Wireshark | 猿如意

一、前言

---

我曾经有过这样的烦恼：去下载一个应用，结果百度到了一大堆广告，最后下载的也不是官方版本，还捆绑了一大堆APP？无奈之下去官网下载，但发现找不到下载页面，就是这么离谱。翻来覆去找到了下载处，版本也数不胜数，根本不知道下载哪一个合适？诶，叹气~

我就在想呀，有没有一个网站，它集成了市面上程序员需要的大部分软件，随时可以找到想要的软件，并且根据我的电脑配置，自动下载合适版本？

嘿嘿~，今天就让我给等到了！它就是"猿如意"，真是一款程序员的如意兵器。

二、猿如意

---

介绍

1. 官方介绍

猿如意是一款面向开发者的辅助开发工具箱，包含了效率工具、开发工具下载，教程文档，代码片段搜索，全网搜索等功能模块。帮助开发者提升开发效率，帮你从“问题”找到“答案”。

2. 我的介绍

一个集成了程序员所需应用的工具箱，一站式查找，主要分为“效率工具”、“开发工具”、“教程文档”、“一行代码”等板块。在这里你可以轻松找到自己需要的“开发工具”，还能偶然发现有趣的“效率工具”，学习的过程当然来不开“教程文档”啦。打码过程中，需要某部分功能代码时，直接在“一行代码”搜索即可，针对性查找。
猿如意有“客户端”和“网页版”，推荐下载“客户端”。

客户端

1. 客户端下载，根据自己电脑系统选择Mac、Windows、Linux版本
   

2. 选择安装路径，点击安装即可，无须多余操作，这点非常方便
   

3. 客户端主界面，简洁无广，是我喜欢的“断舍离”风
   

4. 四大板块介绍
   （1）“效率工具”，提高工作效率，还有乐趣，一站式方便查找
   （2）“开发工具”，开发需要的环境，IDE等这里应有尽有
   
   （3）“教程文档”，学习过程的必备教程
   
   （4）“一行代码”，需要某部分功能代码时，直接在“一行代码”搜索即可，针对性查找
   

5. 一键下载，点击运行
   

6. 查看安装的工具
   

网页版

1. 网页版，跟客户端版本没有很大区别，可以自己探索探索，找到自己需要的工具。
   

2. 选择应用，点击“安装”即可
   

三、Wireshark

---

简介

Wireshark（前称Ethereal）是一个流行的数据包分析器，它允许用户从Sniffer、Snoop和Microsoft网络监视器等应用程序捕获和读取信息。它可以成功地用于网络故障排除、通信和软件协议开发，也可以用于网络分析。 Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

Wireshark 是免费开源的。在过去，网络封包分析软件是非常昂贵的，或是专门属于盈利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下，使用者可以以免费的途径取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。Ethereal是全世界最广泛的网络封包分析软件之一。该项目最初名为Ethereal，由于商标问题于 2006 年 5 月更名为 Wireshark。

Wireshark 是跨平台的，在当前版本中使用Qt widget 工具包来实现其用户界面，并使用pcap来捕获数据包；它运行在Linux、macOS、BSD、Solaris、其他一些类 Unix操作系统和Microsoft Windows上。（来源：百度百科、维基百科）

发展史

1997年底，密苏里大学堪萨斯城分校的毕业生杰拉德·康姆斯（Gerald Combs）在一家小型的互联网服务供应商上班，他需要一个工具以追踪网络问题并了解更多网络知识，于是开始编写 Ethereal 软件。

1998年7月，Ethereal 在经历几次开发暂停后，终于发布其第一个版本 v0.2.0。此后，Combs 收到了来自全世界的补丁、错误报告与鼓励信件。Ethereal 的发展就此开始。不久之后，Gilbert Ramirez 看到了它的潜力并贡献了一个低级的解析器。

1998年10月，来自 Network Appliance 公司的 Guy Harris 在查找一套比 tcpview（另一套网络数据包截取程序）更好的软件，于是他也开始参与 Ethereal 的开发工作。

