网络流量分析软件shark

1. wireshark怎么抓包分析网络故障实战

【WireShark概览】
1、Wireshark 是网络报文分析工具。网络报文分析工具的主要作用是尝试捕获网络报文， 并尝试显示报文尽可能详细的内容。过去的此类工具要么太贵，要么是非公开的。 直到Wireshark（Ethereal）出现以后，这种情况才得以改变。Wireshark可以算得上是今天能使用的最好的开源网络分析软件。2、WireShark简史：1997年，Gerald Combs 需要一个工具追踪网络问题，并且想学习网络知识。所以他开始开发Ethereal (Wireshark项目以前的名称) 以解决自己的需求。1998年，Ethreal0.2.0版诞生了。此后不久，越来越多的人发现了它的潜力，并为其提供了底层分析。2006年Ethreal改名为Wireshark。2008年，在经过了十年的发展后，Wireshark发布了1.0版本。3、WireShark的主要作用，就是可以抓取各种端口的报文，包括有线网口、无线网口、USB口、LoopBack口等等，从而就可以很方便地进行协议学习、网络分析、系统排错等后续任务。4、不同平台下的WireShark：目前WireShark支持几乎所有主流报文文件，包括pcap，cap ，pkt，enc等等。但是不同平台下的WireShark却有功能上的不同。总体来说，Linux版本WireShark的功能和特性比Windows版本的要丰富和强大。例如，Linux版本的WireShark可以直接抓取USB接口报文，而Windows版本就不行。

Figure 1，Linux下的WireShark

Figure 2，Windows下WireShark

Figure 3，各平台下的WireShark所支持的协议

各平台下的WireShark支持的协议如上图所示。从图中可以看到Linux下的版本功能最强大，由于平台本身特性，可以使WireShark几乎支持所有协议。但由于我们平时工作中主要抓取以太网报文，且绝大部分的操作系统都是Windows，所以本文还是以Windows平台下的WireShark为例来进行说明。

【如何正确使用WireShark抓取报文】
1、WireShark组网拓扑。为了抓到HostA与HostB之间的报文，下面介绍几种WireShark组网。
i.在线抓取：如果WireShark本身就是组网中的一部分，那么，很简单，直接抓取报文就行了。

ii. 串联抓取：串联组网是在报文链路中间串联一个设备，利用这个中间设备来抓取报文。这个中间设备可以是一个HUB，利用HUB会对域内报文进行广播的特性，接在HUB上的WireShark也能收到报文。

若是WireShark有双网卡，正确设置网络转发，直接串接在链路上。

也可以利用Tap分路器对来去的报文进行分路，把报文引到WireShark上。

串联组网的好处是报文都必须经过中间设备，所有包都能抓到。缺点是除非原本就已经规划好，不然要把报文链路断开，插入一个中间设备，会中断流量，所以一般用于学习研究，不适用于实际业务网以及工业现场以太网。

iii. 并联抓取：并联组网是将现有流量通过现网设备本身的特性将流量引出来。
若是网络本身通过HUB组网的，那么将WireShark连上HUB就可以。

若是交换机组网，那直接连上也能抓取广播报文。

当然，最常用的还是利用交换机的镜像功能来抓包。

并联组网的优点是不用破坏现有组网，适合有业务的在线网络以及工业现场以太网。缺点是HUB组网已经不常见，而交换机组网的设备开启镜像后，对性能有非常大的影响。

2、 WireShark的安装。WireShark是免费开源软件，在网上可以很轻松获取到。Windows版的WireShark分为32位而64位两个版本，根据系统的情况来决定安装哪一个版本，虽然64位系统装32位软件也能使用，但装相应匹配的版本，兼容性及性能都会好一些。在Windows下，WireShark的底层抓包工具是Winpcap，一般来说WireShark安装包内本身就包含了对应可用版本的Winpcap，在安装的时候注意钩选安装就可以。安装过程很简单，不再赘述。

