網路流量分析軟體shark

1. wireshark怎麼抓包分析網路故障實戰

【WireShark概覽】
1、Wireshark 是網路報文分析工具。網路報文分析工具的主要作用是嘗試捕獲網路報文， 並嘗試顯示報文盡可能詳細的內容。過去的此類工具要麼太貴，要麼是非公開的。 直到Wireshark（Ethereal）出現以後，這種情況才得以改變。Wireshark可以算得上是今天能使用的最好的開源網路分析軟體。2、WireShark簡史：1997年，Gerald Combs 需要一個工具追蹤網路問題，並且想學習網路知識。所以他開始開發Ethereal (Wireshark項目以前的名稱) 以解決自己的需求。1998年，Ethreal0.2.0版誕生了。此後不久，越來越多的人發現了它的潛力，並為其提供了底層分析。2006年Ethreal改名為Wireshark。2008年，在經過了十年的發展後，Wireshark發布了1.0版本。3、WireShark的主要作用，就是可以抓取各種埠的報文，包括有線網口、無線網口、USB口、LoopBack口等等，從而就可以很方便地進行協議學習、網路分析、系統排錯等後續任務。4、不同平台下的WireShark：目前WireShark支持幾乎所有主流報文文件，包括pcap，cap ，pkt，enc等等。但是不同平台下的WireShark卻有功能上的不同。總體來說，Linux版本WireShark的功能和特性比Windows版本的要豐富和強大。例如，Linux版本的WireShark可以直接抓取USB介面報文，而Windows版本就不行。

Figure 1，Linux下的WireShark

Figure 2，Windows下WireShark

Figure 3，各平台下的WireShark所支持的協議

各平台下的WireShark支持的協議如上圖所示。從圖中可以看到Linux下的版本功能最強大，由於平台本身特性，可以使WireShark幾乎支持所有協議。但由於我們平時工作中主要抓取乙太網報文，且絕大部分的操作系統都是Windows，所以本文還是以Windows平台下的WireShark為例來進行說明。

【如何正確使用WireShark抓取報文】
1、WireShark組網拓撲。為了抓到HostA與HostB之間的報文，下面介紹幾種WireShark組網。
i.在線抓取：如果WireShark本身就是組網中的一部分，那麼，很簡單，直接抓取報文就行了。

ii. 串聯抓取：串聯組網是在報文鏈路中間串聯一個設備，利用這個中間設備來抓取報文。這個中間設備可以是一個HUB，利用HUB會對域內報文進行廣播的特性，接在HUB上的WireShark也能收到報文。

若是WireShark有雙網卡，正確設置網路轉發，直接串接在鏈路上。

也可以利用Tap分路器對來去的報文進行分路，把報文引到WireShark上。

串聯組網的好處是報文都必須經過中間設備，所有包都能抓到。缺點是除非原本就已經規劃好，不然要把報文鏈路斷開，插入一個中間設備，會中斷流量，所以一般用於學習研究，不適用於實際業務網以及工業現場乙太網。

iii. 並聯抓取：並聯組網是將現有流量通過現網設備本身的特性將流量引出來。
若是網路本身通過HUB組網的，那麼將WireShark連上HUB就可以。

若是交換機組網，那直接連上也能抓取廣播報文。

當然，最常用的還是利用交換機的鏡像功能來抓包。

並聯組網的優點是不用破壞現有組網，適合有業務的在線網路以及工業現場乙太網。缺點是HUB組網已經不常見，而交換機組網的設備開啟鏡像後，對性能有非常大的影響。

2、 WireShark的安裝。WireShark是免費開源軟體，在網上可以很輕松獲取到。Windows版的WireShark分為32位而64位兩個版本，根據系統的情況來決定安裝哪一個版本，雖然64位系統裝32位軟體也能使用，但裝相應匹配的版本，兼容性及性能都會好一些。在Windows下，WireShark的底層抓包工具是Winpcap，一般來說WireShark安裝包內本身就包含了對應可用版本的Winpcap，在安裝的時候注意鉤選安裝就可以。安裝過程很簡單，不再贅述。

