wireshark老版本,wireshark使用教程
wireshark用新版好还是旧版好
wireshark用新版好还是旧版好?
wireshark用新版好的,它有更好的安全性和提供了WinPcap中没有的一些高级功能之外(支持回环抓包和802.11WiFimonitor模式的抓包),Npcap的另一个优点是其驱动程序已经过微软的测试和签名,允许用户在具有更严格签名要求的Windows10上运行它。此外,最新版本的Wireshark还增加了对数十种新协议的支持。
wireshark快速指南
学过网络的同学都知道,互联网信息的传递都是通过网络数据包来完成的。那么抓取网络数据包对于我们学习网络知识,查找网络问题甚至逆向工程都是至关重要的。
现在本文以Linux 下版本号为1.10.14的wireshark向大家介绍。
wireshark是一款开源的,支持多种操作系统,多种网络协议的抓包工具。它简单容易上手,并且说明文档齐全(官网有详尽的guide book)。
下面跟其他常见的抓包工具进行对比:
注意:只要将手机网络连接到安装了wireshark的主机上(比如开热点wifi),就可以抓到手机上的数据包,而不一定要在手机上安装抓包工具
主要介绍两个页面,一个是起始页,一个是包列表页。起始页展示了接口列表(网卡,蓝牙,USB等数据端口),捕获选项以及一些帮助信息。点击开始捕获包后就会进入包列表页,包列表页展示捕获到的包,选中包对应的协议信息及其原始十六进制数据
起始页展示了可供抓包的接口列表,选中想要捕获的接口开始抓包。捕获选项里可以设置捕获过滤规则以及捕获停止条件。
进行捕获后,会出现三个栏目:数据包列表栏目,包协议信息栏目,包字节信息栏目。我们可以通过数据包列表找到想要的某个数据包,鼠标选中后,在包协议信息栏目分析该包的协议信息,如果想要知道某个字节的含义则在包字节信息栏目分析。注意在数据包列表栏目上方有个Filter 输入框,这里我们可以输入显示过滤表达式,过滤掉数据包列表中一些不需要展示的数据包。
3.1.1 从文件导入
数据包已经被抓取并导出到文件,此时我们只需用wireshark导入此捕获文件即可获取之前捕获的数据包。文件的格式有很多种,可以导入tcpdump导出的捕获文件。有趣的是,也可以导入png,jpg等格式的图片以及mp4等格式的视频文件,导入后可以看到图片和视频也是一个个数据包组成的,图片渐近式展示以及视频不需完全加载就可播放等特性估计跟这有关。
3.1.1 实时抓取
选择特定接口,点击start按钮后,即开始实时抓取。
一般地,接口的数据包数量庞大并且各个包之间的关联性不强。我们想要得到特定的数据包就必须过滤无关的数据包,从而快速的进行分析。wireshark过滤方式有两种,第一种是捕获过滤,这种过滤是捕获阶段进行,它只捕获未被过滤的数据包,这样可以减少抓取数据包的数量。第二种是显示过滤,这种过滤在分析阶段进行,它在捕获的数据包基础上进行过滤。
3.2.1 捕获过滤
过滤语法
一般格式: [not] primitive [and|or [not] primitive ...]
primitive 一般由type,dir,proto这三类限定符组成
3.2.2 显示过滤
过滤语法
一般格式: (过滤字段 比较操作符 value) 组合表达式 (过滤字段 比较操作符 value)...
3.3.1 追踪数据流
将数据包进行关联,可通过某个数据包即可关联到该数据包传输链的所有数据包,比如可以通过一个tcp数据包可关联到这个tcp会话的所有数据包。
操作:鼠标点击数据包列表栏的某个数据包-右键-Follow TCP Stream(Follow UDP Stream,Follow SSL Stream)
3.3.2 端点
端点在不同的协议层有不同的含义,在网络层,特定IPv4,IPv6地址为一个端点,在数据运输层,特定TCP端口,UDP端口为一个端点。端点这个页面为我们展示每个端点的数据包发送和接收情况。
操作:Statistics-Endpoints
3.3.3 对话
对话页面展示两个端点之间的包传输情况。端点在不同协议层有不同含义,对话也一样。在网络层,对话是两个IP之间进行,在数据传输层,对话在两个端口之间进行。
操作:Statistics-Conversations
3.3.4 流量图
流量图使用图形化展示了数据包的抓取情况。
操作:Statistics-IO Graphs
3.3.5 协议分层
协议分层页面将抓取到数据包按网络协议进行了分类,我们可以看到每个网络层抓取包的情况。
操作:Statistics-Protocol Hierarchy Statistics
3.3.6 专家信息
wireshark 帮我们分析了数据包情况,通过专家信息页面提示网络中出现的问题,它将数据包分为4个等级(Error,Warnings,Notes,Chats),从左至右问题严重程度依次减少,Chats是正常的数据包。Error表示可能导致问题的数据包。
操作:Analyze-Expert Infos
一般地,如果不设置静态MAC--IP对应表,机器都会发送arp请求来获得其他机器的mac地址。
如此,我们只需要在显示过滤器输入 arp 即可获得apr数据包。捕获信息见下图:
wireshark官方文档
wireshark无法解密wifi数据包
我们的wifi 数据包如果你不是选的open model 都是加密的, 那莫我们如何利用wireshark 来解密data 包呢?
