wireshark(网络包分析工具)

　　wireshark是一款网络包分析工具，当你需要分析网络传输数据包的时候就可以通过这款软件执行分析，软件会将数据包全部内容显示，您可以根据显示的内容分析当前网络通信情况，分析通过哪些协议传输，分析本次数据传输是否丢包，在哪里丢包，各种网络数据传输异常信息都可以在分析界面查看，让用户可以快速找到网络异常问题，从而修复网络，本软件可以兼容多款网络通讯工具，您可以在其他软件上设计网络，设计完毕以后直接选择wireshark软件测试网络通信状况，每一次网络通信过程都可以在wireshark展示，需要的朋友就下载吧！

软件功能

　　从许多不同的网络媒体实时捕获

　　Wireshark 可以捕获来自许多不同网络媒体类型的流量，包括以太网、无线 LAN、蓝牙、USB 等。

　　从许多其他捕获程序导入文件

　　Wireshark 可以打开来自大量捕获程序的数据包捕获

　　为许多其他捕获程序导出文件

　　Wireshark 可以以多种格式保存捕获的数据包，包括其他捕获程序使用的数据包

　　捕获实时网络数据是 Wireshark 的主要功能之一。

　　Wireshark 捕获引擎提供以下功能：

　　从不同类型的网络硬件（例如以太网或 802.11）捕获。

　　从多个网络接口同时捕获。

　　在不同的触发器上停止捕获，例如捕获的数据量、经过的时间或数据包的数量。

　　在 Wireshark 捕获时同时显示解码的数据包。

　　过滤数据包，减少要捕获的数据量

　　捕获时过滤

　　Wireshark 支持将数据包捕获限制为与 捕获过滤器匹配的数据包。Wireshark 捕获过滤器是用 libpcap 过滤器语言编写的

　　导入十六进制转储

　　Wireshark 可以读取十六进制转储并将描述的数据写入临时 libpcap 捕获文件。它可以读取其中包含多个数据包的十六进制转储，并构建多个数据包的捕获文件。它还能够生成虚拟以太网、IP 和 UDP、TCP 或 SCTP 标头，以便仅从应用程序级数据的 hexdump 构建完全可处理的数据包转储。或者，可以添加一个虚拟 PDU 标头来指定数据最初应该传递到的解析器。

