一、WireShark是什么?
wireshark是非常流行的网络封包分析软件,简称小鲨鱼,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。
wireshark是开源软件,可以放心使用。可以运行在Windows和Mac OS上。对应的,linux下的抓包工具是 TCPdump。使用wireshark的人必须了解网络协议,否则就看不懂wireshark了。
1. 网络管理员会使用wireshark来检查网络问题
2. 软件测试工程师使用wireshark抓包,来分析自己测试的软件
3. 从事socket编程的工程师会用wireshark来调试
4. 运维人员用于日常工作,应急响应等等
总之跟网络相关的东西,都可能会用到wireshark
三、Wireshark抓包原理Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
Wireshark使用的环境大致分为两种,一种是电脑直连网络的单机环境,另外一种就是应用比较多的网络环境,即连接交换机的情况。
「单机情况」下,Wireshark直接抓取本机网卡的网络流量;
「交换机情况」下,Wireshark通过端口镜像、ARP欺骗等方式获取局域网中的网络流量。
端口镜像:利用交换机的接口,将局域网的网络流量转发到指定电脑的网卡上。
ARP欺骗:交换机根据MAC地址转发数据,伪装其他终端的MAC地址,从而获取局域网的网络流量。
四、Wireshark软件安装软件下载路径:
HTTPS://www.wireshark.org/
按照系统版本选择下载,下载完成后,按照软件提示一路Next安装。
先介绍一个使用wireshark工具抓取ping命令操作的示例,可以上手操作感受一下抓包的具体过程。
1、打开wireshark,主界面如下:
