WireShark抓包软件介绍和安装

文章目录

• 一、WireShark软件介绍
• • • [1. **概述**](#1. 概述)
    • [2. **主要功能**](#2. 主要功能)
    • [3. **使用场景**](#3. 使用场景)
    • [4. **安装和使用**](#4. 安装和使用)
    • [5. **优点和限制**](#5. 优点和限制)
    • [6. **结论**](#6. 结论)
• 二、WireShark的安装
• 三、WireShark的基本使用
• • • [1. **混杂模式（Promiscuous Mode）**](#1. 混杂模式（Promiscuous Mode）)
    • • **概述**
      • **工作原理**
      • **应用场景**
      • **启用方式**
    • [2. **普通模式（Non-Promiscuous Mode）**](#2. 普通模式（Non-Promiscuous Mode）)
    • • **概述**
      • **工作原理**
      • **应用场景**
      • **启用方式**
    • **总结**
• 四、怎么知道要抓取哪个连接

---

一、WireShark软件介绍

Wireshark 是一个广泛使用的网络协议分析工具，它提供了强大的功能用于捕获、分析和调试网络流量。以下是对 Wireshark 的详细介绍：

1. 概述

Wireshark 是一款开源的网络协议分析工具，用于网络故障排除、分析、软件和通信协议开发以及教育等多个领域。它能够捕获网络接口上的数据包，并以图形化界面展示这些数据包的详细信息。

2. 主要功能

• 数据包捕获：Wireshark 可以实时捕获通过网络接口传输的数据包，支持多种网络接口类型，包括以太网、Wi-Fi、蓝牙等。

• 协议解析：它支持超过 1000 种协议的解析，包括常见的 TCP/IP 协议、HTTP、DNS、SMTP 等。解析后的数据包信息可以以分层结构显示，便于分析。

• 实时分析：捕获数据包时，Wireshark 可以实时分析并展示流量统计信息，如流量图、协议分布等。

• 过滤功能：提供强大的过滤功能，包括捕获过滤和显示过滤。用户可以通过过滤器定义条件，仅捕获或显示符合条件的数据包。

• 详细的数据包信息：每个捕获的数据包都可以显示详细的信息，包括协议层次、字段值、原始数据等，帮助用户深入理解网络流量的细节。

• 图形化界面：Wireshark 提供了友好的图形用户界面 (GUI)，使得用户可以通过点击和选择的方式进行操作，无需命令行输入。

• 导入和导出：支持将捕获的数据包导出为多种格式（如 PCAP、PCAPNG、CSV 等），也支持从文件中导入数据进行分析。

• 数据包重组：能够处理和重组分段的数据包，如 TCP 流的重组，以便分析整个通信会话。

3. 使用场景

• 网络故障排除：帮助网络工程师诊断网络问题，如延迟、丢包、协议错误等。

• 性能监控：分析网络流量，监控网络性能和带宽使用情况。

• 安全分析：检测和分析网络攻击、入侵、恶意流量等。

• 协议开发：用于开发和测试自定义协议，确保它们符合标准并正确实现。

• 教育和培训：作为学习和教学工具，帮助理解网络协议和网络通信的内部工作原理。

4. 安装和使用

• 安装：Wireshark 可以在多种操作系统上运行，包括 Windows、macOS 和 Linux。可以从 Wireshark 官方网站下载并安装。

• 捕获数据包：启动 Wireshark，选择要捕获的网络接口，点击"开始捕获"按钮即可。

• 分析数据包：捕获的数据包将显示在主窗口中，用户可以点击数据包查看详细信息，使用过滤器查找特定数据包。

• 保存和加载：捕获的数据包可以保存为文件，以便后续分析或共享。保存的文件可以通过 Wireshark 重新加载进行分析。

5. 优点和限制

优点:

• 开源免费：Wireshark 是一个开源项目，免费提供给用户使用。
• 强大的解析能力：支持大量协议的解析，适用于各种网络分析需求。
• 用户友好：图形化界面易于操作，适合各种水平的用户。

限制:

• 资源消耗：在捕获大量数据时可能会消耗较多系统资源。
• 需要一定网络知识：对于复杂的网络问题，理解协议和数据包的详细信息可能需要一定的网络知识。

6. 结论

Wireshark 是一个功能强大的网络协议分析工具，广泛应用于网络故障排除、性能监控、安全分析和协议开发等多个领域。凭借其丰富的功能和友好的用户界面，Wireshark 成为网络工程师和安全专家的重要工具。

二、WireShark的安装

WireShark官网下载链接：WireShark官网

选择对应的版本安装：

下载不下来的同学，我会将安装包放入微信公众号：优质程序猿。

回复WireShark即可领取。

安装步骤的话比较简单，直接下一步下一步就可以了。

三、WireShark的基本使用

Wireshark 的数据包捕获模式可以分为两种：混杂模式（Promiscuous Mode）和普通模式（Non-Promiscuous Mode）。这两种模式决定了网络接口卡（NIC）如何处理接收到的网络流量。

1. 混杂模式（Promiscuous Mode）

概述

• 混杂模式允许网络接口卡（NIC）接收所有通过其上的网络流量，而不仅仅是发给它自己的数据包。在这种模式下，NIC 不会过滤掉任何数据包，无论数据包的目标地址是否与其自身的 MAC 地址匹配。

工作原理

• 当网络接口卡设置为混杂模式时，它将接收网络上所有的数据包，并将这些数据包传递给操作系统的网络协议栈。Wireshark 可以捕获并分析这些数据包，即使它们并不是发送给计算机的。

应用场景

• 网络故障排除：可以捕获和分析所有流经网络的流量，帮助诊断网络问题。
• 网络分析：用于监控和分析整个网络的流量，获取全面的数据。
• 安全监控：能够捕获网络上的所有流量，有助于发现潜在的安全威胁。

启用方式

2. 普通模式（Non-Promiscuous Mode）

概述

• 普通模式下，网络接口卡只接收目标地址与其自身 MAC 地址匹配的数据包。也就是说，只有发送到计算机的数据包会被捕获，其它数据包会被忽略。

工作原理

• 在普通模式中，NIC 会根据 MAC 地址过滤掉不相关的数据包，只将目标地址匹配的数据包传递给操作系统。这种模式下，Wireshark 只能捕获发送到本机的数据包，而无法捕获其他网络流量。

应用场景

• 局部分析：当只对发送到本机的数据包感兴趣时使用，如测试特定的应用程序或服务。
• 节省资源：对于资源有限的系统，普通模式可以减少捕获的数据量，降低系统负担。

启用方式

总结

• 混杂模式：允许捕获所有通过网络接口的数据包，不论数据包的目标地址。适用于需要全面监控和分析网络流量的情况，如网络故障排除和安全监控。

• 普通模式：只捕获发送到本机的数据包，适用于局部分析和节省资源的需求。

在大多数网络分析任务中，混杂模式是更常用的设置，因为它提供了更全面的网络视图。然而，在特定的测试或资源限制的情况下，普通模式可能更合适。

四、怎么知道要抓取哪个连接

可以先使用cmd在cmd中输入ipconfig指令来查询当前的电脑的网络连接和IP地址：

然后在对应到WireShark中：

这样我们就可以选择对应的网络进行抓取了。

开始进行抓包：

停止抓包：

继续抓包：