工具简介
Wireshark是一个功能强大的网络数据包分析工具,可以实时捕获和分析网络流量。它支持多种协议,提供详细的网络通信信息,是网络故障排除和安全分析的重要工具。
主要功能
数据包捕获
实时捕获网络流量
协议分析
支持多种网络协议
流量过滤
强大的过滤功能
统计分析
网络流量统计
基本用法
# 启动Wireshark
wireshark
# 使用命令行捕获
wireshark -i eth0
# 保存捕获文件
wireshark -w capture.pcap
# 读取捕获文件
wireshark -r capture.pcap
# 使用过滤器
wireshark -f "host 192.168.1.1"常用参数
| 参数 | 说明 |
|---|---|
| -i | 指定网络接口 |
| -w | 保存捕获文件 |
| -r | 读取捕获文件 |
| -f | 设置捕获过滤器 |
| -Y | 设置显示过滤器 |
使用示例
示例1:HTTP流量分析
# 捕获HTTP流量
wireshark -f "port 80"
# 显示过滤器
http contains "POST"分析HTTP请求和响应
示例2:DNS查询分析
# 捕获DNS流量
wireshark -f "port 53"
# 显示过滤器
dns.flags.response == 0分析DNS查询请求
安全提示
- 注意保护捕获的数据包文件
- 不要捕获敏感信息
- 遵守网络隐私法规
- 仅用于授权的网络分析