首页 > 网络软件 > 网络检测 > wireshark官方版 v3.6.2最新中文版
wireshark官方版 v3.6.2最新中文版
电脑版

wireshark官方版 v3.6.2最新中文版

一款功能强大的网络封包类软件
大小:73.88MB 时间:2022-03-03
语言:简体中文 环境:Windows
请使用PC访问此页面下载注:本软件为PC版,PC软件不适用于移动端。

wireshark介绍

作为一款专业性十足的网络抓包工具,wireshark原名Ethereal,自从其1998年第一个版本v0.2.0诞生之后就一直被广泛应用于网络封包类分析领域之中,延续至今,无数人投身于此,收益于此,开发于此,至今已然成为世界上最受欢迎的追踪网络流量的工具软件之一!相信只要从事互联网工作的人都知道,互联网其实是一个网络数据传输交换的平台,一个网页的诞生有其源代码、网络协议、网络数据等等多方面组成,而在此过程中,我们如何去对这些数据进行截获、转存、编辑等处理呢,这就需要我们使用到一款专业的抓包软件,市面上抓包软件可谓是丰富多样,像tcpdump、httpwatch、burpsuite、fiddler、charles等都是大家所常用的抓包工具,但是今天小编推荐的这款wireshark官方版确实其中最为突出也是世界上人数使用最多的封包软件,其原因有三:第一,这款软件适应于数百种协议,支持在Windows,Linux,macOS,Solaris,FreeBSD,NetBSD以及其他操作系统上进行使用,适应性强,涉及面广;第二,作为一款免费的应用软件,凭借着其GNUGPL通用许可证的保障范围能够让使用者免费使用软件以及获取源代码,以此来修改和客制化,开源性十足!最重要的一点当然是其强大的功能支持,过滤器的使用能够让你筛选出有用的数据包,排除一些可有可无的信息的干扰,通过着色规则是其图像高亮显示,并且也支持用户通过图标的形式清晰地观看网络数据的变化情况,然后进行Debug处理,找出问题所在,方便至极!当然这款wireshark作用还不仅仅于此,其在网络安全防御上面也有着不错的建树,对于一名网络安全工程师来说,其就像三国猛将吕布的方天戟与赤兔马一般,能够给使用者带来无可比拟的buff加成,而它也是如此,TCP会话重构流能力与过滤器语言强显示作用,能够让用户清晰的分析网络报文、定位网络接口问题并且进行应用数据接口的分析,可学性也是相当给力的!
wireshark官方版