这里我们简单讲一下。?
前提: 你知道wifi 的加密方式,ssid , key。
打开wireshark 开始抓包 一般不太可能网卡要抓包必须支持sniffer mode所以一般都用ominpick 来抓, 然后在连接client。? 记住一定要抓到 client 和ap 之间 key 沟通的包。也就是key 四次hand 包。 不然是没办法解密的。??
使用wireshark抓到的wifi数据包如果是加密的,就只能显示密文,无法得到真正的数据。
如果知道AP和SSID和key,就可以解密wifi数据包,显示上层协议的数据。?
在wireshark中设置如下:
Edit - Preferences - Protocols - IEEE802.11 - Edit。?
点击“+”新建一个entry,以我的AP为例,Key type选择wps-psk,key填(key:SSID)。?
具体步骤如图:
? ??
? ?
这里注意可以是有SSID:key组成,这是由于wpa-psk 的加密key 是由key 和ssid 以及anounce number 共同产生的,这既是为啥一定要4 各key交换的包 取 anouce number的。?
设置完,点击ok即可!
打开CSDN APP,看更多技术内容
WiFi---Wireshark抓包及分析说明_gege_hxg的博客_wifi抓包...
用Wireshark或MNM捕获WIFI包 m0_53411329的博客 1128 实验环境: 在电脑上安装Wireshark或MNM Windows系统 外置网卡 wireshark官网:Wireshark· Go Deep. MNM官网:Download Microsoft Network Monitor 3.4 (archive) from Official Microsoft...
继续访问
基于树莓派的WIFI抓包、分析(wireshark)并上传至阿里云数据库_人生...
1)实现对环境中所有wifi信号的抓取 2)对抓取后的报文进行解析,能够拿到每个报文的rss、源MAC地址、目标MAC地址、时间戳 3)建立云数据库存储解析后的数据 4)开发安卓app,用图形UI对数据库的数据进行访问并按照需求进行数据处理(比如实现...
继续访问
用Wireshark提取WPA握手包,用于破解无线密码,上网分享.pdf
用Wireshark提取WPA握手包,用于破解无线密码,上网分享.pdf
Wireshark解密802.11报文
wireshark 解析 802.11 报文
继续访问
wireshark如何分析加密的WIFI数据包 [转]_awks4002的博客
使用wireshark抓到的wifi数据包如果是加密的,就只能显示密文,无法得到真正的数据。 如果知道AP和SSID和key,就可以解密wifi数据包,显示上层协议的数据。 在wireshark中设置如下: Edit - Preferences - Protocols - IEEE802.11 - Edi...
继续访问
[Wi-Fi抓包篇]3. WireShark ——抓wlan口包的方法_TommyMusk的博客-CS...
1.何时需要捕获wlan口包? 由于捕获空口包只能捕获路由器与设备之间通信包,对于路由器与WLAN口之间的数据无法捕获。 因此,需要借助额外的手段捕获wlan口包。 理论上,Omnipeek和WireShark都可以抓wlan口包,实践中一般是一台电脑同时抓空口...