1998年底，教授 TCP/IP 课程的 Richard Sharpe 看到了它在此类课程中的潜力，并开始研究它是否支持他需要的协议。虽然当时不支持，但可以轻松添加新的通信协议，因此他开始向 Ethereal 贡献数据包截取功能，几乎包含了当时所有通信协议。此后，越来越多的人开始参与 Ethereal 的开发。他们希望使用 Ethereal 截取特定的、但 Ethereal 尚未支持的通信协议的数据包，于是开始参与它的开发。

2006年6月，因为商标的问题，Ethereal 更名为 Wireshark。

2008年，经过十年的发展，Wireshark 正式发布 1.0 版本。2015年，Wireshark 发布 2.0 版本并更新了用户界面。

Wireshark 多年来赢得了多个行业奖项，包括 eWeek、InfoWorld 和 PC Magazine。它也是 Insecure.Org 网络安全工具调查中排名最高的数据包嗅探器，并且是2010 年 8 月的SourceForge月度项目。Combs 继续维护 Wireshark 的整体代码，并发布软件的新版本。该产品网站列出了近 2000 名额外的撰稿人。（来源：维基百科）

使用猿如意下载

1. 在猿如意找到“Wireshark”应用，点击“获取”
   

2. 下载完成，找到下载的文件夹
   

3. 点击安装
   

4. 在桌面生成图标
   

5. 选择安装路径
   

6. 一路点击“next”、“install”即可

7. 桌面找到刚刚安装的“Wireshark”，打开应用
   
   也可以电脑开始菜单栏看到安装的“Wireshark”，点击启动即可
   

功能介绍

1. 网络连接列表
   打开 Wireshark 主界面，会看到可以监控的所有网络连接的列表。
   

2. Wireshark 捕获过滤器
   捕获过滤器限制所选过滤器捕获的数据包，可以仅捕获自己想要查看的网络流量。如果数据包与过滤器不匹配，Wireshark 将不会保存。

   host IP地址：此过滤器限制捕获的进出 IP 地址的流量
   net 192.168.0.0/24：此过滤器捕获子网上的所有流量
   dst host IP地址: 捕获发送到指定主机的数据包
   port 53：只抓取53端口的流量
   port not 53 and not arp：捕获除 DNS 和 ARP 流量之外的所有流量
   

   

3. Wireshark 显示过滤器
   显示过滤器用于在捕获数据包后设置过滤条件进行过滤数据包。通常是在捕获数据包时，设置条件相对宽泛或者没有设置导致捕获的数据包内容较多，因此使用显示过滤器设置条件过滤以方便分析。

   ip.src== IP地址 and ip.dst== IP地址：显示从一台计算机 (ip.src) 发送到另一台计算机 (ip.dst) 的数据包
   ip.addr == IP地址：显示进出该 IP 的数据包
   tcp.port eq 25：显示端口 25 上的所有流量，通常是 SMTP 流量
   icmp：仅显示捕获中的 ICMP 流量，很可能是 ping
   ip.addr != IP地址：显示除进出指定计算机的流量之外的所有流量
   

   

4. Wireshark 混杂模式
   默认情况下，Wireshark 只捕获进出它运行的计算机的数据包。通过在“捕获”—“选项”—“在所有接口上使用混杂模式” ，可以捕获 LAN 上的大部分流量。
   

5. Wireshark 着色选项
   根据显示过滤器为数据包列表中的数据包着色，这样可以强调要突出显示的数据包。
   

使用方法

使用wireshark工具抓取ping命令操作：

1. 打开wireshark界面
   

2. 双击选择“WLAN”
   

3. wireshark处于抓包状态中
   

4. 执行需要抓包的操作，如在cmd窗口下执行ping baidu.com
   

5. 停止抓包
   

6. 使用ipconfig查一下自己的IP地址
   

7. 显示过滤器
   ip.addr == 10.24.2.124 and icmp表示只显示ICPM协议且源主机IP或者目的主机IP为10.24.2.124的数据包，协议名称icmp要小写。
   

8. wireshark抓包完成

使用感受

Wireshark 是一个很棒的网络嗅探器和分析工具，但是最好在知道要查找的内容后使用它，因为网络上有太多噪音。以前打CTF的时候，CTF的misc题型有流量分析，用过一段时间Wireshark进行流量分析，确实挺好用的，过滤和查找都很方便，但是后续的使用还是应该熟悉一下计算机网络的知识，才能深入地继续使用。