Wireshark 2.2.4中文版下载|Wireshark(网络抓包工具) 中文官方版v2.2.4下载

Wireshark是网络抓包工具,该软件的界面还是蛮简洁的,它可以随时检测网络数据,知识兔帮助网络工程师对网络进行分析,是款非常不错的网络辅助软件,有需求的用户们千万不要错过哦!

软件介绍

Wireshark款电脑抓包软件,它可以实现网络封包功能,通过各项数据帮助工程师对网络进行分析,有效抓取网络通讯数据快照,知识兔帮助网络工程师来检测出信息安全的相关问题。同时知识兔这款软件不会对网络数据内容进行修改,这样就能防止被修改后找不到问题的情况。

该版本适用于32位和64位的, 初学者可以通过学习相关的网络协议知识,它能够通过捕获数据来进行过滤,不会受到其他数据的干扰,知识兔帮助用户来节省时间。当传输文件比较大的时候,知识兔还能够进行多个数据包的传输,提高整体的效率!

Wireshark 2.2.4中文版下载|Wireshark(网络抓包工具) 中文官方版v2.2.4下载插图

软件特色

Wireshark拥有许多强大的特性:

包含有强显示过滤器语言(rich display filter language)和查看TCP会话重构流的能力;

它更支持上百种协议和媒体类型:

拥有一个类似tcpdump(一个Linux下的网络协议分析工具)的名为tethereal的的命令行版本。

在过去,网络封包分析软件是非常昂贵,或是专门属于营利用的软件。

Ethereal的出现改变了这一切。

在GNU GPL通用许可证的保障范围底下,知识兔使用者可以以免费的代价取得软件与其程式码,并拥有针对其原始码修改及客制化的权利。Ethereal是目前全世界最广泛的网络封包分析软件之一。

Wireshark

怎么抓包

开始界面

wireshark1

wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。

知识兔点击Caputre->Interfaces.. 出现下面对话框,知识兔选择正确的网卡。然后知识兔知识兔点击”Start”按钮, 开始抓包

wireshark2

Wireshark 窗口介绍

wireshark3

WireShark 主要分为这几个界面

1. Display Filter(显示过滤器),  用于过滤

2. Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。颜色不同,代表

3. Packet Details Pane(封包详细信息), 显示封包中的字段

4. Dissector Pane(16进制数据)

5. Miscellanous(地址栏,杂项)

WireShark1  

使用过滤是非常重要的, 初学者使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,知识兔以至于很难找到自己需要的部分。搞得晕头转向。

过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

过滤器有两种,

一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录

一种是捕获过滤器,用来过滤捕获的封包,知识兔以免捕获太多的记录。在Capture -> Capture Filters 中设置

保存过滤

在Filter栏上,填好Filter的表达式后,知识兔点击Save按钮, 取个名字。比如”Filter 102″,

WireShark2

Filter栏上就多了个”Filter 102″ 的按钮。

WireShark3

过滤表达式的规则

表达式规则

1. 协议过滤

比如TCP,只显示TCP协议。

2. IP 过滤

比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102,

ip.dst==192.168.1.102, 目标地址为192.168.1.102

3. 端口过滤

tcp.port ==80,  端口为80的

tcp.srcport == 80,  只显示TCP协议的愿端口为80的。

4. Http模式过滤

http.request.method==”GET”,   只显示HTTP GET方法的。

5. 逻辑运算符为 AND/ OR

常用的过滤表达式

wireshark1

封包列表(Packet List Pane)

封包列表的面板中显示,编号,时间戳,源地址,目标地址,协议,长度,知识兔以及封包信息。你可以看到不同的协议用了不同的颜色显示。

你也可以修改这些显示颜色的规则,  View ->Coloring Rules.

wireshark2

封包详细信息 (Packet Details Pane)

这个面板是我们最重要的,用来查看协议中的每一个字段。

各行信息分别为

Frame:   物理层的数据帧概况

Ethernet II: 数据链路层以太网帧头部信息

Internet Protocol Version 4: 互联网层IP包头部信息

Transmission Control Protocol:  传输层T的数据段头部信息,此处是TCP

Hypertext Transfer Protocol:  应用层的信息,此处是HTTP协议

wireshark3

TCP包的具体内容

从下图可以看到wireshark捕获到的TCP包中的每个字段。

wireshark4

看到这, 基本上对wireshak有了初步了解, 现在我们看一个TCP三次握手的实例

三次握手过程为

wireshark5

这图我都看过很多遍了, 这次我们用wireshark实际分析下三次握手的过程。

打开wireshark, 打开浏览器输入 h t t p : / / w w w . c r 1 7 3 .c o m

在wireshark中输入http过滤, 然后知识兔选中GET /tankxiao HTTP/1.1的那条记录,右键然后知识兔知识兔点击”Follow TCP Stream”,