继续访问
wireshark如何分析加密的WIFI数据包
使用wireshark抓到的wifi数据包如果是加密的,就只能显示密文,无法得到真正的数据。 如果知道AP和SSID和key,就可以解密wifi数据包,显示上层协议的数据。 在wireshark中设置如下: Edit - Preferences - Protocols - IEEE802.11 - Edit。 点击“+”新建一个entry,以我的AP为例,Key type选择wps-
继续访问
最新发布 Wireshark分析802.11 WiFi 数据包常用显示过滤器
802.11 数据包分析
继续访问
WiFi----Wireshark抓包及分析说明
wireshark 抓包使用手册 Wireshark 概述 Wireshark 软件是非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包的详细信息。 通常在开发测试,问题处理中会使用该工具定位问题。 Wireshark 工具介绍: 2.1 Wireshark 界面介绍 注:说明:数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏View -- Coloring Rules。如下所示 2.1.1 过滤栏 Display Filter(显示过滤器), 用于设置过滤
继续访问
Wireshark-win64-3.2.0-2019-12月版本.rar
2019.12月份发布的Wireshark3.2.0版本,Windows 64bit,可以进行5G NR WIFI等通信协议解码。
关于WiFi握手包解密操作
当我们用Aircrack-ng抓取到握手包时,我们会发现它们都是被加密过的,里面是清一色的802.11协议数据 此为在实验室里Aicrack-ng监听时抓下来的握手包 Wireshark 可以在预共享(或个人)模式下解 WEP 和 WPA/WPA2 Wireshark版本太老可能没有相应功能(我自己windows上的就没有) 这里用kali内的Wireshark演示 Kali内的Wireshark,在视图中勾选上无线工具栏 接着wireshark就会多出来下图所示的工具栏,点击802.11首选项—Edi
继续访问
WireShark Wifi认证数据包分析(论文idea)
1、使用 wireShark捕获802.11数据帧结构分成三种,管理帧、控制帧、数据帧。 使用的过滤语法: 过滤MAC 地址: Waln.bssid eq=8c:23:0c:44:21:0f 过滤特定的服务类型; wlan.fc.type_subtype eq 0x0B 过滤特定频率的包:radiotap:channel.freq...
继续访问
网络安全--通过握手包破解WiFi(详细教程)
本文实验使用CDLinux配合minidwep-gtk工具通过破解握手包破解WiFi。本次实验只用于学习交流,攻击目标为自家的路由WiFi,请勿违法!ewsa破解版(全称ElcomsoftWirelessSecurityAuditor),它是来自俄罗斯的一款方便实用、拥有强大的无线网络wifi密码破解功能,而它工作原理就是利用密码词典去暴力破解无线AP上的WPA和WPA2密码。软件中的密码词典支持字母大小写、数字替代、符号顺序变换、缩写、元音替换等12种变量设定。最后送大家一个EWSA注册码。......
继续访问
Wireshark数据包分析(详细解析)
wireshark数据包分析 Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 数据包分析器又名嗅探(Sniffers),是一种网络流量数据分析的手段,常见于网络安全领域使用,也有用于业务分析领域,一般是指使用嗅探器对数据流的数据截获与分组分析(Packet analysis)。 wireshark下载地址
继续访问
部署rtl88xx驱动/rpcapd,支持wireshark远程抓Wifi包
Kali Linux仅在局域网内做渗透测试略显大材小用,或许搭载飞行器随风远距离渗透更能体现它的初衷(隐蔽性强,或许可以不留痕迹!)。实现这个构想,需要解决一个核心问题:如何捕获远端局域网的网络流量?这个问题可以进一步分解为2个子问题:a.收集远端网络流量;b.回传收集的流量。为了解决这2个子问题,需要2块网卡(飞行器的问题,应该比较好解决):针对子问题a,使用具有Monitor功能的网卡;针对子问题b,使用其他任意类型无线网卡。下文将分类阐述: a.收集远端网络流量. 可以断言,无线路由已经普及到各家
继续访问
使用wireshark分析加密的WIFI数据包
使用wireshark抓到的wifi数据包如果是加密的,就只能显示密文,无法得到真正的数据。 如果知道AP和SSID和key,就可以解密wifi数据包,显示上层协议的数据。? 在wireshark中设置如下: Edit - Preferences - Protocols - IEEE802.11 - Edit。 点击“+”新建一个entry,以我的AP为例,Key
继续访问
wireshark分析无线wifi包
1、找到station或者ap的mac地址,使用过滤命令找到两者的网络包交互 mac地址过滤: wlan contains 00:11:22:33:44:55 报文类型过滤: wlan.fc.type_subtype == 0x0 输入wlan. 会列出很多可用无线过滤命令 参考: ...
