Wireshark

Wireshark(前称Ethereal)是使用最广泛的一款开源抓包软件，常用来检测网络问题、攻击溯源、或者分析底层通信机制，还可以截取各种网络数据包，并显示数据包详细信息。它使用WinPCAP作为接口，直接与网卡进行数据报文交换。常用于开发测试过程中各种问题定位。

软件特色

●对数百种协议进行深度解析，且不断新增更多协议支持。

●支持实时捕获和离线分析。

●标准的三窗格数据包浏览器。

●跨平台：可在 Windows、Linux、macOS、FreeBSD、NetBSD 及其他多种系统上运行。

●捕获的网络数据可通过图形用户界面(GUI)或 TTY 模式的 TShark 工具进行浏览。

●行业内最强大的显示过滤器。

●强大的 VoIP 分析功能。

●支持读写多种捕获文件格式：tcpdump(libpcap)、Pcap NG、Catapult DCT2000、Cisco Secure IDS iplog、Microsoft Network Monitor、Network General Sniffer®(压缩和未压缩)、Sniffer® Pro、NetXray®、Network Instruments Observer、NetScreen snoop、Novell LANalyzer、RADCOM WAN/LAN Analyzer、Shomiti/Finisar Surveyor、Tektronix K12xx、Visual Networks Visual UpTime、WildPackets EtherPeek/TokenPeek/AiroPeek 等众多格式。

●使用 gzip 压缩的捕获文件可实时解压。

●可从以太网、IEEE 802.11、PPP/H DLC、ATM、蓝牙、USB、令牌环、帧中继、FDDI 等接口(取决于平台)读取实时数据。

●支持多种协议的解密，包括 IPsec、ISAKMP、Kerberos、SNMPv3、SSL/TLS、WEP 和 WPA/WPA2。

●可为数据包列表应用着色规则，便于快速直观地分析。

●输出结果可导出为 XML、PostScript、CSV 或纯文本格式。

常用应用场景

1. 网络管理员会使用wireshark来检查网络问题

2. 软件测试工程师使用wireshark抓包，来分析自己测试的软件

3. 从事socket编程的工程师会用wireshark来调试

4. 运维人员用于日常工作，应急响应等等

常见问题

Wireshark 下载速度为 0 是什么原因？

在中国大陆访问海外下载节点时，可能出现连接无法建立或 速度为 0 的情况，这通常与跨境网络访问质量有关。

Wireshark 找不到网卡如何解决？

这通常是因为 Npcap(Windows)或 ChmodBPF(macOS)未正确安装或服务未启动。请尝试重新安装 Wireshark 并勾选 "Install Npcap" 选项，或以管理员身份运行Wireshark。

Wireshark抓包原理是什么？

Wireshark使用的环境大致分为两种，一种是电脑直连互联网的单机环境，另外一种就是应用比较多的互联网环境，也就是连接交换机的情况。

「单机情况」下，Wireshark直接抓取本机网卡的网络流量;

「交换机情况」下，Wireshark通过端口镜像、ARP欺骗等方式获取局域网中的网络流量。

●端口镜像：利用交换机的接口，将局域网的网络流量转发到指定电脑的网卡上。

●ARP欺骗：交换机根据MAC地址转发数据，伪装其他终端的MAC地址，从而获取局域网的网络流量。