Wireshark简介

Wireshark是一种用于监控网络流量的软件工具，可以通过网络接口来查看网络中的流量情况。它是目前使用最广泛的网络监控工具。无论是系统管理员、网络工程师、网络爱好者，还是网络安全专业人士以及黑客们，都非常喜欢使用Wireshark这款工具。

它的受欢迎程度非常高，以至于在使用 Wireshark 的经验被视为与计算机网络相关的专业人士必备的技能。

Wireshark如此受欢迎，原因有很多：

1. 它拥有非常优秀的图形用户界面，同时还有传统的命令行界面。
2. 它几乎可以监控所有类型的网络标准，包括以太网、WLAN、蓝牙等。
3. 它是开源的，拥有庞大的支持者和开发者群体。
4. 该工具包含了监控、分析和记录网络流量所需的所有组件。它完全可以免费使用。

Wireshark的历史

Wireshark的诞生初衷是为了开发一款能够深入分析网络数据包的工具。该工具由Gerald Combez在1997年创建。最初，它的名称是Ethereal。1998年7月，该工具的第一个版本0.2.0正式发布。由于得到了开发者群体的支持，Wireshark迅速发展起来，最终在2008年发布了第一个正式版本1.0。此时，Wireshark的名称才刚刚被确定下来，距离其最初的名称“Ethereal”已经过去了将近两年时间。

Wireshark的安装过程： 

Windows操作系统 :  

• 你可以进行正规的安装操作，或者将 Wireshark 作为便携式应用程序在 Windows 系统上运行。要下载安装程序或便携式应用程序，请访问 Wireshark 的下载页面。
• 运行该可执行文件，按照屏幕上的提示进行操作即可完成安装。

在 Linux 系统上：

• 请使用您的软件包管理器来安装它。关于正确的语法，请参阅您所使用的软件包管理器的使用说明。
  大多数Debian Linux操作系统都预装了apt工具，这是一种用于管理软件包的工具。同样，Fedora系列操作系统也预装了“yum”工具，这也是一种用于管理软件包的工具。
  这个通用命令是

<包管理器名称> install Wireshark 

在 Ubuntu/Linux 系统中安装 Wireshark：

在您的系统中打开终端，或者按 ALT + CTRL + T 键来运行以下命令：

sudo add-apt-repository ppa:wireshark-dev/stable

更新仓库内容：

sudo apt-get update

请按照说明来安装 Wire Shark。 在以下命令中：

sudo apt-get install wireshark

要运行 Wire Shark，请使用以下方法： 以下命令

sudo wireshark

您可以选择一款基于安全理念的Linux操作系统，比如Kali Linux。这类系统会预装了Wireshark工具。

Wireshark的基本功能包括：

数据包监控器：这段内容以视觉方式展示了网络中各个数据包的流动情况。每种类型的数据包都有对应的颜色代码来表示。这些数据包还包含了以下信息：
1. 源地址
2. 目标地址
3. 数据包类型
4. 数据包的十六进制dump
5. 该数据包中的文本内容
6. 源端口（如适用）
7. 目标端口（如适用）

从捕获文件中导入数据：该功能允许您从捕获文件中导入数据包，以便进行进一步的分析。Wireshark支持多种格式的文件格式，其中一些包括：

• pcapng
• libpcap
• Oracle snoop 和 AtmSnoop
• Finisar（之前名为Shomiti）的测绘设备能够完成测量工作。
• Microsoft Network Monitor能够捕获以下内容：
• Novell LANalyzer能够捕获以下内容：
• AIX iptrace捕获结果
• Cinco Networks的NetXray能够捕捉到这些信号。
• 基于Windows系统的网络助手产品——Sniffer和Sniffer Pro，能够捕获网络中的各种数据。
• 基于DOS的Network General/Network Associates嗅探器（无论是压缩格式还是未压缩格式）都能进行数据捕获。
• AG Group/WildPackets/Savvius EtherPeek/TokenPeek/AiroPeek/EtherHelp/PacketGrabber 负责捕获相关数据。
• RADCOM的WAN/LAN分析工具能够捕获这些信息。
• Network Instruments Observer 9版本能够捕捉到这些信息。
• Lucent/Ascend路由器调试输出信息
• HP-UX的净流量
• 东芝的ISDN路由器会输出各种数据。
• ISDN4BSD i4btrace工具
• 来自 EyeSDN USB S0 的痕迹/数据
• 来自Cisco Secure入侵检测系统的IPLog格式
• VMS的TCPIPtrace/TCPtrace/UCX$TRACE工具所生成的输出结果
• DBS Etherwatch VMS工具所生成的文本输出结果
• Visual Networks的Visual UpTime流量采集功能
• CoSine L2调试阶段的输出结果
• Accellent的5Views LAN代理所提供的功能/输出结果
• Endace Measurement Systems的ERF格式能够准确记录这些信息。
• Linux Bluez蓝牙堆栈，使用hcidump工具进行记录分析。
• Catapult DCT2000的.out文件
• 在 Netmonitor 模式下，Gammu 能够从诺基亚 DCT3 手机中生成文本输出。
• IBM系列（OS/400）通信记录（ASCII格式与UNICODE格式）
• Juniper Netscreen的snoop功能可以捕获相关信息。
• Symbian操作系统中的btsnoop捕获到了以下内容：
• Tamosoft CommView能够捕获这些数据。
• Textronix K12xx 32位.rf5格式的文件可以被捕获。
• Textronix K12文本文件格式能够捕捉到……
• Apple PacketLogger可以捕获以下内容：
• 从Aethra Telecommunications的PC108软件中获取的数据/信息

导出为捕获文件：Wireshark允许你将结果保存为捕获文件，以便之后继续处理这些文件。支持的文件格式包括：

• pcapng（*.pcapng）
• libpcap、tcpdump以及许多使用tcpdump的捕获格式的工具（*.pcap、*.cap、*.dmp等）。
• Accellent 5Views (*.5vw)
• HP-UX的nettl文件格式：*.TRC0、*.TRC1
• Microsoft Network Monitor – NetMon（*.cap格式）
• Network Associates Sniffer – DOS格式的文件 (*.cap, *.enc, *.trc, *.fdc, *.syc)
• Network Associates Sniffer – Windows系统下的文件格式：*.cap
• 网络仪器观察器版本9（*.bfr）
• Novell LANalyzer（*.tr1）
• Oracle（之前名为Sun）的snoop文件格式：*.snoop、*.cap
• 视觉网络：Visual UpTime流量信息。

作为初学者，你应该只专注于熟悉 Wireshark UI 的基本操作以及其他相关的基础知识。这里给出的格式只是为了让你了解一些基本概念而已，目前你不需要对它们进行任何处理或操作。

完成这些基础操作之后，就可以开始使用这个工具了。打开Wireshark软件，选择一个接口进行查看（可以选择当前正在通信的接口，可以通过接口名称前的锯齿形图标来确认）。然后点击“fin”图标以开始捕获数据包。将捕获到的数据保存为文件，完成后即可关闭程序。至此，基本操作就完成了。