继续访问
wlan无线网络密码破解
WPA-PK的破解: 不像WEP一样抓很多的包就能够破解出密码,目前WPA-PSK的破解几乎还是靠字典,而且要先捕捉到握手包(4way-handshake四次握手包,其中包含了SSID, AP_MAC, STATION_MAC, ANonce, SNonce, MIC)。 破解实例: 环境:Kali Linux 工具:Aircrack-ng 第一步:iwconfig //命令查看加载的网卡 第二步:airmon-ng start wlan0 /...
继续访问
用Wireshark或MNM捕获WIFI包
实验环境: 在电脑上安装Wireshark或MNM Windows系统 外置网卡 wireshark官网:Wireshark · Go Deep. MNM官网:Download Microsoft Network Monitor 3.4 (archive) from Official Microsoft Download Center wireshark要有Npcap工具包才能抓WiFi包,没有是抓不
继续访问
wireshark数据包过滤详解(二)-未解码字段过滤
前面一章讲了常规的数据包过滤方法,本篇介绍下未解码字段过滤方法。我们知道tcpdump或者别的抓包手段抓到的数据包的原始数据都是16进制的原始码流,wireshark会根据码流里的每一层的协议标识先识别出协议,再根据协议标准去将16进制原始码流解码成我们可以看懂的ASCII码。
继续访问
使用wireshark抓取账号密码
运行wireshark,选取当前电脑使用的网络,我是用学校WiFi,所以选取WiFi。 进入抓包页面,这时wireshark就已经开始抓取电脑上的数据包了。 我们登录一个网站,我选择的是桂林生活网,点击右上角的登录,随便在账号和密码输入,我输入的账号是admin,密码是987654321,点击登录,只要有反馈,比如登录失败,就表示发送数据包了。 wireshark已经抓取了刚刚发送的账号密码数据包,但是wireshark抓取的数据太多..
继续访问
热门推荐 WIFI密码破解与网络数据抓包
WIFI密码破解与网络数据抓包(摘自传智播客C++学院)课程知识点 1. Wifi密码破解原理剖析 2. 网络数据抓包与分析 3. 路由器攻击,瘫痪网络 4. 随心所欲,开发定制密码字典 5. 枚举字典,暴力破解 6. 轻松使用”隔壁老王“的wifi一、Wireshark:网络数据抓包与分析Wireshark是一个非常好用的抓包工具,当我们遇到一些和网络相关的问题时,可以通过这个工具进行
继续访问
wireshark和 etheral 有什么区别
以前叫ethereal,现在改名为wireshark(自从2006年改名的),具体改名原因参考维基百科
wireshark安装后怎么在桌面上找不到
其实可以先右键以管理员权限运行,试一下。
我遇到这个问题是出现在Win10系统中,出现这个问题的原因是Wireshark中由于自带的Winpcap不支持Win10。出现如图所示:
?
1.这个问题的解决方法是下载一个Win10支持的Winpcap,下载链接Win10Pcap Download - WinPcap for Windows 10点击打开链接,界面如图:
?
点击红色区域下载即可。注意:下载下来的红色区域即可。注意:下载下来Win10Pcap后,在安装前先将Wireshark关掉,要不然安装过程中会报错。
2.安装完成后,重新打开Wireshark就不会显示没有找到接口了。
原文链接:
打开CSDN,阅读体验更佳
...显示没有找到接口_我亲爱的老婆的博客_wireshark没有...
我遇到这个问题是出现在Win10系统中,出现这个问题的原因是Wireshark中由于自带的Winpcap不支持Win10。出现如图所示: 1.这个问题的解决方法是下载一个Win10支持的Winpcap,下载链接为点击打开链接,界面...
继续访问
Win10下解决Wireshark“没有找到接口”的问题_予舍杨的博客
在下载安装Wireshark的过程中,就出现了npcap安装失败的问题,打开Wireshark后果然出现了问题——“没有找到接口”,无法进行抓包。于是上网查询解决办法,并尝试很多种,但都失败了,网上给出的问题相应解决方法基本都差不多,所以我做了一个关...
继续访问
win10安装wireshark,没有找到接口/不显示网卡的解决方法(安装nmap,然后重新打开wireshare即可解决,而安装winscap是无法解决的)
1.namp官方下载地址: 英文界面: 中文界面(下图是经翻译后的界面,打开网页默认的都是英文界面,一切为了能看懂英文,本人英语不是太好): 2.备注:至于为啥不下载winscap,如下图: winscap官方下载地址: (......
