wireshark 2.2.1漢化版是一款電腦抓包軟件，它可以實(shí)現(xiàn)網(wǎng)絡(luò)封包功能，通過(guò)各項(xiàng)數(shù)據(jù)幫助工程師對(duì)網(wǎng)絡(luò)進(jìn)行分析，有效抓取網(wǎng)絡(luò)通訊數(shù)據(jù)快照，幫助網(wǎng)絡(luò)工程師來(lái)檢測(cè)出信息安全的相關(guān)問(wèn)題。同時(shí)這款軟件不會(huì)對(duì)網(wǎng)絡(luò)數(shù)據(jù)內(nèi)容進(jìn)行修改，這樣就能防止被修改后找不到問(wèn)題的情況，覺得有需要的朋友快來(lái)極光下載站了解一下吧！

wireshark 2.2.1 64位電腦版介紹

初學(xué)者可以通過(guò)學(xué)習(xí)相關(guān)的網(wǎng)絡(luò)協(xié)議知識(shí)，它能夠通過(guò)捕獲數(shù)據(jù)來(lái)進(jìn)行過(guò)濾，不會(huì)受到其他數(shù)據(jù)的干擾，幫助用戶來(lái)節(jié)省時(shí)間。當(dāng)傳輸文件比較大的時(shí)候，還能夠進(jìn)行多個(gè)數(shù)據(jù)包的傳輸，提高整體的效率！

過(guò)濾規(guī)則

1.打開wireshark，先抓取一定數(shù)量的包，其中就包含你需要的數(shù)據(jù)包，要過(guò)濾出來(lái)，進(jìn)行分析尋找問(wèn)題

2.打開wireshark的幫助文檔，如下圖所示，是全英文的，不會(huì)的話就要去查和翻譯了

3.在彈出的幫助文檔頁(yè)面上，如下圖所示，找到wireshark的內(nèi)容過(guò)濾的規(guī)則語(yǔ)法，所有的協(xié)議過(guò)濾都是如此，提供了基本的中括號(hào)運(yùn)算符 “[]”進(jìn)行內(nèi)容的提取和判斷

4.如果基本的英文不了解，可以打開百度翻譯，一個(gè)一個(gè)單詞查詢翻譯了，其實(shí)也不需要全部弄明白，看到那些基本的語(yǔ)法，基本的意思也可以猜出來(lái)

使用教程

1.過(guò)濾源ip.目的ip。

在wireshark的過(guò)濾規(guī)則框Filter中輸入過(guò)濾條件。如查找目的地址為192.168.101.8的包，ip.dst==192.168.101.8；查找源地址為ip.src==1.1.1.1

2.端口過(guò)濾

如過(guò)濾80端口，在Filter中輸入，tcp.port==80，這條規(guī)則是把源端口和目的端口為80的都過(guò)濾出來(lái)。使用tcp.dstport==80只過(guò)濾目的端口為80的，tcp.srcport==80只過(guò)濾源端口為80的包

3.協(xié)議過(guò)濾

比較簡(jiǎn)單，直接在Filter框中直接輸入?yún)f(xié)議名即可，如過(guò)濾HTTP的協(xié)議

4.http模式過(guò)濾

如過(guò)濾get包，http.request.method==&GET&,過(guò)濾post包，http.request.method==&POST&

5.連接符and的使用。

過(guò)濾兩種條件時(shí)，使用and連接，如過(guò)濾ip為192.168.101.8并且為http協(xié)議的，ip.src==192.168.101.8 and http。

基本設(shè)置

常用捕獲過(guò)濾器：

tcp[13]&32==32 (設(shè)置了URG位的TCP數(shù)據(jù)包)

tcp[13]&16==16 (設(shè)置了ACK位的TCP數(shù)據(jù)包)

tcp[13]&8==8 (設(shè)置了PSH位的TCP數(shù)據(jù)包)

tcp[13]&4==4 (設(shè)置了RST位的TCP數(shù)據(jù)包)

tcp[13]&2==2 (設(shè)置了SYN位的TCP數(shù)據(jù)包)

tcp[13]&1==1 (設(shè)置了FIN位的TCP數(shù)據(jù)包)

tcp[13]==18 (TCP SYN-ACK 數(shù)據(jù)包)

ether host 00:00:00:00:00:00 (流入或流出MAC地址的流量,替換為你的mac)

!ether host 00:00:00:00:00:00 (不流入或流出MAC地址的流量,替換為你的mac)

broadcast (僅廣播流量)

icmp (ICMP流量)

icmp[0:2]==0x0301 (ICMP目標(biāo)不可達(dá).主機(jī)不可達(dá))

ip (僅IPv4流量)

ip6 (僅IPv6流量)

udp (僅UDP流量)

常用顯示過(guò)濾器：

！tcp.port==3389 (排除RDP流量)

tcp.flags.syn==1 (具有SYN標(biāo)志位的TCP數(shù)據(jù)包)

tcp.flags.rst==1 (具有RST標(biāo)志位的TCP數(shù)據(jù)包)

!arp (排除ARP流量)

http (所有HTTP流量)

tcp.port==23||tcp.port ==21 (FTP或telnet)

smtp||pop||imap (smtp.pop或imap)

常見問(wèn)題

1.Wireshark可以使用哪些設(shè)備來(lái)捕獲數(shù)據(jù)包？

答：Wireshark可以讀取以太網(wǎng)，令牌環(huán)，F(xiàn)DDI，串行（PPP和SLIP）的實(shí)時(shí)數(shù)據(jù)（如果它運(yùn)行的操作系統(tǒng)允許Wireshark這樣做），802.11無(wú)線局域網(wǎng)（如果它運(yùn)行的操作系統(tǒng)允許Wireshark）要做到這一點(diǎn)），ATM連接（如果它運(yùn)行的操作系統(tǒng)允許Wireshark這樣做），以及最近版本的libpcap在Linux上支持的“任何”設(shè)備。

2.我安裝了Wireshark RPM（或其他軟件包）; 為什么安裝TShark而不是Wireshark？

答： 許多發(fā)行版都有單獨(dú)的Wireshark軟件包，一個(gè)用于非GUI組件，如TShark，editcap，dumpcap等，另一個(gè)用于GUI。如果您的系統(tǒng)出現(xiàn)這種情況，可能會(huì)有一個(gè)名為的單獨(dú)軟件包wireshark-qt。找到并安裝它。

3.當(dāng)我嘗試運(yùn)行Wireshark時(shí)，為什么抱怨 sprint_realloc_objid未定義？

答： Wireshark只能與版本4.2.2或更高版本的UCD SNMP鏈接。你的Wireshark版本與這種版本的UCD SNMP動(dòng)態(tài)鏈接; 但是，您安裝了較舊版本的UCD SNMP，這意味著當(dāng)運(yùn)行Wireshark時(shí)，它會(huì)嘗試鏈接到舊版本，并失敗。您必須使用4.2.2版或更高版本替換該版本的UCD SNMP。