安装教程

1、在本站下载对应的软件包,选择exe文件,进行解压下载

2、点击next继续下载

3、证书许可协议进行确认,点击noted

4、通过协议后,我们可以自由选择wireshark的附件安装,点击next

5、额外的功能也是可以自由选择的,点击next进行下一步

6、选择安装位置,这里小编选择的是空间较大的E盘,点击next

7、以下软件截图是需要你勾选,可以检查是否存在该软件的旧版,以防冲突。

8、软件安装成功,点击finish,用户也可勾选直接打开

使用教程

1、打开软件之后就需要我们进行选择抓取网络接口了,选中无线网络连接点击start开始运行

2、选择Wireshark capture options可以进行自定义配置,配置完成之后点击start开始抓包了

3、如图所示,软件已经处于抓包状态了

4、以下的截图就是我们抓包的演示状况了。每一行对应一个网络报文,里面包含了时间、ip地址和字段长度

5、如果我们并没有抓到想要的网络数据或者单纯像停止抓包的话,可以点击红色的停止按钮

6、如图可以看到不同的协议可以使用不同的颜色进行区别分类,清晰明了

功能特色

1、确定Wireshark的位置
如果没有一个正确的位置,启动软件后会花费很长的时间捕获一些与自己无关的数据。
2、选择捕获接口
一般都是选择连接到Internet网络的接口,这样才可以捕获到与网络相关的数据。否则,捕获到的其它数据对自己也没有任何帮助。
3、使用捕获过滤器
通过设置捕获过滤器,可以避免产生过大的捕获文件。这样用户在分析数据时,也不会受其它数据干扰。而且,还可以为用户节约大量的时间。
4、使用显示过滤器
通常使用捕获过滤器过滤后的数据,往往还是很复杂。为了使过滤的数据包再更细致,此时使用显示过滤器进行过滤。
5、使用着色规则
通常使用显示过滤器过滤后的数据,都是有用的数据包。如果想更加突出的显示某个会话,可以使用着色规则高亮显示。
6、构建图表
如果用户想要更明显的看出一个网络中数据的变化情况,使用图表的形式可以很方便的展现数据分布情况。
7、重组数据
可以重组一个会话中不同数据包的信息,或者是一个重组一个完整的图片或文件。由于传输的文件往往较大,所以信息分布在多个数据包中。为了能够查看到整个图片或文件,这时候就需要使用重组数据的方法来实现。

软件优势

1、截取网络封包,并尽可能显示出最为详细的网络封包资料,并使用WinPCAP作为接口,直接与网卡进行数据报文交换。
2、在GNUGPL通用许可证的保障范围底下,使用者可以以免费的途径取得软件与其源代码,并拥有针对其源代码修改及客制化的权利
3、Wireshark不是入侵侦测系统,对于网络上异常的流量行为,其不会给予警告和提示,也不会产生内容的修改,只是单纯反映出流通的封包资讯
4、该软件拥有强大的过滤器引擎,用户可以使用过滤器筛选出有用的数据包,排除无关信息的干扰,找到问题关键所在
5、在Windows,Linux,macOS,Solaris,FreeBSD,NetBSD和许多其他操作系统上都可以运行,多平台支持,非常方便
6、可以从以太网,IEEE 802.11,PPP / HDLC,ATM,蓝牙,USB,令牌环,帧中继,FDDI等读取实时数据

常见问题

一、wireshark过滤规则及使用方法
1、过滤ip
Linux上运行的软件图形窗口截图示例,其他过虑规则操作类似,不再截图。
ip.src eq 10.175.168.182

2、过滤端口
实例:
tcp.port eq 80 // 不管端口是来源的还是目标的都显示
tcp.port == 80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 只显tcp协议的目标端口80
tcp.srcport == 80 // 只显tcp协议的来源端口80
udp.port eq 15000
过滤端口范围
tcp.port >= 1 and tcp.port <= 80
3、过滤协议
tcp
udp
arp
icmp
http
smtp
ftp
dns
msnms
ip
ssl
oicq
bootp
等等
排除arp包,如!arp或者not arp
4.过滤MAC
太以网头过滤
eth.dst == A0:00:00:04:C5:84 // 过滤目标mac
eth.src eq A0:00:00:04:C5:84 // 过滤来源mac
eth.dst==A0:00:00:04:C5:84
eth.dst==A0-00-00-04-C5-84
eth.addr eq A0:00:00:04:C5:84 // 过滤来源MAC和目标MAC都等于A0:00:00:04:C5:84的
less than 小于 < lt 
小于等于 le
等于 eq
大于 gt
大于等于 ge
不等 ne
5.包长度过滤
例子:
udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和
tcp.len >= 7   指的是ip数据包(tcp下面那块数据),不包括tcp本身
ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
frame.len == 119 整个数据包长度,从eth开始到最后
eth —> ip or arp —> tcp or udp —> data
6.http模式过滤
例子:
http.request.method == “GET”
http.request.method == “POST”
http.request.uri == “/img/logo-edu.gif”
http contains “GET”
http contains “HTTP/1.”
// GET包
http.request.method == “GET” && http contains “Host: “
http.request.method == “GET” && http contains “User-Agent: “
// POST包
http.request.method == “POST” && http contains “Host: “
http.request.method == “POST” && http contains “User-Agent: “
// 响应包
http contains “HTTP/1.1 200 OK” && http contains “Content-Type: “
http contains “HTTP/1.0 200 OK” && http contains “Content-Type: “
一定包含如下
Content-Type:
7.TCP参数过滤
tcp.flags 显示包含TCP标志的封包。
tcp.flags.syn == 0x02     显示包含TCP SYN标志的封包。
tcp.window_size == 0 && tcp.flags.reset != 1
8.包内容过滤
-----------------------------------------------
tcp[20]表示从20开始,取1个字符
tcp[20:]表示从20开始,取1个字符以上
注: 些两虚线中的内容在我的wireshark(linux)上测试未通过。
--------------------------------------------------
    
