【记录】折腾WireShark(旧称Ethereal)

背景

之前就知道有个Ethereal。

最近无意间又看有人提到WireShark,和网络数据包分析有关。

所以打算去试试。

WireShark简介

参考wiki:

http://zh.wikipedia.org/wiki/Wireshark

大概搞懂了,WireShark就是之前的Ethereal。

其功能就是分析网络数据包。

而且还是免费的。

 

下载WireShark

从主页:

http://www.wireshark.org/

中找到下载页面:

http://www.wireshark.org/download.html

下载最新的1.8.4的x64版本:

Stable Release (1.8.4) Windows  Installer (64-bit)

得到26MB的Wireshark-win64-1.8.4.exe

 

另外:看到其说明,

此软件,需要用到WinPcap

 

安装WireShark

双击去安装:

image

agree wireshark license

compontes 1

compontes 2

compontes 3

wireshark select additional tasks

choose install location for wireshark

对应的,是要选择安装WinPcap的:

choose install winpcap 4.1.2

安装过程中,会跳出对话框去安装WinPcap:

winpcap 4.1.2 installer

winpcap setup wizard

winpcap license

auto start winpcap driver

install winpcap done

然后WireShark接着会继续安装,直到完成:

wireshark completed

choose run wireshark

 

使用WireShark

启动后,主界面如下:

wireshark main ui

参考网上手册:

http://www.wireshark.org/docs/wsug_html_chunked/ChIntroPlatforms.html

提到了几个注意事项:

  • 如果你的网络很繁忙,那么会产生很大的数据量,所以,请自己确保自己的系统能处理过来。
    • 比如,100M的网卡,满载,用WireShark,会产生750MB/分钟的数据
  • 对于多核,多线程等,对于WireShark,没啥性能提升

后来参考:

http://www.wireshark.org/docs/wsug_html_chunked/ChCapPrerequisitesSection.html

中提到的:

http://wiki.wireshark.org/CaptureSetup

去看其教程。

然后再参考:

http://wiki.wireshark.org/CaptureSetup/NetworkInterfaces

去设置接口:

choose interface

然后选择对应的此处的物理网卡,再点击Start:

choose realtek pcie gbe

然后就可以看到对应的捕获的数据:

capturing data

看到的确可以用了后,就可以去停止抓包了:

stop capture

 

总结

以后,有空可以用WireShark帮忙转包,分析网络数据了。



发表评论

电子邮件地址不会被公开。 必填项已用*标注

无觅相关文章插件,快速提升流量