3、使用WireShark抓取網路報文。Step1. 選擇需要抓取的介面，點選Start就開始抓包。

4、使用WireShark抓取MPLS報文。對於mpls報文，wireshark可以直接抓取帶MPLS標簽的報文。

5、使用WireShark抓取帶Vlan Tag的報文。早期網卡的驅動不會對VLAN TAG進行處理，而是直接送給上層處理，在這種環境下，WireShark可以正常抓到帶VLAN TAG的報文。而Intel，broadcom，marvell的網卡則會對報文進行處理，去掉TAG後再送到上層處理，所以WireShark在這種情況下通常抓不到VLAN TAG。這時我們需要針對這些網卡做一些設置，WireShark才能夠抓取帶VLAN TAG的報文。1）. 更新網卡的最新驅動。2）. 按照以下說明修改注冊表：a) Intel：HKEY_LOCAL_MACHINE\SYSTEM \ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318} \00xx（where xx is the instance of the network adapter that you need to see tags on. ）PCI或者PCI-X網卡增加dword:MonitorModeEnabled，通常設置為1即可 0 - disabled (Do not store bad packets, Do not store CRCs, Strip 802.1Q vlan tags) 1 - enabled (Store bad packets. Store CRCs. Do not strip 802.1Q vlan tags) PCI-Express網卡增加dword:MonitorMode，通常設置為1即可 0 - disabled (Do not store bad packets, Do not store CRCs, Strip 802.1Q vlan tags) 1 - enabled (Store bad packets. Store CRCs. Do not strip 802.1Q vlan btag) 2 - enabled strip vlan (Store bad packets. Store CRCs. Strip 802.1Q vlan tag as normal)；b) Broadcom：在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet下搜索，找到"TxCoalescingTicks"並確認這是唯一的，增加一個新的字元串值"PreserveVlanInfoInRxPacket"，賦值1。c) Marvell Yukon 88E8055 PCI-E 千兆網卡："HKLM\SYSTEM \CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318} \000"（where 000 is the number of the folder for the Marvel ethernet controller）增加DWORD：SkDisableVlanStrip：1；3）. 以Intel網卡為例，對網卡進行配置。選擇Intel網卡的本地連接，右鍵屬性

點擊「配置」按鈕。

在VLAN選項卡中，加入任意一個VLAN，激活介面的VLAN TAG上送功能。此時可以把「本地連接」介面看成是一個Trunk介面。

配置完VLAN後，如果發現系統禁用了「本地連接」介面，則只要啟用它，會看到網路連接中會出現一個新的子介面「本地連接2」。

在WireShark上查看抓取「本地連接」介面的報文。

可以看到已經可以抓到有VLAN TAG的報文了。

由於此時的子介面都是有VLAN屬性的，所以無法當成正常的網卡來用。如果想要在抓VLAN包的同時，還能夠與網路正常通信，只要再新建一個未標記的VLAN就行。

這時，會生成一個對應的子介面「本地連接3」，在這個介面上正確配置網路參數，就可以正常通信了。

2. 有沒有會用wireshark的

除非能讓流量都經過你的網卡，否則全網流量基本不可能.（所以要用鏡像口或者用hub）
統計性能：wireshark倒是有統計菜單，可以統計出各種協議的流量什麼的，比如包數和位元組數，也有速率。

顯示實際信息？這是什麼意思呢？ 你可以隨便去wireshark網站上下載一些截包，各種類型的都有。wireshark能分析出來。比如voip這塊的rtp流就有高級的分析選項。

明文？直接去下載一個ftp的截包就可以了。telnet也可以，很多早期協議都是明文傳輸的。

3. 如何用wireshark查看網路流量

（1）確定Wireshark的位置。如果沒有一個正確的位置，啟動Wireshark後會花費很長的時間捕獲一些與自己無關的數據。
（2）選擇捕獲介面。一般都是選擇連接到Internet網路的介面，這樣才可以捕獲到與網路相關的數據。否則，捕獲到的其它數據對自己也沒有任何幫助。
（3）使用捕獲過濾器。通過設置捕獲過濾器，可以避免產生過大的捕獲文件。這樣用戶在分析數據時，也不會受其它數據干擾。而且，還可以為用戶節約大量的時間。

（4）使用顯示過濾器。通常使用捕獲過濾器過濾後的數據，往往還是很復雜。為了使過濾的數據包再更細致，此時使用顯示過濾器進行過濾。
（5）使用著色規則。通常使用顯示過濾器過濾後的數據，都是有用的數據包。如果想更加突出的顯示某個會話，可以使用著色規則高亮顯示。
（6）構建圖表。如果用戶想要更明顯的看出一個網路中數據的變化情況，使用圖表的形式可以很方便的展現數據分布情況。即可查看網路流量。

4. Wireshark流量分析軟體解析pcap格式數據包的每條數據流是不是雙向傳輸的

不是的.
pcap文件中的,或者現場抓包得到的,都是乙太網中的網路數據包.是以數據包為單位的.你在wireshark中上面列表中看到的每一行,都是一個乙太網數據包.而機器之間的通信,都是需要經過多個數據包的發送與接收,才能完成的.
你可以在上面的filter那裡設置過濾的協議,將列表中雜亂的數據包過濾一下,僅顯示某個協議的數據包,列表中,就都是這個協議及這個協議承載的協議的數據包了.
至於雙向傳輸,也需要多個數據包的傳輸交互理解後,才可以完成,所以每個數據包肯定是單向的.
數據流的含義比較模糊,不是很確定,所以不方便回答

5. 有哪些抓包工具

第五名：TCPDump（網路類）

根據白帽子黑客抓包工具的使用率，將TCPmp排在第五的位置。

第一名：BurpSuite (web 報文)