软件特色

　　适用于UNIX和Windows。

　　从网络接口 捕获实时数据包数据。

　　打开包含使用 tcpdump/WinDump、Wireshark 和许多其他数据包捕获程序捕获的数据包数据的文件。

　　从包含数据包数据的十六进制转储的文本文件中导入数据包。

　　显示具有非常详细的协议信息的数据包。

　　保存捕获的数据包数据。

　　以多种捕获文件格式 导出部分或全部数据包。

　　根据许多标准过滤数据包。

　　根据许多条件搜索数据包。

　　根据过滤器对数据包显示进行 着色。

　　创建各种统计数据。

安装方法

　　1、有两个版本，可以选择Wireshark-win64-3.6.1.exe安装

　　2、提示软件的安装引导界面，点击下一步

　　3、显示附加的安装内容，您可以默认软件的选择

　　4、提示安装进度条，等待主程序安装结束吧

　　5、wireshark已经安装到你的电脑，可以查看新的内容

使用说明

　　1、打开wireshark以后可以直接点击内容按钮查看说明文档

　　2、这里是文件菜单，可以选择打开分析的内容，可以选择导出分析结果

　　3、编辑功能，忽略所有显示的分组、取消忽略所有显示的分组(n)、设置/取消设置时间参考

　　4、外观设置，记住主窗口的大小及位置、打开文件夹中的文件、最近使用的文件夹

　　5、使用混杂模式捕获分组、以pcapng格式捕获分组、实时更新分组列表、实时捕获时自动滚屏

　　6、分析功能，显示过滤器宏(M)、显示过滤器表达式(E)…应用为列、作为过滤器应用、准备作为过滤器

　　7、统计功能：捕获文件属性、已解析的地址、协议分级、会话、端点、分组长度、I/O图表、服务响应时间

　　8、电话功能，可以在这里启动电话分析功能，支持VolP通话、ANSI、GSM、IAX2 Stream Analysis、ISUP消息

　　9、无线功能：蓝牙ATT服务器属性、蓝牙设备、蓝牙HC摘要、WLAN流量

　　10、工具菜单界面：防火墙ACL规则、Credentials，：LuaConsole、Evaluate、Manual、Wiki

官方教程

　　查看您已捕获的数据包

　　一旦您捕获了一些数据包或打开了之前保存的捕获文件，您只需单击数据包列表窗格中的数据包即可查看数据包列表窗格中显示的数据包，这将在树视图和字节视图窗格。

　　然后，您可以展开树的任何部分以查看有关每个数据包中每个协议的详细信息。单击树中的项目将突出显示字节视图中的相应字节。图 “Wireshark 选择查看 TCP 数据包”中显示了一个选择 TCP 数据包的示例。它还在 TCP 标头中选择了确认号，它在字节视图中显示为所选字节。

　　如果您在“捕获首选项”对话框中选择了“实时更新数据包列表”，您也可以在 Wireshark 捕获时以相同的方式选择和查看数据包。

　　此外，您可以在单独的窗口中查看单个数据包， 如图 “在单独的窗口中查看数据包”所示。您可以通过双击数据包列表中的项目或在数据包列表窗格中选择您感兴趣的数据包并选择View → Show Packet in New Window来执行此操作。这使您可以轻松地比较两个或多个数据包，甚至跨多个文件。

　　您可以通过在相应项目上单击鼠标右键在“数据包列表”、其列标题、“数据包详细信息”或“数据包字节”上打开一个弹出菜单。

　　“数据包列表”窗格的弹出菜单

　　打开“数据包注释”对话框，您可以在其中为单个数据包添加注释。请注意，保存数据包注释的能力取决于您的文件格式。例如 pcapng 支持评论，pcap 不支持。

　　“数据包详细信息”窗格的弹出菜单

　　全部收缩：Wireshark 保留所有展开的协议子树的列表，并使用它来确保在显示数据包时展开正确的子树。此菜单项折叠捕获列表中所有数据包的树视图。

　　应用为过滤器：根据最近选择的数据包列表或数据包详细信息项，立即替换或附加当前显示过滤器。第一个子菜单项显示过滤器，后续项目显示过滤器可以应用的不同方式。

　　将字节复制为十六进制 + ASCII 转储：以完整的“hexdump”格式将数据包字节复制到剪贴板。

　　作为 ASCII：显示“hexdump”文本时使用 ASCII 编码。

　　…作为 EBCDIC：显示“hexdump”文本时使用 EBCDIC 编码。

　　查看时过滤数据包

　　Wireshark 有两种过滤语言：捕获过滤器和显示过滤器。 捕获过滤器用于捕获数据包时的过滤，显示过滤器用于过滤显示哪些数据包，将在下面讨论。

　　显示过滤器允许您专注于您感兴趣的数据包，同时隐藏当前不感兴趣的数据包。它们允许您仅显示基于以下内容的数据包：

　　协议

　　场的存在

　　字段的值

　　字段之间的比较

　　…还有更多！

　　要仅显示包含特定协议的数据包，请在 Wireshark 窗口的显示过滤器工具栏中键入协议名称，然后按 Enter 应用过滤器。图 “过滤 TCP 协议”显示了当您在显示过滤器工具栏中键入tcp时发生的情况的示例。

　　您可能已经注意到，现在只显示包含 TCP 协议的数据包，因此数据包 1-10 被隐藏，数据包编号 11 是第一个显示的数据包。

　　“显示过滤器表达式”对话框

　　当您习惯了 Wireshark 的过滤系统并知道您希望在过滤器中使用哪些标签时，只需键入过滤器字符串即可非常快速。但是，如果您是 Wireshark 的新手或者正在使用稍微不熟悉的协议，那么尝试弄清楚要输入什么内容可能会非常混乱。“显示过滤器表达式”对话框对此有所帮助。

　　当您第一次打开“显示过滤器表达式”对话框时，您会看到一个按协议组织的字段名称树，以及一个用于选择关系的框。

　　字段名称

　　从协议字段树中选择一个协议字段。每个具有可过滤字段的协议都列在顶层。您可以通过输入协议名称的前几个字母来搜索特定的协议条目。通过扩展协议名称，您可以获得可用于过滤该协议的字段名称列表。