tcp[20:8]表示从20开始,取8个字符
tcp[offset,n]
udp[8:3]==81:60:03 // 偏移8个bytes,再取3个数,是否与==后面的数据相等?
udp[8:1]==32   如果我猜的没有错的话,应该是udp[offset:截取个数]=nValue
eth.addr[0:3]==00:06:5B
9.dns模式过滤
10.DHCP
注意:DHCP协议的检索规则不是dhcp/DHCP, 而是bootp
以寻找伪造DHCP服务器为例,介绍Wireshark的用法。在显示过滤器中加入过滤规则,
显示所有非来自DHCP服务器并且bootp.type==0x02(Offer/Ack/NAK)的信息:
bootp.type==0x02 and not ip.src==192.168.1.1
11.msn
msnms && tcp[23:1] == 20 // 第四个是0x20的msn数据包
msnms && tcp[20:1] >= 41 && tcp[20:1] <= 5A && tcp[21:1] >= 41 && tcp[21:1] <= 5A && tcp[22:1] >= 41 && tcp[22:1] <= 5A
msnms && tcp[20:3]==”USR” // 找到命令编码是USR的数据包
msnms && tcp[20:3]==”MSG” // 找到命令编码是MSG的数据包
tcp.port == 1863 || tcp.port == 80
如何判断数据包是含有命令编码的MSN数据包?
1)端口为1863或者80,如:tcp.port == 1863 || tcp.port == 80
2)数据这段前三个是大写字母,如:
tcp[20:1] >= 41 && tcp[20:1] <= 5A && tcp[21:1] >= 41 && tcp[21:1] <= 5A && tcp[22:1] >= 41 && tcp[22:1] <= 5A
3)第四个为0x20,如:tcp[23:1] == 20
4)msn是属于TCP协议的,如tcp
12. 过虑语法字符
①类似正则表达式的规则。
基本的语法字符
d:0-9的数字
D:d的补集(以所以字符为全集,下同),即所有非数字的字符
w:单词字符,指大小写字母、0-9的数字、下划线
W:w的补集
s:空白字符,包括换行符n、回车符r、制表符t、垂直制表符v、换页符f
S:s的补集
.:除换行符n外的任意字符。 在Perl中,“.”可以匹配新行符的模式被称作“单行模式”
.*:匹配任意文本,不包括回车(n)? 。 而,[0x00-0xff]*        匹配任意文本,包括n
[…]:匹配[]内所列出的所有字符
[^…]:匹配非[]内所列出的字符
②定位字符所代表的是一个虚的字符,它代表一个位置,你也可以直观地认为“定位字符”所代表的是某个字符与字符间的那个微小间隙。
^:表示其后的字符必须位于字符串的开始处
$:表示其前面的字符必须位于字符串的结束处
b:匹配一个单词的边界
B:匹配一个非单词的边界
③重复描述字符
{n}:匹配前面的字符n次
{n,}:匹配前面的字符n次或多于n次
{n,m}:匹配前面的字符n到m次
?:匹配前面的字符0或1次
+:匹配前面的字符1次或多于1次
*:匹配前面的字符0次或式于0次
④and or 匹配
and 符号 并
or  符号 或
例如:
tcp and tcp.port==80
tcp or udp
二、wireshark怎么设置中文?
1、首先打开软件找到菜单栏上的preferences或者使用快捷键Ctrl+Shift+P

2、根据内容提示找到language选项

3、可以看到下拉有Chinese选项,点击就可呈现中文了

4、如此软件已经改成了中文模式了,是不是很简单

展开更多

同类推荐

特色标签

同类排行

网友评论

0条评论