使用Wireshark探索您的网络

什么是Wireshark？

快速链接

什么是Wireshark？
安装Wireshark
- 视窗
- 苹果电脑
- 的Linux
介面
捕获选项
捕获流量
读取数据
过滤数据包
- 捕获期间过滤
- 筛选结果
跟随数据包流
总结思想

Wireshark是功能强大的网络分析工具，可让您监视和捕获网络流量。它以数据包级别捕获流量，这意味着您可以查看网络中传递的每条信息，其包含的内容以及去向。

该工具使您可以可视化并了解网络中的流量。通过查看正在传递的数据，您还可以洞悉可能面临的任何潜在安全问题以及任何潜在有害的流量，例如恶意软件，占用带宽的程序，甚至WiFi上的有害访客。

Wireshark也是一个重要的工具，因为它使您可以准确地查看离开网络的数据如何发送到更大的Internet。例如，您可以查看和读取HTTP请求，从而可以查看未加密发送的数据。这可能是非常大的事情，特别是如果该数据类似于银行密码的话。

安装Wireshark

Wireshark是开源和跨平台的。它是免费提供的，适用于每个主要操作系统。该程序中的控件在所有平台上都是完全相同的，因此无需担心。这些图像来自Linux，但是您将看到的所有内容也将在Windows和Mac上运行。

视窗

转到Wireshark下载页面，然后下载适用于您的Windows版本的最新版本。运行生成的.exe。安装程序是相当标准的。您可以单击其中的大部分并使用默认值。

不过，您要注意一件事。将出现一个屏幕，询问您是否要安装WinPcap。 WinPcap是Windows上Wireshark的附加实用程序，它可以捕获网络上的所有流量，而不仅仅是计算机的流量。选中复选框以安装WinPcap。它还会询问您有关USB版本的信息。这不是必需的，但是您也可以包括它。

之后，安装将完成。 WinPcap的新安装将启动。那里也可以接受默认值。

苹果电脑

转到Wireshark下载页面，并获取最新的.dmg文件。完成下载后，双击该文件将其打开。将打开的应用程序拖到/ Applications文件夹中，以安装Wireshark。

的Linux

大多数Linux发行版在其存储库中都提供Wireshark。与您的程序包管理器一起安装。

$ sudo apt安装wireshark-gtk

根据您的分布，系统将提示您是否要允许普通用户捕获数据包。您应该说“是”。安装软件包后，向您的用户添加Wireshark组。完成后，注销并重新登录。

$ sudo gpasswd-用户wireshark

介面

首次打开Wireshark时，您会看到类似上面的屏幕。工具栏上面有很多按钮，看起来有些让人难以接受，但是它比您想象的要简单得多。

默认的捕获界面有点尴尬。您可以更改布局以使其更舒适，单击“编辑”。找到“首选项”菜单和底部，然后将其打开。在首选项下，您会在左侧看到“布局”标签。选择它。您会看到几个图标，描述了不同的布局选项。选择最适合您的一款。具有堆叠布局的第一个选项通常效果很好。

不必太担心工具栏。前五个图标是最重要的。按照顺序，它们使您可以选择要捕获的界面，更改捕获设置，开始捕获，停止捕获，然后继续一个。图标本身非常直观。

捕获选项

在开始捕获流量之前，您应该探索捕获选项，以查看Wireshark可以做什么。单击捕获选项图标。它看起来应该像齿轮。

您将在窗口顶部看到的第一件事是一张列出所有网络接口的表。选中要捕获的接口旁边的框。在大多数情况下，所需的接口是用于连接网络的接口。它将是与您的以太网端口或WiFi设备相对应的那个。

在其下，您将看到几个复选框。有人会问您是否要使用混杂模式。混杂模式使您可以查看网络上所有设备之间的交换，而不仅仅是您自己的计算机。您可能需要启用此功能。不过要小心 。在您不拥有或没有测试权限的网络上使用混杂模式是非法的 。

下一小节将介绍捕获文件。 Wireshark使您可以保存捕获的数据。在那里的第一个字段可让您指定捕获的单个目标。在此之下，您可以选中复选框以使Wireshark分解捕获日志。日志可能会很大，尤其是在较大的网络上。此功能使您可以根据时间或文件大小自动拆分捕获数据。无论哪种方式，当您处理长期扫描或繁忙的网络时，它都是一种便捷的功能。

在此之下，您可以控制捕获的持续时间。同样，捕获量可能变大，因此您可以设置最大大小。您也可以将其超时，这很不错，因为它使您可以为网络上的特定时间范围拍摄快照。

捕获流量

设置好顺序后，即可开始捕获网络上的流量。如果您以前从未做过这种事情，请准备感到惊讶。网络周围的流量比您知道的要多得多。要开始捕获，请单击配置窗口底部的“开始”按钮或鱼翅图标。无论哪种方式都行。

