Wireshark是一款世界流行的免费网络分析工具,原名Ethereal,于2006年更名为Wireshark,因为Ethereal的作者Cerald Coombs离开Ethereal商标所有者NIS公司后,仍继续开发次软件,随即将Ethereal更名为Wireshark。
曾经一度,Ethereal和Windows系统中常用的sniffer并称为网络嗅探工具双雄,不过Ethereal在Linux类系统中应用更为广泛。自更名为Wireshark后逐步改进,在功能上也更加强大,同时适用于Windows、Mac OS X 10.5.5以上平台 。相对于普遍昂贵的网络分析软件来说,Wireshark无疑有不可超越的优势。
今日官方发布了最新1.0.5版本,主要修正了SMTP和WLCCP分析中存在的安全缺陷,同时也修正了其他一些小问题。
这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样,Wireshark也使用pcap network library来进行封包捕捉。需要注意的是需要Winpcap的支持,在软件安装过程中会提示选择Winpcap组件。
在经过简易的安装过程后,初次启动需要设置Wireshark要监视的网卡,由于一些设备会虚拟成网卡存在系统中,诸如蓝牙、虚拟网卡等,这里提醒用户如果要测试真实网络数据包情况一定要选择真实的网卡。设计选项在“Capture(捕获)->Options(设置参数)”中。
如果没有设置任何过滤信息和规则的话,Wireshark会对网络中所有数据进行检测分析。
Wireshark可以针对网络中的明文数据包内容进行分析,例如我们在使用Telnet来管理路由交换设备时所有的传输数据都是基于明文的,这样通过Wireshark可以将Telnet输入的指令分析出来。在检测过程中有人进行telnet操作,那么在数据包显示窗口中会看到对应的telnet协议,以及通讯双方的IP地址信息。
上面一个简单的操作可以看到,Wireshark是功能强大的网络数据捕获工具,可以帮助网络管理员分析网络数据流量,在第一时间发现蠕虫病毒、木马程序以及ARP欺骗等问题的根源。推荐需要这方面需求的网络用户收藏。
设置过滤规则
本地下载:Wireshark v1.0.5 Final