继续访问
?
打开wireshark后没有接口解决办法
打开wireshark后没有接口解决办法 现象如下 管理员身份运行cmd,重启NPF(Netgroup Packet Filter 网络数据包过滤器)服务 然后再用管理员身份运行wireshark,可以看到出现了所有网卡设备
继续访问
?
...接口的解决方法_金城孤客的博客_wireshark没有捕获接口
安装完wireshark过后,在"捕获"- "选项"里面一个捕获接口都没有。 问题原因 Win10兼容性问题导致。需要卸载软件自带的Winpcap,重新安装Win10Pcap。 解决方法 (一)下载并安装win10Pcap,下载链接:...
继续访问
wireshark找不到捕获接口问题的解决办法_蓬 蒿 人的博客
安装wireshark后打开提示没有找到捕获接口,上网查找发现是NPF(Netgroup Packet Filter 网络数据包过滤器)服务没有启动,解决办法就是启动NPF服务,然后重启wireshark。启动NPF的方法:1、以管理员身份运行命令行程序cmd.exe2、输入net start ...
继续访问
最新发布 Ubuntu 20.04 ubuntu下wireshark无网卡接口显示
Ubuntu 20.04 如何安装wireshark呢?
继续访问
Wireshark接口为空的解决办法
wireshark
继续访问
?
win10打开wireshark显示没有找到接口的解决方法
好久没用wireshark抓包,今天打开wireshark软件显示没有找到接口,如下。 后续开始百度,网上常见的主要是以下两种解决方法 1.wireshark自带的Npcap不支持win10,需要重新下载Win10Pcap,下载地址为。安装时需要关闭wireshark,然后重新打开wireshark即可。 2.。使用管理...
继续访问
?
wireshark找不到接口
(1)本人wireshark只用于网口的基本调试,但是在安装wireshark之后发现接口找不到 (2)刚开始觉得可能是版本的问题,也是第一次使用,后来才知道是插件的问题,亲测有效 (3)上图为别人截屏,侵权可私信删除 (4)基本密令(在此输入) ...
继续访问
?
彻底解决Wireshark找不到接口的问题
一、先说一下我的安装环境:windows7_64位下安装的Wireshark,版本(3.6.5),官网下载 地址:。有各种版本,分32位和64位的,根 据自己系统选择,我这里选择64位的。如下图: 二、安装过程很简单,和普通软件一样,一路next,next,finish。运行Wireshark后问题 就来了。其实我就知道没有那么简单,一路走来都是坑,已经习惯了。 三、问题是这次是一个大坑。找了好多方法,看别人说..
继续访问
?
Wireshark找不到本地接口
现象:在打开wireshark之后显示没有接口。 方法: 1、使用管理员身份运行CMD.exe;之后输入 net start npf 2、在启动wireshark即可看到网络接口信息。(如果还是看不到接口,再用管理员权限运行Wireshark试试) 如果还是不行可参考如下文章: 参考: ...
继续访问
解决wireshark找不到接口的问题
**问题描述:**最近,下载wireshark运行后发现它找不到接口,网上百度了许多资料,最后解决了,现总结方法如下: **方法1:**管理员身份运行CMD,打开NPF服务,输入net start npf,如下图,可惜,我的wireshark还是没找到接口。 **方法2:**下载CCleaner软件来清空一下注册表,也是博客里面的一个方法,如下图。可惜,我的wireshark还是没找到接口。 **方法3:**下载安装WinPacp,可惜,我的wireshark还是没找到接口。 **方法4:**下载安
继续访问
?
Wireshark 无法找到接口解决方法
解决方法: 下载安装WinPcap 如果已安装,卸载后重新安装 重启wireshark,看是否能找到本地接口 如果仍然提示无法找到接口,关闭wireshark,将WinPcap卸载,安装npcap. 重启wireshark会找到本地接口 ...
继续访问
Win10下解决Wireshark“没有找到接口”的问题
1、wireshark自带的Npcap不支持win10,需要重新下载Win10Pcap,下载地址为。安装时需要关闭wireshark,然后重新打开wireshark即可。 2、把wireshark自带的Npcap程序卸载后,再次打开了wireshark程序,成功解决了。 ...
