析工具的主要作用是嘗試捕獲網(wǎng)絡(luò)包，并嘗試顯示包的盡可能詳細的情況。你可以把網(wǎng)絡(luò)包分析工具當成是一種用來測量有什么東西從網(wǎng)線上進出的測量工具，就好像使電工用來測量進入電信的電量的電度表一樣。（當然比那個更高級）過去的此類工具要么是過于昂貴，要么是屬于某人私有，或者是二者兼顧。Wireshark出現(xiàn)以后，這種現(xiàn)狀得以改變

2、。Wireshark可能算得上是今天能使用的最好的開元網(wǎng)絡(luò)分析軟件。1.1.1.1.1.1.主要應(yīng)用主要應(yīng)用下面是Wireshark一些應(yīng)用的舉例：?網(wǎng)絡(luò)管理員用來解決網(wǎng)絡(luò)問題?網(wǎng)絡(luò)安全工程師用來檢測安全隱患?開發(fā)人員用來測試協(xié)議執(zhí)行情況?用來學習網(wǎng)絡(luò)協(xié)議除了上面提到的，Wireshark還可以用在其它許多場合。1.1.2.1.1.2.特性特性?支持UNIX和Windows平臺?在接口實時捕捉包?能詳細顯示包的詳細協(xié)議信息?可以打開保存

3、捕捉的包?可以導(dǎo)入導(dǎo)出其他捕捉程序支持的包數(shù)據(jù)格式?可以通過多種方式過濾包?多種方式查找包?通過過濾以多種色彩顯示包?創(chuàng)建多種統(tǒng)計分析?…還有許多不管怎么說，要想真正了解它的強大，您還得使用它才行想要安裝運行Wireshark需要具備的軟硬件條件...1.2.1.1.2.1.一般說明一般說明?給出的值只是最小需求，在大多數(shù)網(wǎng)絡(luò)中可以正常使用，但不排除某些情況下不能使用。[4]?在繁忙的網(wǎng)絡(luò)中捕捉包將很容塞滿您的硬盤！舉個簡單的例子：在1

4、00MBITs全雙工以太網(wǎng)中捕捉數(shù)據(jù)將會產(chǎn)生750MBytiesmin的數(shù)據(jù)！在此類網(wǎng)絡(luò)中擁有高速的CPU，大量的內(nèi)存和足夠的磁盤空間是十分有必要的。?如果Wireshark運行時內(nèi)存不足將會導(dǎo)致異常終止?？梢栽?wiki.wireshark.gKnownBugsOutOfMemy察看詳細介紹以及解決辦法。?Wireshark作為對處理器時間敏感任務(wù)，在多處理器多線程系統(tǒng)環(huán)境工作不會比單獨處理器有更快的速度，例如過濾包就是在一個處理器下

5、線程運行，除了以下情況例外：在捕捉包時“實時更新包列表”，此時捕捉包將會運行在一個處理下，顯示包將會運行在另一個處理器下。此時多處理或許會有所幫助。[5]1.2.2.1.2.2.MicrosoftMicrosoftWindowsWindows?Windows2000XPHome版XPPro版XPTabletPC，XPMediaCenterServer2003Vista(推薦在XP下使用)?32bit奔騰處理器或同等規(guī)格的處理器（建議頻率

6、：400MHz或更高）64bit處理器在WoW64仿真環(huán)境下見一般說明?128MB系統(tǒng)內(nèi)存（建議256Mbytes或更高）?75MB可用磁盤空間（如果想保存捕捉文件，需要更多空間）800600（建議12801024或更高）分辨率最少65536(16bit)色，(256色舊設(shè)備安裝時需要選擇”legacyGTK1”)?網(wǎng)卡需求：o以太網(wǎng)：windows支持的任何以太網(wǎng)卡都可以o無線局域網(wǎng)卡：見MicroLogixsupptlist不捕捉8

7、02.11包頭和無數(shù)據(jù)楨。o其它接口見：:wiki.wireshark.gCaptureSetupwkMedia說明?基于以下三點原因，將不會對舊版Windows提供支持：沒有任何開發(fā)人員正在使用那些操作系統(tǒng)，這將使支持變得更加困難，Wireshark運行所依賴的庫文件（如GTK，WinPCap等）也放棄對它們的支持。同樣，微軟也放棄了對它們的技術(shù)支持。?Windows9598和ME不能運行Wireshark。已知的最后一個可以運行在以

8、上平臺的版本是Ethereal0.99.0(需要安裝WinPCap3.1)你依然可以使用從:download.html獲得。順便提一下：微軟于2006年1月11日停止對98ME支持。?WindowsNT4.0今后將無法運行Wireshark.最有一個已知版本是Wireshark0.99.4(需安裝自帶的WinPCap3.1)你依然可以從：:prdownloads.wiresharkwiresharksetup0.99.4.exe得到它。

9、順便提一下：微軟于2005年12月31日停止對NT4.0的支持。?WindowsCE及嵌入版windows（NTXP）不被支持。?64bit處理器運行Wireshark需要在32bit仿真環(huán)境下(稱作WoW64)最低需要安裝WinPCap4.0。?支持多顯示(不知道是顯示其還是監(jiān)視器)安裝，但會遇到一些不可預(yù)料的問題。1.2.3.1.2.3.UnixLinuxUnixLinuxWireshark目前可以運行在許多UNIX平臺，系統(tǒng)可以對

10、照上面Windows下的指標。二進制包最少在以下平臺可用：?APPleMacOSX?DebianGNULinux?FreeBSD?BSD?OpenPKG?RedHatFedaEnterpriseLinux?rPathLinux?SunSolarisi386?SunSolarisSparc如果二進制包在您的平臺無法使用，你可以下載源文件并嘗試編譯它。希望您能發(fā)送郵件到wiresharkdev[AT]wireshark.g.分享您的經(jīng)驗。1