3、使用WireShark抓取网络报文。Step1. 选择需要抓取的接口，点选Start就开始抓包。

4、使用WireShark抓取MPLS报文。对于mpls报文，wireshark可以直接抓取带MPLS标签的报文。

5、使用WireShark抓取带Vlan Tag的报文。早期网卡的驱动不会对VLAN TAG进行处理，而是直接送给上层处理，在这种环境下，WireShark可以正常抓到带VLAN TAG的报文。而Intel，broadcom，marvell的网卡则会对报文进行处理，去掉TAG后再送到上层处理，所以WireShark在这种情况下通常抓不到VLAN TAG。这时我们需要针对这些网卡做一些设置，WireShark才能够抓取带VLAN TAG的报文。1）. 更新网卡的最新驱动。2）. 按照以下说明修改注册表：a) Intel：HKEY_LOCAL_MACHINE\SYSTEM \ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318} \00xx（where xx is the instance of the network adapter that you need to see tags on. ）PCI或者PCI-X网卡增加dword:MonitorModeEnabled，通常设置为1即可 0 - disabled (Do not store bad packets, Do not store CRCs, Strip 802.1Q vlan tags) 1 - enabled (Store bad packets. Store CRCs. Do not strip 802.1Q vlan tags) PCI-Express网卡增加dword:MonitorMode，通常设置为1即可 0 - disabled (Do not store bad packets, Do not store CRCs, Strip 802.1Q vlan tags) 1 - enabled (Store bad packets. Store CRCs. Do not strip 802.1Q vlan btag) 2 - enabled strip vlan (Store bad packets. Store CRCs. Strip 802.1Q vlan tag as normal)；b) Broadcom：在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet下搜索，找到"TxCoalescingTicks"并确认这是唯一的，增加一个新的字符串值"PreserveVlanInfoInRxPacket"，赋值1。c) Marvell Yukon 88E8055 PCI-E 千兆网卡："HKLM\SYSTEM \CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318} \000"（where 000 is the number of the folder for the Marvel ethernet controller）增加DWORD：SkDisableVlanStrip：1；3）. 以Intel网卡为例，对网卡进行配置。选择Intel网卡的本地连接，右键属性

点击“配置”按钮。

在VLAN选项卡中，加入任意一个VLAN，激活接口的VLAN TAG上送功能。此时可以把“本地连接”接口看成是一个Trunk接口。

配置完VLAN后，如果发现系统禁用了“本地连接”接口，则只要启用它，会看到网络连接中会出现一个新的子接口“本地连接2”。

在WireShark上查看抓取“本地连接”接口的报文。

可以看到已经可以抓到有VLAN TAG的报文了。

由于此时的子接口都是有VLAN属性的，所以无法当成正常的网卡来用。如果想要在抓VLAN包的同时，还能够与网络正常通信，只要再新建一个未标记的VLAN就行。

这时，会生成一个对应的子接口“本地连接3”，在这个接口上正确配置网络参数，就可以正常通信了。

2. 有没有会用wireshark的

除非能让流量都经过你的网卡，否则全网流量基本不可能.（所以要用镜像口或者用hub）
统计性能：wireshark倒是有统计菜单，可以统计出各种协议的流量什么的，比如包数和字节数，也有速率。

显示实际信息？这是什么意思呢？ 你可以随便去wireshark网站上下载一些截包，各种类型的都有。wireshark能分析出来。比如voip这块的rtp流就有高级的分析选项。

明文？直接去下载一个ftp的截包就可以了。telnet也可以，很多早期协议都是明文传输的。

3. 如何用wireshark查看网络流量

（1）确定Wireshark的位置。如果没有一个正确的位置，启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。
（2）选择捕获接口。一般都是选择连接到Internet网络的接口，这样才可以捕获到与网络相关的数据。否则，捕获到的其它数据对自己也没有任何帮助。
（3）使用捕获过滤器。通过设置捕获过滤器，可以避免产生过大的捕获文件。这样用户在分析数据时，也不会受其它数据干扰。而且，还可以为用户节约大量的时间。

（4）使用显示过滤器。通常使用捕获过滤器过滤后的数据，往往还是很复杂。为了使过滤的数据包再更细致，此时使用显示过滤器进行过滤。
（5）使用着色规则。通常使用显示过滤器过滤后的数据，都是有用的数据包。如果想更加突出的显示某个会话，可以使用着色规则高亮显示。
（6）构建图表。如果用户想要更明显的看出一个网络中数据的变化情况，使用图表的形式可以很方便的展现数据分布情况。即可查看网络流量。

4. Wireshark流量分析软件解析pcap格式数据包的每条数据流是不是双向传输的

不是的.
pcap文件中的,或者现场抓包得到的,都是以太网中的网络数据包.是以数据包为单位的.你在wireshark中上面列表中看到的每一行,都是一个以太网数据包.而机器之间的通信,都是需要经过多个数据包的发送与接收,才能完成的.
你可以在上面的filter那里设置过滤的协议,将列表中杂乱的数据包过滤一下,仅显示某个协议的数据包,列表中,就都是这个协议及这个协议承载的协议的数据包了.
至于双向传输,也需要多个数据包的传输交互理解后,才可以完成,所以每个数据包肯定是单向的.
数据流的含义比较模糊,不是很确定,所以不方便回答