　　关系

　　从可用关系列表中选择一个关系。is present是一元关系，如果所选字段存在于数据包中，则该关系为真。所有其他列出的关系都是需要附加数据（例如要匹配的值）才能完成的二元关系。

　　当您从字段名称列表中选择一个字段并选择一个二元关系（例如相等关系 ==）时，您将有机会输入一个值，可能还有一些范围信息。

　　价值

　　您可以在值文本框中 输入适当的值。该值还将指示您选择的字段名称的值类型（如字符串）。

　　预定义值

　　一些协议字段具有可用的预定义值，很像 C 中的枚举。如果选定的协议字段定义了此类值，您可以在此处选择其中一个。

　　搜索

　　允许您搜索完整或部分字段名称或描述。支持正则表达式。例如，搜索“tcp.*flag”会显示各种解析器支持的 TCP 标志字段，而“^tcp.flag”仅显示 TCP 解析器支持的 TCP 标志字段。

　　范围

　　一个整数范围或一组范围，例如1-12或39-42,98-2000。

更新日志

　　Bug修复

　　已修复以下漏洞：

　　• wnpa-sec-2021-17[1] RTMPT 解析器无限循环。问题

　　• wnpa-sec-2021-18[4] BitTorrent DHT 解析器无限循环。问题

　　• wnpa-sec-2021-19[7] pcapng 文件解析器崩溃。问题 17755[8]。

　　• wnpa-sec-2021-20[10] RFC 7468 文件解析器无限循环。问题

　　• wnpa-sec-2021-21[13] Sysdig 事件解析器崩溃。

　　• wnpa-sec-2021-22[15] Kafka 解析器无限循环。问题

　　已修复以下错误：

　　• 在 hexdumps 问题 15562[17] 中允许亚秒级时间戳。

　　• GRPC：如果

　　GRPC 消息体长度为 0 问题 17675[18]。

　　• 无法安装“ChmodBPF.pkg”或“将 Wireshark 添加到系统”

　　没有 Rosetta 2 问题的 M1 MacBook Air Monterey 上的 path.pkg”

　　• TECMP：LIN 有效负载被 1 个字节截断 Issue 17760[20]。

　　• 如果 BASE_CUSTOM 类型的 64 位字段是

　　应用为列问题 17762[21]。

　　• 命令行选项“-o console.log.level”会导致wireshark 和

　　tshark 在启动问题 17763[22] 时退出。

　　• 设置 WIRESHARK_LOG_LEVEL=debug 会中断接口捕获问题

　　17764[23]。

　　• 没有 tshark 就无法构建问题 17766[24]。

　　• IEEE 802.11 动作帧未得到解析且始终可见

　　作为格式错误的问题 17767[25]。

　　• IEC 60870-5-101 链接地址字段为 1 个字节，但应具有

　　可配置长度为 0,1 或 2 个字节 Issue 17775[26]。

　　• dfilter: 'tcp.port not in {1}' 使 Wireshark 问题 17785[27] 崩溃。

　　新功能和更新功能

　　• Wireshark 中删除了“console.log.level”首选项

　　3.6.0。这个版本增加了一个'-o console.log.level:'

　　映射到新的 CLI 上的向后兼容性选项

　　日志子系统。请注意，这没有位掩码

　　语义，并不对应于任何实际偏好。这是

　　只是依赖于此的用户的过渡机制

　　CLI 选项，将来会被删除。看到新的

　　诊断输出选项参考手册页或输出

　　' - 帮助'。

　　新协议支持

　　此版本中没有新协议。

　　更新的协议支持

　　ANSI A I/F、AT、BitTorrent DHT、FF、GRPC、IEC 101/104、IEEE 802.11、

　　IEEE 802.11 Radiotap、IPsec、Kafka、QUIC、RTMPT、RTSP、SRVLOC、Sysdig

　　事件和 TCMP

　　新的和更新的捕获文件支持

　　BLF 和 RFC 7468

　　新的文件格式解码支持