Wiresahrk基本概念

Wireshark 是網絡包分析工具（流量分析、協議分析、數據包分析、網絡竊聽等），主要作用是嘗試捕獲網絡包， 并嘗試顯示數據包盡可能詳細的情況
Wireshark不會處理網絡事務，它僅僅是“測量”(監視)網絡

Wireshark是開源軟件項目,不用擔心授權和付費問題

Wiresahrk簡史
1997年以后，Gerald Combs 需要一個工具追蹤網絡問題并想學習網絡知識，他開始開發Ethereal
Ethereal是第一版，經過數次開發，停頓，1998年，經過這么長的時間，補丁，Bug報告，以及許多的鼓勵，0.2.0版誕生了。Ethereal就是以這種方式成功的
此后不久，Gilbert Ramirez發現它的潛力，并為其提供了底層分析
1998年10月，Guy Harris正尋找一種比TcpView更好的工具，他開始為Ethereal進行改進，并提供分析
1998年以后，正在進行TCP/IP教學的Richard Sharpe 關注了它在這些課程中的作用。并開始研究該軟件是否他所需要的協議。如果不行，新協議支持應該很方便被添加，他開始從事Ethereal的分析及改進。
從那以后，幫助Ethereal的人越來越多，他們的開始幾乎都是由于一些尚不被Ethereal支持的協議，所以他們拷貝了已有的解析器，并為團隊提供了改進回饋
2006年項目Moved House（這句不知道怎么翻譯）并重新命名為：Wireshark.

Wiresahrk結構

GTK1/2:圖像處理工具，處理用戶的輸入輸出顯示
Core:核心引擎，通過函數調用將其他模塊連接在一起，起到聯動調度的作用
Wiretap:格式支持，從抓包文件中讀取數據包，支持多種文件格式
Capture:捕包引擎，利用libpcap/WinPcap從底層抓取網絡數據包，提供了通用的抓包接口，能從不能類型的網絡接口獲取數據包
Win-/libpcap:Wireshark抓包時依賴的庫文件

Wireshark使用WinPCAP作為接口，直接與網卡進行數據報文交換，不會對網絡封包產生內容的修改，它只會反映出目前流通的封包資訊。 Wireshark本身也不會送出封包至網絡上

網絡嗅探器工作原理
收集：從網卡上收集二進制信息（將網卡設置成混雜模式,，抓包工具默認設置）
轉換：將捕獲的二進制信息轉換成可讀形式
分析：對捕獲和轉換后的數據進行分析

混雜端口：是指一臺機器能夠接收所有數據流，不論其目的地址是不是它，主用于診斷網絡問題

抓包前提需要將網卡設為混雜模式

抓包原理：
1、抓包本地網卡進出網絡流量，針對自己網卡不能針對整個局域網
2、集線器網絡，集線器是網絡層設備，不學習數據包，廣播所有接口（已經很少有這種環境）
3、鏡像端口，將數據拷貝一份到一個端口，交換機為二層設備，第一次廣播，第二次學習地址轉發
4、交換機有個弊端，第一次都需要廣播地址學習MAC地址才能轉發，這種方式易被人利用
5、ARP欺騙

端口鏡像注意：在進行多個端口同時鏡像到一個端口的時候注意單個端口的流量負載能力

相關文檔

《wireshark數據包分析實戰》第二版Chris Sanders
《wireshark網絡分析》第二版Laura Chappell
《TCP/IP協議棧詳解卷一》W.Richard Stevens
相關網站
https://www.wireshark.org
https://www.wiresharkbook.com
https://wiki.wiresharkbook.com

sniffer

fiddler、httpwatch針對http協議