Wireshark使用教程(87页版).pdf

第 1 章 介绍 1.1. 什么是 Wireshark Wireshark 是网络包分析工具。网络包分析工具的主要作用是 试捕获网络包， 并 试显示包的尽可能详细的情况。 你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具，就好像使电工用来测量进入电信 的电量的电度表一样。 （当然比那个更高级） 过去的此类工具要么是过于昂贵，要么是属于某人私有，或者是二者兼顾。 Wireshark 出现以后，这种现状得以改变。 Wireshark 可能算得上是今天能使用的最好的开元网络分析软件。 1.1.1. 主要应用 下面是 Wireshark 一些应用的举例：  网络管理员用来解决网络问题  网络安全工程师用来检测安全隐患  开发人员用来测试协议执行情况  用来学习网络协议 除了上面提到的，Wireshark 还可以用在其它许多场合。 1.1.2. 特性  支持 UNIX 和 Windows 平台  在接口实时捕捉包  能详细显示包的详细协议信息  可以打开/保存捕捉的包  可以导入导出其他捕捉程序支持的包数据格式  可以通过多种方式过滤包  多种方式查找包  通过过滤以多种色彩显示包  创建多种统计分析  …还有许多 不管怎么说，要想真正了解它的强大，您还得使用它才行 图 1.1. Wireshark 捕捉包并允许您检视其内 1.1.3. 捕捉多种网络接口 Wireshark 可以捕捉多种网络接口类型的包，哪怕是无线局域网接口。想了解支持的所有网络接口类型， 可以在我们 的网站上找到 /CaptureSetup/NetworkMedia. 1.1.4. 支持多种其它程序捕捉的文件 Wireshark 可以打开多种网络分析软件捕捉的包，详见??? 1.1.5. 支持多格式输出 Wieshark 可以将捕捉文件输出为多种其他捕捉软件支持的格式，详见??? 1.1.6. 对多种协议解码提供支持 可以支持许多协议的解码 (在 Wireshark 中可能被称为解剖)??? 1.1.7. 开源软件 Wireshark 是开源软件项目，用 GPL 协议发行。您可以免费在 任意数量的机器上使用它，不用担心授权和付费问题， 所有的源代码在 GPL 框架下都可以免费使用。因为以上原因，人们可以很容易在 Wireshark 上添加新的协议，或者将 其作为插件整合到您的程序里，这种应用十分广泛。 1.1.8. Wireshark 不能做的事 Wireshark 不能提供如下功能  Wireshark 不是入侵检测系统。如果他/她在您的网络做了一些他/她们不被允许的奇怪的事情，Wireshark 不会 [3] 警告您。但是如果发生了奇怪的事情，Wireshark 可能对察看发生了什么会有所帮助。  Wireshark 不会处理网络事务，它仅仅是 “测量”(监视)网络。Wireshark 不会发送网络包或做其它交互性的事 情 （名称解析除外，但您也可以禁止解析）。 1.2. 系通需求 想要安装运行 Wireshark 需要具备的软硬件条件... 1.2.1. 一般说明 [4]  给出的值只是最小需求，在大多数网络中可以正常使用，但不排除某些情况下不能使用。  在繁忙的网络中捕捉包将很容塞满您的硬盘 ！举个简单的例子：在 100MBIT/s 全双工以太网中捕捉数据将会产 生 750MByties/min 的数据 ！在此类网络中拥有高速的CPU，大量的内存和足够的磁盘空间是十分有必要的。  如果 Wireshark 运行时内存不足将会导致异常终止。可以在 /KnownBugs/OutOfMemory 察看详