Wireshark（网络抓包工具）v3.2.7 便携绿色版

Wireshark(前称Ethereal)是一款免费开源的网络嗅探抓包工具，世界上最流行的网络协议分析器!网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark网络抓包工具使用WinPCAP作为接口，直接与网卡进行数据报文交换，可以实时检测网络通讯数据，检测其抓取的网络通讯数据快照文件，通过图形界面浏览这些数据，可以查看网络通讯数据包中每一层的详细内容。它的强大特性：例如包含有强显示过滤器语言和查看TCP会话重构流的能力，支持上百种协议和媒体类型。

软件特点

Wireshark网络分析器汉化绿色便携版是一款免费开源的网络嗅探抓包工具，世界上最流行的网络协议分析器!网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。

软件说明Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换，可以实时检测网络通讯数据，检测其抓取的网络通讯数据快照文件，通过图形界面浏览这些数据，可以查看网络通讯数据包中每一层的详细内容。此外它还拥有许多强大的特性：例如包含有强显示过滤器语言和查看TCP会话重构流的能力，支持上百种协议和媒体类型。

使用目的Wireshark中文版中文版使用目的

以下是一些使用Wireshark中文版目的的例子：

网络管理员使用Wireshark中文版来检测网络问题，网络安全工程师使用Wireshark中文版来检查资讯安全相关问题，开发者使用Wireshark中文版来为新的通讯协定除错，普通使用者使用Wireshark中文版来学习网络协定的相关知识。当然，有的人也会“居心叵测”的用它来寻找一些敏感信息……

Wireshark中文版不是入侵侦测系统(Intrusion Detection System,IDS)。对于网络上的异常流量行为，Wireshark中文版不会产生警示或是任何提示。然而，仔细分析Wireshark中文版撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark中文版不会对网络封包产生内容的修改，它只会反映出目前流通的封包资讯。 Wireshark中文版本身也不会送出封包至网络上。

工作流程

1.确定Wireshark中文版的位置

如果没有一个正确的位置，启动Wireshark中文版后会花费很长的时间捕获一些与自己无关的数据。

2.选择捕获接口

一般都是选择连接到Internet网络的接口，这样才可以捕获到与网络相关的数据。否则，捕获到的其它数据对自己也没有任何帮助。

3.使用捕获过滤器

通过在Wireshark中文版设置捕获过滤器，可以避免产生过大的捕获文件。这样用户在分析数据时，也不会受其它数据干扰。而且，还可以为用户节约大量的时间。

4.使用显示过滤器

通常使用捕获过滤器过滤后的数据，往往还是很复杂。为了使过滤的数据包再更细致，此时使用显示过滤器进行过滤。

5.使用着色规则

通常使用显示过滤器过滤后的数据，都是有用的数据包。如果想更加突出的显示某个会话，可以使用着色规则高亮显示。

6.构建图表

如果用户想要更明显的看出一个网络中数据的变化情况，使用图表的形式可以很方便的展现数据分布情况。

7.重组数据Wireshark中文版的重组功能，可以重组一个会话中不同数据包的信息，或者是一个重组一个完整的图片或文件。由于传输的文件往往较大，所以信息分布在多个数据包中。为了能够查看到整个图片或文件，这时候就需要使用重组数据的方法来实现。

使用说明

一、捕获帧

该表显示了所有可用接口的设置：

•接口名称及其IP地址。如果无法从系统中解析地址，则将显示“无”。

注意

Loopback接口在Windows平台上不可用。

•链路层标头类型。

•启用或禁用promicuous模式的信息。

•将为每个数据包捕获的最大数据量。默认值设置为262144字节。

•保留内核缓冲区的大小以保留捕获的数据包。

•是否以监控模式捕获数据包的信息(仅限Unix/Linux)。

•选择的捕获过滤器。

通过标记第一列中的复选框，可以选择从中捕获接口。通过双击界面上的“编辑界面设置”对话框，如图4.4所示，将打开“编辑界面设置”对话框。

1、捕获所有接口

随着Wireshark可以在多个接口上捕获，可以选择在所有可用接口上捕获。以混杂模式捕获所有数据包此复选框允许您指定Wireshark在捕获时应将所有接口置于混杂模式。

2、捕获过滤器

此字段允许您为当前选定的所有接口指定捕获筛选器。在此字段中输入过滤器后，新选择的接口将继承过滤器。第4.13节“捕获时过滤”更详细地讨论了捕获过滤器。它默认为空，或者没有过滤器。

您还可以单击“捕获过滤器”按钮，Wireshark将打开“捕获过滤器”对话框，允许您创建和/或选择过滤器。请参见第6.6节“定义和保存过滤器”

3、编译选定的BPF

此按钮允许您将捕获过滤器编译为BPF代码，并弹出一个窗口，显示生成的伪代码。这有助于理解您创建的捕获过滤器的工作。“编译所选BPF”按钮将引导您进入图4.5“编译结果”对话框“。

通过执行打开BPF JIT，可以在Linux上加速BPF的执行

$ echo 1> / proc / sys / net / core / bpf_jit_enable

如果它尚未启用。 要使更改持久，您可以使用sysfsutils。

管理接口“管理接口”按钮打开图4.6，“添加新接口”对话框，其中可以定义管道，扫描或隐藏本地接口，或添加远程接口(仅限Windows)。

二、捕获文件框架

有关捕获文件用法的说明，请参见第4.11节“捕获文件和文件模式”。

1、文件

此字段允许您指定将用于捕获文件的文件名。 默认情况下，此字段为空。 如果该字段留空，则捕获数据将存储在临时文件中。 有关详细信息，请参见第4.11节“捕获文件和文件模式”。

您还可以单击此字段右侧的按钮以浏览文件系统。

2、使用多个文件

如果达到特定的触发条件，Wireshark将自动切换到新文件，而不是使用单个文件。

3、使用pcapng格式

此复选框允许您指定Wireshark以pcapng格式保存捕获的数据包。 这种下一代捕获文件格式目前正在开发中。 如果选择多个接口进行捕获，则默认设置此复选框。 有关pcapng的更多详细信息，请参阅https://wiki.wireshark.org/Development/PcapNg。

4、每n兆字节的下一个文件

仅限多个文件。 在捕获给定数量的字节/千字节/兆字节/千兆字节后切换到下一个文件。 每n分钟下一个文件

仅限多个文件：在给定的秒数/分钟/小时/天之后切换到下一个文件。

5、带n个文件的环形缓冲区

仅限多个文件：使用给定数量的文件形成捕获文件的环形缓冲区。

6、n个文件后停止捕获

仅限多个文件：在切换到给定次数的下一个文件后停止捕获。

编辑点评：

我觉得棒棒糖味道很清淡：

用了快两年了，最近一直需要用到这款软件，还不错，真心向大家推荐下载！