Wireshark 網路封包分析工具
一般常見的網路封包分析工具(Network Packet Analyzer)有Tcpdump、Sniffer、NetXRay、Wireshark(Ethereal)等,其中Wireshark雖然屬於Open Source軟體,但是其完善的功能足可與許多商業軟體相提並論。
Wireshark採用GNU General Public License(GPL)授權,在GNU GPL通用授權的保障之下,使用者可以免費取得軟體及其程式碼,並擁有修改原始碼與客製化的權利。 最新的版本為3.2.5版,並提供許多不同作業系統的版本。Wireshark的前身為Ethereal,源起於1997年,後來因為商標的問題而改名為Wireshark。
官方網站 : https://www.wireshark.org/
下載官方軟體 : https://1.as.dl.wireshark.org/win64/Wireshark-win64-3.2.5.exe
Wireshark不是入侵偵測軟體(Intrusion Detection Software, IDS)。對於網路上的異常流量行為,Wireshark不會產生警示或是任何提示。然而,仔細分析Wireshark擷取的封包能夠幫助使用者對於網路行為有更清楚的了解。
Wireshark不會對網路封包產生內容的修改 - 它只會反映出目前流通的封包資訊。 Wireshark本身也不會送出封包至網路上。
Interface: 顯示目前系統上找到的所有網路卡,但只能選取一個作為封包擷取的介面。
Capture packets in promiscuous mode: 擷取封包的模式,如果勾選會擷取整個LAN的封包;如果不勾選,則只會擷取從你的電腦發送或接收的封包。
Buffer size: 代表擷取網路封包時所用的緩衝區大小。
Capture Filter: 用來指定篩選規則,擷取特定的封包。此Capture Filter與主頁面的Filter是不一樣的。在這裡是指在封包擷取時同時過濾封包(Filter while capturing),而Filter是指已擷取完畢,在檢視封包時過濾出想要的封包(Filter packets while viewing),所以這兩者所使用的運算式是不同的。
Capture Files(s): 設定擷取下來的資料檔名、存放位置、是否分割為多個檔案和分割規則。
Stop Capture: 設定停止擷取封包的規則,可以封包數、檔案大小或時間來制訂規則。
Display Options: 設定是否及時更新packet list pane的封包資訊、自動捲動到最新的頁面和隱藏詳細內容。
Name Resoluion: 設定是否將網路卡MAC address的前三個位元組轉換成製造商名稱、將IP address轉換為DNS網域名稱和通信埠轉換成通訊協定。
熱門評論