一、软件介绍
软件概述:wireshark是目前全球使用最广泛的开源抓包软件,由Gerald Combs编写于1998年以GPL开源许可证发布;
软件功能:分析网络底层协议、解决网络故障问题、找寻网络安全问题;
适合人群:网络管理员、网络工程师、安全工程师、IT运维工程师;
支持的平台:windows、Macos、Linux、Unix;
相关网址:
https://www.wireshark.org wireshark官网
http://www.wiresharkbook.com wireshark相关书籍
https://wiki.wireshark.org wireshark知识库
与wireshark功能类似软件:sniffer、omnipeek、fiddler、httpwatch、科来网络分析系统;
二、抓包原理
网络原理(那种网络情况能够抓到包):
1、本机环境:直接抓包本机网卡进出流量
2、集线器环境:流量泛洪,同一冲突域
3、交换机环境:
a、端口镜像 
b、ARP欺骗(ARP攻击软件Cain&Abel) 
c、MAC泛洪 
底层原理(抓包的底层架构是怎样的):
a、Win-/libpcap:wireshark抓包时所依赖的库文件;
b、Capture:抓包引擎,利用libpcap/winpcap从底层抓取数据包,libpcap/winpcap提供了通用的抓包接口,能从不同类型的网络接口(包括以太网,令牌环网,ATM)获取数据包;
c、Wiretap:格式支持,从抓包文件中读取数据包,支持多种文件格式;
d、Core:核心引擎,通过函数调用将其他模块连接在一起,起到联动调度作用;
Epan:wireshark packetage analyzing 包分析引擎
protocol-tree:保存数据包的协议信息,wireshark的协议结构采用树形结构,解析协议报文时只需从根节点通过函数句柄依次调用各层解析函数即可;
Dissectors:在epan/dissector目录下,各种协议解码器,支持700+种协议解析,对于每种协议,解码器都能识别出协议字段(field),并显示出字段值(field value)由于网络协议种类很多,为了使协议和协议间层次关系明显,对数据流里的各个层次的协议能够逐层处理,wireshark系统采用了协议树的方式;
Plugins:一些协议解码器以插件形式实现,源码在plugins目录;
Dispaly-Filters:显示过滤引擎,源码在epan/dfilter目录;
e、GTK 1/2:图像处理工具,处理用户的输出输入显示;
三、初识软件
1 ------- 标题栏 2 ------- 菜单栏 3 ------- 工具栏
4 ------- 数据包过滤栏 5 ------- 数据包列表区 6 ------- 数据包详情区
7 ------- 数据包字节区 8 ------- 数据包统计区
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