继续访问
解决wireshark启动之后找不到本地接口问题
今天在使用wireshark抓包的时候无意中碰见了一个奇怪的现象,启动之后找不到本地接口,提示如下内容: 然后在过滤器编辑栏输入ip端口也不生效,没法跳转,自然也就没法抓包。 由于之前没有遇到过,只能上网百度,网上有两种方法: 1、 启动本地抓包服务,具体操作如下: (1) 以管理员方式运行 cmd.exe (2) 输入net start npf, 打开网络抓包服务。 (3) 运行 Wireshark Legacy , 选择你要抓包的网卡 如下图: 这个方法在我本地没有生效,提示服务名无效,感觉这个服务
继续访问
?
【Wireshark安装教程】Wireshark在Win10上的详细安装教程
Win10系统下如何安装Wireshakr?
继续访问
?
wireshark找不到接口的一解决方法
wireshark找不到接口? - 知乎
继续访问
热门推荐 wireshark找不到接口的处理方法
问题:wireshark提示没有一个可以抓包的接口 解决方案:以管理员的身份在cmd中输入命令 net start npf ===============================================================================================================================
继续访问
Wireshark 网络分析器启动后不显示网络接口(已解决)
问题:win 10系统下启动Wireshark的时候不显示网络接口了,Wireshark版本:3.4.5 解决问题:得安装 WinPcap,安装完以后重启软件,就可以搜索到网络接口了。 安装完成,重启软件
继续访问
?
Wireshark没有找到接口的解决
在安装的过程中,会跳出一个拦截窗口 选择始终安装此驱动程序软件就ok辽
继续访问
?
wireshark提示“没有找到接口”
window server 2019原本已经安装了wireshark,卸载重装后,打开wireshark,提示:没有找到接口!!! 回想卸载wireshark的时候,还卸载了Npcap、Win10pcap, 重新安装wireshark,跟着装上Npcap,再次打开,可以找到接口, 不过不是我想要的结果,对我的抓包还是有影响,那么先把Npcap删掉,在装上Win10pcap,完美解决,应该...
继续访问
?
wireshark没有找到接口
wireshark
关于网络嗅探软件
1、WireShark WireShark是一个开源免费的高性能网络协议分析软件,它的前身就是非常著名的网络分析软件Ethereal。你可以使用它来解决网络疑难问题,进行网络协议分析,以及作为软件或通信协议的开发参考,同时也可以用来作为学习各种网络协议的教学工具等等。WireShark支持现在已经出现了绝大多数的以太网网卡,以及主流的无线网卡。WireShark具有如下所示的特点:(1) 支持多种操作系统平台,可以运行于Windows、Linux、Mac OS X10.5.5、Solaris和FreeBSD等操作系统上;(2) 支持超过上千种的网络协议,并且还会不断的增加对新协议的支持;(3) 支持实时捕捉,然后可在离线状态下进行分析;(4) 支持对VOIP数据包进行分析;(5) 支持对通过IPsec、ISAKMP、Kerberos、SNMPv3、SSL/TLS、WEP和WPA/WPA2等协议加密了的数据包解密;(6) 可以实时获取来自以太网、IEEE 802.11、PPP/HDLC、ATM、蓝牙、令牌环和FDDI(光纤)等网络中的数据包;(7) 支持读取和分析许多其它网络嗅探软件保存的文件格式,包括Tcpdump、Sniffer pro、EtherPeek、Microsoft Network Monitor和CISCO Secure IDS 等软件;(8) 支持以各种过滤条件进行捕捉,支持通过设置显示过滤来显示指定的内容,并能以不同的颜色来显示过滤后的报文;(9) 具有网络报文数据统计功能;(10) 可以将它捕捉到的数据导出为XML、PostScript、CSV及普通文本文件的格式。运行WireShark所需的文件:现在WireShark的最终版本是1.0.5,我们可以到上下载它。如果WireShark要在Windows系统下运行时,还需要一个名为Winpcap的驱动库,现在它的稳定版本是WinPcap 4.0.2,最新的测试版本是WinPcap 4.1 beta3,我们可以从 上下载。如果是在Linux系统下使用时,就应当使用Libpcap驱动库,它现在的版本是Libpcap1.0.0,我们可以从上下载。