wireshark(网络分析工具)

　　Wireshark是世界上最受欢迎的网络协议分析仪，它是用于故障排除，分析，开发和教育；在此版本中，IP地图功能（端点对话框中的地图按钮）已经以现代化的形式添加回来，初始支持使用PKCS＃11令牌进行RSA解密TLS，这可以在Preferences，RSA Keys上配置，构建系统现在可以生成可重现的构建，TShark现在支持生成的G弹性映射选项ElasticSearch映射文件，TCP解剖器获得了一个新的“重新组装无序段”在TCP情况下优先解决解剖和解密问题细分是无序接收的；更新新的着色规则，IO图，过滤器按钮和协议首选项，现在可以使用按钮在其他配置文件中复制表格相应的配置对话框，支持从十六进制转储导入时，现在可以添加一个具有有效负载名称的ExportPDU标头，这称为特定的直接解剖器没有较低的协议；sshdump和ciscodump extcap接口现在可以使用代理用于SSH连接。强大又实用，需要的用户可以下载体验

软件功能

　　实时检测网络通讯数据

　　检测其抓取的网络通讯数据快照文件

　　撷取网络封包，并尽可能显示出最为详细的网络封包资料

　　从网络接口捕获实时数据包数据。

　　打开包含使用tcpdump / WinDump，Wireshark和许多其他数据包捕获程序捕获的数据包数据的文件。

　　从包含十六进制数据包数据转储的文本文件导入数据包。

　　显示包含非常详细协议信息的数据包。

　　保存捕获的数据包数据。

　　以多种捕获文件格式导出部分或全部数据包。

　　根据许多标准过滤数据包。

　　按许多标准搜索数据包。

　　根据过滤器对数据包显示进行着色。

　　创建各种统计数据。

软件特色

　　1、选择捕获接口。一般都是选择连接到Internet网络的接口，这样才可以捕获到与网络相关的数据。否则，捕获到的其它数据对自己也没有任何帮助。

　　2、使用捕获过滤器。通过设置捕获过滤器，可以避免产生过大的捕获文件。这样用户在分析数据时，也不会受其它数据干扰。而且，还可以为用户节约大量的时间。

　　3、使用显示过滤器。通常使用捕获过滤器过滤后的数据，往往还是很复杂。为了使过滤的数据包再更细致，此时使用显示过滤器进行过滤。

　　4、使用着色规则。通常使用显示过滤器过滤后的数据，都是有用的数据包。如果想更加突出的显示某个会话，可以使用着色规则高亮显示。

　　5、构建图表。如果用户想要更明显的看出一个网络中数据的变化情况，使用图表的形式可以很方便的展现数据分布情况。

安装步骤

　　1、需要的用户可以点击本网站提供的下载路径下载得到对应的程序安装包

　　2、通过解压功能将压缩包打开，找到主程序，双击主程序即可进行安装，点击下一步按钮

　　3、需要完全同意上述协议的所有条款，才能继续安装应用程序，如果没有异议,请点击“同意”按钮

　　4、弹出以下界面，直接使用鼠标点击下一步按钮即可，此界面为程序信息界面，可以根据自己需要选择

　　5、用户可以根据自己的需要点击浏览按钮将应用程序的安装路径进行更改

　　6、快捷键选择可以根据自己的需要进行选择，也可以选择不创建

　　7、现在准备安装主程序。点击“安装”按钮开始安装或点击“上一步”按钮重新输入安装信息

　　8、等待应用程序安装进度条加载完成即可，需要等待一小会儿

　　9、根据提示点击安装，弹出程序安装完成界面，点击完成按钮即可

使用说明

　　从许多不同的网络媒体实时捕获

　　Wireshark可以捕获来自许多不同网络媒体类型的流量 - 尽管它的名称 - 包括无线局域网。支持哪些媒体类型取决于您使用的操作系统等许多内容。

　　1.1.4。从许多其他捕获程序导入文件

　　Wireshark可以打开从大量其他捕获程序捕获的数据包。有关输入格式的列表，请参见第5.2.2节“输入文件格式”。

　　1.1.5。导出许多其他捕获程序的文件

　　Wireshark可以保存以大量其他捕获程序格式捕获的数据包。有关输出格式的列表，请参见第5.3.2节“输出文件格式”。

　　1.1.6。许多协议解析器

　　对于许多协议，存在协议解析器（或解码器，因为它们在其他产品中已知）：参见附录C，协议和协议字段。

　　1.1.7。开源软件

　　Wireshark是一个开源软件项目，根据GNU通用公共许可证（GPL）发布。您可以在任何数量的计算机上自由使用Wireshark，而无需担心许可证密钥或费用等。此外，所有源代码均可在GPL下免费获取。因此，人们很容易将新协议添加到Wireshark，无论是作为插件还是内置到源代码中，他们经常这样做！

