Wireshark 是一款免费且
开源的网络封包分析软件,被广泛用于
网络故障排除、分析、软件和通信协议开发以及教育等领域。Wireshark(前称Ethereal)是一款免费
开源的网络嗅探
抓包工具,世界上最流行的
网络协议分析器!网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark网络
抓包工具使用WinPCAP作为
接口,直接与网卡进行数据报文交换,可以实时检测网络通讯数据,检测其抓取的网络通讯数据快照文件,通过图形界面浏览这些数据,可以查看网络通讯数据包中每一层的详细内容。它的强大特性:例如包含有强显示过滤器语言和查看TCP会话重构流的能力,支持几百种协议和流媒体类型。
功能特点
-
- 强大的捕获功能:能够从以太网、Wi-Fi、PPP/HDLC、ATM、蓝牙、USB 等多种网络接口捕获数据包,支持实时捕获和离线分析。
- 丰富的协议解析:支持解析数千种网络协议,包括常见的 TCP/IP、HTTP、DNS、SSL/TLS 等,并且不断有新的协议解析模块被添加。
- 灵活的过滤功能:用户可通过输入过滤表达式进行数据包过滤,如使用 BPF(Berkeley Packet Filter)语法,可通过 “ip.src==192.168.1.100” 筛选出特定源 IP 地址的数据包,还能使用显示过滤器对已捕获的数据进行更细致的筛选。
- 数据导出和报告生成:可将捕获的数据包导出为 PCAP、PCAPNG 等多种格式,方便与他人分享分析结果,还能生成关于捕获数据的报告,包括统计信息、协议分布等。
- 其他功能:支持对许多协议的解密,如 IPsec、ISAKMP、Kerberos、SNMPv3、SSL/TLS 等;着色规则可以应用于数据包列表,以进行快速、直观的分析;还具有丰富的 VoIP 分析功能等。
工作原理:
- Wireshark 使用 WinPcap 或 LibPcap 作为接口,直接与网卡进行数据报文交换,捕获网络中的数据包。然后对数据包进行解析,以分层的方式展示其内容,从链路层到应用层,呈现每个协议头的详细信息,并提供丰富的统计信息等。
发展历程:
- Wireshark 最初由 Gerald Combs 开发,1998 年 7 月释出第一个版本 v0.2.0,当时名为 Ethereal。后来因商标问题,在 2006 年 5 月更名为 Wireshark。2008 年,Wireshark 发布了 1.0 版本,2015 年发布 2.0 版本并更新了用户界面。2022 年,Sysdig 成为 Wireshark 的主要赞助商,2023 年成立了 Wireshark 基金会。