2、Tcpdump和WindumpTcpdump是一个老牌的使用最频繁的网络协议分析软件之一,它是一个基于命令行的工具。Tcpdump通过使用基本的命令表达式,来过滤网络接口卡上要捕捉的流量。它支持现在已经出现了绝大多数的以太网适配器。Tcpdump是一个工作在被动模式下的网络嗅探器。我们可以用它来在Linux系统下捕获网络中进出某台主机接口卡中的数据包,或者整个网络段中的数据包,然后对这些捕获到的网络协议(如TCP、ARP)数据包进行分析和输出,来发现网络中正在发生的各种状况。例如当出现网络连通性故障时,通过对TCP三次握手过程进行分析,可以得出问题出现在哪个步骤。而许多网络或安全专家,都喜欢用它来发现网络中是否存在ARP地址欺骗。我们也可以将它捕获到的数据包先写入到一个文件当中,然后用WireShark等有图形界面的嗅探器读取 它的命令格式为:tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ][ -i 网络接口 ] [ -r 文件名][ -s snaplen] [ -T 类型 ] [ -w 文件名 ] [表达式 ]我们可以使用-i参数来指定要捕捉的网络接口卡,用-r来读取已经存在的捕捉文件,用-w来将捕捉到的数据写入到一个文件中。至于其它的参数,我们可以从它的man文档中得到详细的说明,或者通过输入“tcpdump –-help”来到它的帮助信息。Tcpdum有一个非常重要的特点就是可以使用正则表达式来作为过滤网络报文的条件,这使得它的使用变得非常灵活。我们可以通过它内建的各种关键字来指定想要过滤的条件,一旦一个网络数据包满足表达式的条件,则这个数据包就会被捕获。如果我们没有给出任何条件,那么所有通过指定网络接口卡中的网络报文都会被捕获。 Tcpdump使用以下三种类型的关键字:(1)、用于表式类型的关键字,主要有Host、Net和Port。它们分别用来指定主机的IP地址、指定网络地址和指定端口。如果你没有指定关键字,它就会使用缺省的Host类型。(2)、用于表式传输方向的关键字,主要有Src、Dst。分别用来指定要捕捉的源IP地址是什么或目的IP地址是什么的包。(3)、用来表式捕捉什么协议的关键字,主要有ip,arp,tcp,udp等。这些关键字之间可以使用逻辑运算关键字来连接,以便于我们指定某个范围或排除某个主机等。这些逻辑运算关键字也有三个,分别是取非运算“not”,或者可以用“!”符号表示;与运算“and”,可以用“” 符号表示;或运算“or”,可以用“||”符号表示。Tcpdump的关键字还有很多,我就不在此全部列出。其它的可以通过它的帮助文档来得到它们的详细说明。运行Tcpdump需要的文件:Tcpdump可以很好地运行在UNIX、Linux和Mac OSX操作系统上,它现在的最新版本是TCPDUMP 4.0.0,我们可以从上下载它的二进制包。同时,要运行它,也需要系统中安装有Libpcap1.0.0这个驱动库。 3、 DSniffDSniff是一个非常强大的网络嗅探软件套件,它是最先将传统的被动嗅探方式向主动方式改进的网络嗅探软件之一。DSniff软件套件中包含了许多具有特殊功能的网络嗅探软件,这些特殊的网络嗅探软件可以使用一系列的主动攻击方法,将网络流量重新定向到网络嗅探器主机,使得网络嗅探器有机会捕获到网络中某台主机或整个网络的流量。这样一来,我们就可以将DSniff在交换或路由的网络环境中,以及Cable modem拔号上网的环境中使用。甚至,当安装有DSniff的网络嗅探器不直接连接到目标网络当中,它依然可以通过运程的方式捕获到目标网络中的网络报文。DSniff支持Telnet 、Ftp、Smtp、P0P3、HTTP,以及其它的一些高层网络应用协议。它的套件当中,有一些网络嗅探软件具有特殊的窃取密码的方法,可以用来支持对SSL和SSH加密了的数据进行捕获和解密。DSniff支持现在已经出现了的绝大多数的以太网网卡。 4、 EttercapEttercap也是一个高级网络嗅探软件,它可以在使用交换机的网络环境中使用。Ettercap能够对大多数的网络协议数据包进行解码,不论这个数据包是不是加密过了的。它也支持现在已经出现了的绝大多数以太网网卡。Ettercap还拥有一些独特的方法,用来捕获主机或整个网络的流量,并对这些流量进行相应的分析 5、NetStumblerNetStumbler是一个用来寻找使用IEEE802.11a/b/g标准的无线局域网工具。它支持 包括PCMCIA 无线适配器在内的绝大多数主流无线适配器,同时,还加入了对全球 GPS 卫星定位系统的支持