wireshark的工作原理
- Wireshark的核心功能是捕捉网络数据包,并显示出数据包中的详细信息。底层需要Winpcpa的支持。
- 正常情况下,当网卡收到数据帧时,会查看MAC和本地网卡的MAC是否相同。如果不同就丢弃帧,如果相同就接收帧交给上一层处理。对于广播帧,网卡会接受,但不做处理。
- 启动wireshark后,网卡被设置为混杂模式,只要数据帧能到达网卡,不论帧的目的MAC和本网卡的MAC地址是否相同,网卡将全部接收并交给Wireshark处理。
Wireshark的工作界面
可以看出有三部分由上到下依次是(Packet list)显示抓到的数据包、(数据包的详细信息)Packet details、(Packet byetes)数据包的原始形态。
数据包列表
先看第一部分,数据包信息从左至右:
数据包序号、数据包被捕获的相对时间、数据包的源地址、数据包的目的地址、数据包的协议、数据包的大小、数据包的概况信息。
特定数据包的信息