Wireshark是全球领先的网络流量分析器,并且是所有安全专业人员或系统管理员的重要资源。Wireshark可以支持的常见故障排除问题包括程序包丢失,潜在问题和恶意网络活动。
Wireshark网络流量分析器的工作流程
(1)确定Wireshark的位置。如果没有一个正确的位置,启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。
(2)选择捕获接口。一般都是选择连接到Internet网络的接口,这样才可以捕获到与网络相关的数据。否则,捕获到的其它数据对自己也没有任何帮助。
(3)使用捕获过滤器。通过设置捕获过滤器,可以避免产生过大的捕获文件。这样用户在分析数据时,也不会受其它数据干扰。而且,还可以为用户节约大量的时间。
(4)使用显示过滤器。通常使用捕获过滤器过滤后的数据,往往还是很复杂。为了使过滤的数据包再更细致,此时使用显示过滤器进行过滤。
(5)使用着色规则。通常使用显示过滤器过滤后的数据,都是有用的数据包。如果想更加突出的显示某个会话,可以使用着色规则高亮显示。
(6)构建图表。如果用户想要更明显的看出一个网络中数据的变化情况,使用图表的形式可以很方便的展现数据分布情况。
(7)重组数据。Wireshark的重组功能,可以重组一个会话中不同数据包的信息,或者是一个重组一个完整的图片或文件。由于传输的文件往往较大,所以信息分布在多个数据包中。为了能够查看到整个图片或文件,这时候就需要使用重组数据的方法来实现。
Wireshark网络流量分析器的功能
从线路或已从网络链接获取的数据文件中检索数据。用户可以使用GUI或其他模型访问捕获的数据网络。用户可以使用命令行开关进行可编程编辑,并将捕获的文件转换为编辑上限框架。通过监视的流量,也可以通过网络跟踪Internet上的语音通话。
1.数据包监控器
网络中的数据包在其部分中直观地表示。颜色代码可用于每种数据包类型。
显示具有以下详细信息的数据包。
目的地址
数据包内容以文本形式
如果适用,目标端口
2.从捕获文件导入
此方法可帮助您从捕获文件导入转储数据包,以供进一步研究。Wireshark支持多种格式,
其中一些是:
•基于Windows的网络用户可捕获Sniffer和Sniffer Pro
•HP-UX的功能
•思科安全入侵检测程序IPLog格式
•TamosoftCommView捕获
3.导出到捕获文件
Wireshark可帮助您将测试另存为捕获文件,以供以后使用。
支持的格式:
•Visual Networks视觉正常运行时间流量(*。*)。
•Novell LANalyzer
4. Wireshark捕获过滤器
捕获过滤器会限制过滤器收集的数据包。换句话说,如果过滤器不匹配,它将不保存数据包。