当您开始记录时，看到的流量取决于网络上的设备。尽管大多数人无法跟上他们看到的流量，但您完全有可能几乎看不到任何东西。如果是这种情况，请打开网络浏览器并开始四处浏览。您的捕获将很快开始填充。

捕获运行了您想要测试的时间后，请单击工具栏中的“停止”按钮。您所拥有的应该看起来像上面的图像。

读取数据

单击您捕获的数据包之一。尝试找到一个HTTP请求。它们往往更容易阅读。当您选择一个数据包时，屏幕的其他两个部分将填充有关您选择的数据包的信息。

您需要注意的部分具有可折叠的选项卡。这些选项卡遵循OSI模型，并按从最低级别到最高级别的顺序排列，其中最低级别的信息位于顶部。这意味着与您最相关的信息可能在底部的选项卡中。

每个选项卡包含有关数据包的不同信息。在HTTP数据包中，您将看到有关HTTP请求的信息，包括响应，标头，甚至可能还有一些HTML。其他类型的数据包可能包含有关正在使用哪些端口，正在使用的加密，协议和MAC地址的信息。

过滤数据包

挖掘大量捕获数据以准确找到所需内容可能会很麻烦。它效率低下，而且浪费大量时间。 Wireshark具有过滤功能，可让您快速对数据包进行排序，以在任何给定时间准确找到相关内容。

Wireshark允许您使用几种基本方法来过滤结果。首先，它具有大量的内置过滤器。当您开始在过滤器字段之一中键入内容时，Wireshark会将其显示为自动完成的建议。如果您正在寻找这些，那太好了！过滤将非常容易。

Wireshark还使用所谓的布尔运算符。布尔运算符用于评估语句是否为真。例如，当您希望两个条件都满足时，您将在它们之间使用“ and”运算符，因为条件1 和条件2都必须为真。 “或”运算符类似，只是它只需要满足您的条件之一即可。您可能会猜测，当条件不存在时，“ not”运算符会寻找。

除布尔运算符外，Wireshark还支持比较运算符。顾名思义，比较运算符比较两个或多个条件。他们将条件的等效性评估为大于，小于或等于。

捕获期间过滤

在捕获过程中过滤结果非常容易。打开备份捕获选项。在窗口中间寻找“捕获选项”按钮。旁边也应该有一个大文本字段。

您可以在该字段中从头开始构建过滤器，也可以单击按钮并使用Wireshark的内置过滤器。尝试单击按钮。将打开一个新窗口，其中包含过滤器列表。单击这些过滤器将填充以下字段。底部字段是正在使用的实际过滤器。您可以将该过滤器修改为自己的更多自定义过滤器的基础。准备就绪后，单击“确定”。然后，像往常一样运行扫描。除了捕获所有内容外，Wireshark只会捕获符合过滤条件的数据包。这使对数据包数据的分类和分类变得更加容易。您无需挖掘大量其他信息即可找到所需的内容。

筛选结果

如果您执行了完整捕获或更可靠的捕获，但是您想在事后进行过滤，您也可以这样做。执行捕获后，您将在控件图标下方看到另一个工具栏。该工具栏具有“过滤器”字段。您可以在该字段中键入表达式以过滤，以显示Wireshark显示的结果。

就像捕获过程中进行过滤一样，这是一种简单的方法。单击“表达式”按钮以打开一个窗口，可帮助您将过滤器表达式放在一起。左列包含字段列表。这些字段使您可以选择要定位的信息。下一列包含可能的关系的列表。大多数是小于，大于，等于和组合的符号。最后一列是值。这些是您要比较的值。根据您的字段，您可以选择或输入要比较的值。

这些会变得更加复杂，并且您可以将更多的表达式添加在一起。那属于布尔运算符。但是，这些布尔值是不同的。此表达式字段将符号用于和或而不是单词本身。 || “&”代表“或”。不是。”

例如，如果您想要除UDP之外的所有内容，请使用！udp。如果需要HTTP或TCP，请尝试http ||。 tcp。您也可以将它们组合成更复杂的表达式。表达式变得越复杂，过滤器就越精细。

跟随数据包流

一旦有了您感兴趣的一个或多个数据包，就可以使用Wireshark中强大的内置工具来跟踪两台交换这些数据包的计算机之间的整个“对话”。后续的数据包流使Wirshark可以将所有数据放在一起，并形成更大的图像。对于HTTP数据包，Wireshark可能会组合网页的HTML源。使用某些未加密的VOIP程序，Wireshark甚至可以检索交换的音频。是的，它实际上可以收听VOIP对话。