这样做的目的是为了得到与浏览器打开网站相关的数据包,将得到如下图

图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的, 这说明HTTP的确是使用TCP建立连接的。

第一次握手数据包

客户端发送一个TCP,标志位为SYN,序列号为0, 代表客户端请求建立连接。如下图

wireshark2

第二次握手的数据包

服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1, 如下图

wireshark1

客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且知识兔把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且知识兔在数据段放写ISN的+1, 如下图:

wireshark3

就这样通过了TCP三次握手,建立了连接

过滤规则

1、打开wireshark,先抓取一定数量的包,其中就包含你需要的数据包,要过滤出来,进行分析寻找问题

wireshark 2

2、打开wireshark的帮助文档,如下图所示,是全英文的,不会的话就要去查和翻译了

wireshark 1

 

wireshark 4

3、在弹出的帮助文档页面上,如下图所示,找到wireshark的内容过滤的规则语法,所有的协议过滤都是如此,分享了基本的中括号运算符 “[]”进行内容的提取和判断

wireshark 6

4、如果知识兔基本的英文不了解,知识兔可以打开百度翻译,一个一个单词查询翻译了,其实也不需要全部弄明白,看到那些基本的语法,基本的意思也可以猜出来

wireshark 5

5、下面来个简单的实例,进行udp包的内容过滤规则,如下图所示,我要过滤

ip地址为xx.xx.xx.xx 并且知识兔 是udp包的 并且知识兔 udp的数据前面4个字节等于0x02:0x37:0x2d:0x01 的数据包

ip.addr==xx.xx.xx.xx && udp && udp[8:4] == 02:37:2d:01

wireshark 7

6、然后知识兔所有与之符合的数据包都被过滤出来了,像这种过滤规则也可以用于tcp,ftp,http等其它协议

Wireshark 2.2.4中文版下载|Wireshark(网络抓包工具) 中文官方版v2.2.4下载插图22

7、本经验文章主要是教会朋友如何查看文档,知识兔使用帮助文档解决wireshark遇到的问题,像上面的内容过滤其实还有很多有趣的功能,大家可以继续深入了解一下

wireshark 3

使用教程

下面来说一下Wireshark在抓包后常用的过滤方法,给网络初学者一个参考。

1、过滤源ip、目的ip。

在wireshark的过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包,ip.dst==192.168.101.8;查找源地址为ip.src==1.1.1.1

2、端口过滤

如过滤80端口,在Filter中输入,tcp.port==80,这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==80只过滤目的端口为80的,tcp.srcport==80只过滤源端口为80的包

3、协议过滤

比较简单,直接在Filter框中直接输入协议名即可,如过滤HTTP的协议

4、http模式过滤

如过滤get包,http.request.method==”GET”,过滤post包,http.request.method==”POST”

5、连接符and的使用。

过滤两种条件时,知识兔使用and连接,如过滤ip为192.168.101.8并且知识兔为http协议的,ip.src==192.168.101.8 and http。

Wireshark 2.2.4中文版下载|Wireshark(网络抓包工具) 中文官方版v2.2.4下载插图24

基本设置

常用捕获过滤器:

tcp[13]&32==32 (设置了URG位的TCP数据包)

tcp[13]&16==16 (设置了ACK位的TCP数据包)

tcp[13]&8==8 (设置了PSH位的TCP数据包)

tcp[13]&4==4 (设置了RST位的TCP数据包)

tcp[13]&2==2 (设置了SYN位的TCP数据包)

tcp[13]&1==1 (设置了FIN位的TCP数据包)

tcp[13]==18 (TCP SYN-ACK 数据包)

ether host 00:00:00:00:00:00 (流入或流出MAC地址的流量,替换为你的mac)

!ether host 00:00:00:00:00:00 (不流入或流出MAC地址的流量,替换为你的mac)

broadcast (仅广播流量)

icmp (ICMP流量)

icmp[0:2]==0x0301 (ICMP目标不可达、主机不可达)

ip (仅IPv4流量)

ip6 (仅IPv6流量)

udp (仅UDP流量)

常用显示过滤器:

!tcp.port==3389 (排除RDP流量)

tcp.flags.syn==1 (具有SYN标志位的TCP数据包)

tcp.flags.rst==1 (具有RST标志位的TCP数据包)

!arp (排除ARP流量)

http (所有HTTP流量)

tcp.port==23||tcp.port ==21 (FTP或telnet)

smtp||pop||imap (smtp、pop或imap)

Wireshark 2.2.4中文版下载|Wireshark(网络抓包工具) 中文官方版v2.2.4下载插图25

常见问题

1.Wireshark可以使用哪些设备来捕获数据包?

答:Wireshark可以读取以太网,令牌环,FDDI,串行(PPP和SLIP)的实时数据(如果知识兔它运行的操作系统允许Wireshark这样做),802.11无线局域网(如果知识兔它运行的操作系统允许Wireshark)要做到这一点),ATM连接(如果知识兔它运行的操作系统允许Wireshark这样做),知识兔以及最近版本的libpcap在Linux上支持的“任何”设备。

2.我安装了Wireshark RPM(或其他软件包); 为什么安装TShark而不是Wireshark?

答: 许多发行版都有单独的Wireshark软件包,一个用于非GUI组件,如TShark,editcap,dumpcap等,另一个用于GUI。如果知识兔您的系统出现这种情况,可能会有一个名为的单独软件包wireshark-qt。找到并安装它。

3.当我尝试运行Wireshark时,为什么抱怨 sprint_realloc_objid未定义?

答: Wireshark只能与版本4.2.2或更高版本的UCD SNMP链接。你的Wireshark版本与这种版本的UCD SNMP动态链接; 但是,您安装了较旧版本的UCD SNMP,这意味着当运行Wireshark时,它会尝试链接到旧版本,并失败。您必须使用4.2.2版或更高版本替换该版本的UCD SNMP。

Wireshark 2.2.4中文版下载|Wireshark(网络抓包工具) 中文官方版v2.2.4下载插图26

其他版本

Wireshark有适用于32位和64位的版本,用户们可以根据自己的需求来进行下载,我们也分享了其他的版本号,用户们可以根据自己的配置来进行选择。

更多版本号
Wireshark 1.12版 WiresharkV2.6.5(绿色版) Wireshark v2.6.4 Wireshark64位 V2.6.5

下载仅供下载体验和测试学习,不得商用和正当使用。

下载体验

请输入密码查看下载!

如何免费获取密码?

点击下载

评论