BurpSuite是現在Web安全滲透的必備工具。

它是一個集成平台，平台中匯集了可以用來攻擊web應用的工具，這些工具有很多介面，共享一個擴展性比較強的框架。

6. wireshark如何抓取別人電腦的數據包

1、在電腦中，打開wireshark軟體。

7. wireshark win64軟體怎麼用

什麼是wireshark
Wireshark 是世界上最流行的網路分析工具。這個強大的工具可以捕捉網路
中的數據，並為用戶提供關於網路和上層協議的各種信息。與很多其他網路工具
一樣，wireshark 也使用pcap network library 來進行封包捕捉。
下載wireshark
網路搜索wireshark 的官方主頁，我們可以下載wireshark 的安裝文件，在這里我們既可以下載到最新的發布版本軟體安裝文件，
也可以下載到以前發布的舊版本軟體安裝文件。
Wireshark 支持多個操作系統，在下載安裝文件的時候注意選擇與自己PC
的操作系統匹配的安裝文件。下面的介紹我們都是以windows XP 系統為例。
選擇組件（Choose Components）
Wireshark——GUI 網路分析工具
TSshark-TShark ——命令行的網路分析工具
插件/擴展(Wireshark,TShark 分析引擎):
 Dissector Plugins——分析插件：帶有擴展分析的插件
 Tree Statistics Plugins——樹狀統計插件：統計工具擴展
 Mate - Meta Analysis and Tracing Engine (experimental)——可配置的
顯示過濾引擎。
 SNMP MIBs——SNMP，MIBS 的詳細分析。
Tools/工具(處理捕捉文件的附加命令行工具)。
 Editcap 是一個讀取捕捉文件的程序，還可以將一個捕捉文件力的部分或
所有信息寫入另一個捕捉文件。
 Tex2pcap 是一個讀取ASCII hex，寫入數據到libpcap 個文件的程序。
 Mergecap 是一個可以將多個播捉文件合並為一個的程序。
 Capinfos 是一個顯示捕捉文件信息的程序。
User』s Guide 用戶手冊——本地安裝的用戶手冊。如果不安裝用戶手冊，幫
助菜單的大部分按鈕的結果可能就是訪問internet。

選擇附加任務（Select Additional Tasks）
Start Menu Item——增加一些快捷方式到開始菜單
Desktop Icon——增加Wireshark 圖標到桌面
Quick Launch Icon——增加一個Wireshark 圖標到快速啟動工具欄
Associate file extensions to Wireshark-Wireshark——將捕捉包默認打開方式關
聯到Wireshark

5
選擇安裝目錄（Choose Install Location）
安裝路徑默認為C 盤，用戶可以根據自己的需求更改默認安裝路徑。
步驟閱讀
6
安裝WinPcap（Install WinPcap）

Wireshark 安裝包里包含了最新版的WinPcap 安裝包。如果您沒有安裝
WinPcap 。您將無法捕捉網路流量。但是您還是可以打開以保存的捕捉包文件。
當一切都選擇完成後，點擊安裝按鈕等待完成安裝即可。

8. 流量,wireshark。+metasploit幹嘛用嗎

咨詢記錄 · 回答於2021-11-03

9. 網路數據包分析軟體

目前使用的比較多的網路數據包分析軟體主要有：Wireshark（或者是：Ethereal）。依靠這些軟體抓取需要的信息包：首先可以根據自己的需要，設置各種靈活的過濾條件，捕獲你所需要的信息包，然後對各種抓取到的信息包進行數據包分析，尤其在網路出現各種故障時，該技術顯得特別有用。另外，就是可以捕獲到非加密傳輸的用戶名和密碼。（例如：ftp 傳輸、telnet傳輸等都是明文傳輸）

10. 適合Windows7的網路抓包工具有哪些

1、sniffer

嗅探器是一種監視網路數據運行的軟體設備，協議分析器既能用於合法網路管理也能用於竊取網路信息。網路運作和維護都可以採用協議分析器:如監視網路流量、分析數據包、監視網路資源利用、執行網路安全操作規則、鑒定分析網路數據以及診斷並修復網路問題等等。非法嗅探器嚴重威脅網路安全性，這是因為它實質上不能進行探測行為且容易隨處插入，所以網路黑客常將它作為攻擊武器。

2、wireshark

Wireshark(前稱Ethereal)是一個網路封包分析軟體。網路封包分析軟體的功能是擷取網路封包，並盡可能顯示出最為詳細的網路封包資料。Wireshark使用WinPCAP作為介面，直接與網卡進行數據報文交換。

3、WinNetCap

使用WinPcap開發包，嗅探流過網卡的數據並智能分析過濾，快速找到所需要的網路信息(音樂、視頻、圖片等)。

4、WinSock Expert

這是一個用來監視和修改網路發送和接收數據的程序，可以用來幫助您調試網路應用程序，分析網路程序的通信協議(如分析OICQ的發送接收數據)，並且在必要的時候能夠修改發送的數據。