Wireshark 網路封包分析工具

一般常見的網路封包分析工具(Network Packet Analyzer)有Tcpdump、Sniffer、NetXRay、Wireshark(Ethereal)等，其中Wireshark雖然屬於Open Source軟體，但是其完善的功能足可與許多商業軟體相提並論。

Wireshark採用GNU General Public License(GPL)授權，在GNU GPL通用授權的保障之下，使用者可以免費取得軟體及其程式碼，並擁有修改原始碼與客製化的權利。 最新的版本為3.2.5版，並提供許多不同作業系統的版本。Wireshark的前身為Ethereal，源起於1997年，後來因為商標的問題而改名為Wireshark。

官方網站 : https://www.wireshark.org/

下載官方軟體 : https://1.as.dl.wireshark.org/win64/Wireshark-win64-3.2.5.exe

Wireshark不是入侵偵測軟體（Intrusion Detection Software, IDS）。對於網路上的異常流量行為，Wireshark不會產生警示或是任何提示。然而，仔細分析Wireshark擷取的封包能夠幫助使用者對於網路行為有更清楚的了解。

Wireshark不會對網路封包產生內容的修改 - 它只會反映出目前流通的封包資訊。 Wireshark本身也不會送出封包至網路上。

Interface: 顯示目前系統上找到的所有網路卡，但只能選取一個作為封包擷取的介面。

Capture packets in promiscuous mode: 擷取封包的模式，如果勾選會擷取整個LAN的封包；如果不勾選，則只會擷取從你的電腦發送或接收的封包。

Buffer size: 代表擷取網路封包時所用的緩衝區大小。

Capture Filter: 用來指定篩選規則，擷取特定的封包。此Capture Filter與主頁面的Filter是不一樣的。在這裡是指在封包擷取時同時過濾封包(Filter while capturing)，而Filter是指已擷取完畢，在檢視封包時過濾出想要的封包(Filter packets while viewing)，所以這兩者所使用的運算式是不同的。

Capture Files(s): 設定擷取下來的資料檔名、存放位置、是否分割為多個檔案和分割規則。

Stop Capture: 設定停止擷取封包的規則，可以封包數、檔案大小或時間來制訂規則。

Display Options: 設定是否及時更新packet list pane的封包資訊、自動捲動到最新的頁面和隱藏詳細內容。

Name Resoluion: 設定是否將網路卡MAC address的前三個位元組轉換成製造商名稱、將IP address轉換為DNS網域名稱和通信埠轉換成通訊協定。