　　1.1.8。 Wireshark不是什么

　　以下是Wireshark未提供的一些内容：

　　•Wireshark不是入侵检测系统。当有人在您的网络上做了他/她不允许做的奇怪事情时，它不会警告您。但是，如果发生奇怪的事情，Wireshark可能会帮助您弄清楚究竟发生了什么。

　　•Wireshark不会操纵网络上的东西，它只会“测量”它的东西。 Wireshark不会在网络上发送数据包或执行其他活动的事情（名称解析除外，但即使这样也可以禁用）。

　　Wireshark所需的资源量取决于您的环境以及您正在分析的捕获文件的大小。对于不超过几百MB的中小型捕获文件，下面的值应该没问题。较大的捕获文件将需要更多的内存和磁盘空间。

　　[注意]

　　繁忙的网络意味着大量的捕获

　　使用繁忙的网络可以轻松生成大量的捕获文件。捕获千兆甚至100兆网络可以在短时间内产生数百兆字节的捕获数据。快速处理器，大量内存和磁盘空间始终是个好主意。

　　尽管Wireshark使用单独的进程捕获数据包，但主要接口是单线程的，并且不会从多核系统中获益太多。

　　1.2.1。微软Windows

　　Wireshark应该支持仍在其扩展支持生命周期内的任何Windows版本。在撰写本文时，这包括Windows 10,8,7，Server 2019，Server 2016，Server 2012 R2，Server 2012和Server 2008 R2。它还需要以下内容：

　　•Universal C Runtime。这包含在Windows 10和Windows Server 2019中，如果启用了Microsoft Windows Update，则会自动安装在早期版本上。否则，您必须安装KB2999226或KB3118401。

　　•任何现代64位AMD64 / x86-64或32位x86处理器。

　　•500 MB可用RAM。较大的捕获文件需要更多RAM。

　　•500 MB可用磁盘空间。捕获文件需要额外的磁盘空间。

　　•建议使用1024×768（推荐1280×1024或更高）分辨率，至少16位颜色。 8位颜色应该可以工作，但用户体验会降低。高级用户会发现多个监视器很有用。

　　•支持的网卡用于捕获

　　◦以太网。 Windows支持的任何卡都可以使用。有关可能影响您的环境的问题，请参阅有关以太网捕获和卸载的Wiki页面。

　　◦802.11。请参阅Wireshark wiki页面。没有特殊设备，捕获原始802.11信息可能很困难。

　　◦其他媒体。

　　不再支持Microsoft的扩展生命周期支持窗口之外的旧版Windows。由于我们无法控制的情况，通常很难或不可能支持这些系统，例如我们所依赖的第三方库，或者由于仅在较新版本的Windows中出现的必要功能，例如强化安全性或内存管理。

　　Wireshark 1.12是支持Windows Server 2003的最后一个发布分支.Wireshark 1.10是官方支持Windows XP的最后一个分支。有关更多详细信息，请参阅Wireshark发布生命周期页面。

　　1.2.2。 UNIX / Linux

　　Wireshark可在大多数UNIX和类UNIX平台上运行，包括macOS和Linux。系统要求应与上面列出的Windows值相当。

　　二进制包可用于大多数Unices和Linux发行版，包括以下平台：

　　•Apple macOS

　　•Debian GNU / Linux

　　•FreeBSD

　　•Gentoo Linux

　　•HP-UX

　　•Mandriva Linux

　　•NetBSD

　　•OpenPKG

　　•Red Hat Enterprise / Fedora Linux

　　•Sun Solaris / i386

　　•Sun Solaris / SPARC

　　•Canonical Ubuntu

　　如果您的平台没有二进制包，您可以下载源并尝试构建它。请将您的经验报告给wireshark-dev [AT] wireshark.org。

　　邮件列表

　　有几个特定Wireshark主题的邮件列表：

　　wireshark-announce这个邮件列表将告知您有关新程序的发布，通常每4-8周出现一次。 wireshark-users这个列表是供Wireshark用户使用。人们发布有关构建和使用Wireshark的问题，其他人（希望）提供答案。 wireshark-dev这个列表适用于Wireshark开发人员。如果要开始开发协议解析器，请加入此列表。

　　您可以从Wireshark网站订阅这些列表中的每一个：https：//www.wireshark.org/lists/。从那里，您可以通过单击相关列表标题下的“订阅/取消订阅/选项”按钮来选择要订阅的邮件列表。归档的链接也包含在该页面上。