5. 有哪些抓包工具

第五名：TCPDump（网络类）

根据白帽子黑客抓包工具的使用率，将TCPmp排在第五的位置。

第一名：BurpSuite (web 报文)

BurpSuite是现在Web安全渗透的必备工具。

它是一个集成平台，平台中汇集了可以用来攻击web应用的工具，这些工具有很多接口，共享一个扩展性比较强的框架。

6. wireshark如何抓取别人电脑的数据包

1、在电脑中，打开wireshark软件。

7. wireshark win64软件怎么用

什么是wireshark
Wireshark 是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络
中的数据，并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具
一样，wireshark 也使用pcap network library 来进行封包捕捉。
下载wireshark
网络搜索wireshark 的官方主页，我们可以下载wireshark 的安装文件，在这里我们既可以下载到最新的发布版本软件安装文件，
也可以下载到以前发布的旧版本软件安装文件。
Wireshark 支持多个操作系统，在下载安装文件的时候注意选择与自己PC
的操作系统匹配的安装文件。下面的介绍我们都是以windows XP 系统为例。
选择组件（Choose Components）
Wireshark——GUI 网络分析工具
TSshark-TShark ——命令行的网络分析工具
插件/扩展(Wireshark,TShark 分析引擎):
 Dissector Plugins——分析插件：带有扩展分析的插件
 Tree Statistics Plugins——树状统计插件：统计工具扩展
 Mate - Meta Analysis and Tracing Engine (experimental)——可配置的
显示过滤引擎。
 SNMP MIBs——SNMP，MIBS 的详细分析。
Tools/工具(处理捕捉文件的附加命令行工具)。
 Editcap 是一个读取捕捉文件的程序，还可以将一个捕捉文件力的部分或
所有信息写入另一个捕捉文件。
 Tex2pcap 是一个读取ASCII hex，写入数据到libpcap 个文件的程序。
 Mergecap 是一个可以将多个播捉文件合并为一个的程序。
 Capinfos 是一个显示捕捉文件信息的程序。
User’s Guide 用户手册——本地安装的用户手册。如果不安装用户手册，帮
助菜单的大部分按钮的结果可能就是访问internet。

选择附加任务（Select Additional Tasks）
Start Menu Item——增加一些快捷方式到开始菜单
Desktop Icon——增加Wireshark 图标到桌面
Quick Launch Icon——增加一个Wireshark 图标到快速启动工具栏
Associate file extensions to Wireshark-Wireshark——将捕捉包默认打开方式关
联到Wireshark

5
选择安装目录（Choose Install Location）
安装路径默认为C 盘，用户可以根据自己的需求更改默认安装路径。
步骤阅读
6
安装WinPcap（Install WinPcap）

Wireshark 安装包里包含了最新版的WinPcap 安装包。如果您没有安装
WinPcap 。您将无法捕捉网络流量。但是您还是可以打开以保存的捕捉包文件。
当一切都选择完成后，点击安装按钮等待完成安装即可。

8. 流量,wireshark。+metasploit干嘛用吗

咨询记录 · 回答于2021-11-03

9. 网络数据包分析软件

目前使用的比较多的网络数据包分析软件主要有：Wireshark（或者是：Ethereal）。依靠这些软件抓取需要的信息包：首先可以根据自己的需要，设置各种灵活的过滤条件，捕获你所需要的信息包，然后对各种抓取到的信息包进行数据包分析，尤其在网络出现各种故障时，该技术显得特别有用。另外，就是可以捕获到非加密传输的用户名和密码。（例如：ftp 传输、telnet传输等都是明文传输）

10. 适合Windows7的网络抓包工具有哪些

1、sniffer

嗅探器是一种监视网络数据运行的软件设备，协议分析器既能用于合法网络管理也能用于窃取网络信息。网络运作和维护都可以采用协议分析器:如监视网络流量、分析数据包、监视网络资源利用、执行网络安全操作规则、鉴定分析网络数据以及诊断并修复网络问题等等。非法嗅探器严重威胁网络安全性，这是因为它实质上不能进行探测行为且容易随处插入，所以网络黑客常将它作为攻击武器。

2、wireshark

Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

3、WinNetCap

使用WinPcap开发包，嗅探流过网卡的数据并智能分析过滤，快速找到所需要的网络信息(音乐、视频、图片等)。

4、WinSock Expert

这是一个用来监视和修改网络发送和接收数据的程序，可以用来帮助您调试网络应用程序，分析网络程序的通信协议(如分析OICQ的发送接收数据)，并且在必要的时候能够修改发送的数据。