Wiresahrk基本概念
Wireshark 是網絡包分析工具,主要作用是嘗試捕獲網絡包, 並嘗試顯示數據包盡可能詳細的情況
Wireshark不會處理網絡事務,它僅僅是“測量”(監視)網絡
Wireshark是開源軟件項目,不用擔心授權和付費問題
Wiresahrk簡史
1997年以後,Gerald Combs 需要一個工具追蹤網絡問題並想學習網絡知識,他開始開發Ethereal
Ethereal是第一版,經過數次開發,停頓,1998年,經過這麽長的時間,補丁,Bug報告,以及許多的鼓勵,0.2.0版誕生了。Ethereal就是以這種方式成功的
此後不久,Gilbert Ramirez發現它的潛力,並為其提供了底層分析
1998年10月,Guy Harris正尋找一種比TcpView更好的工具,他開始為Ethereal進行改進,並提供分析
從那以後,幫助Ethereal的人越來越多,他們的開始幾乎都是由於一些尚不被Ethereal支持的協議,所以他們拷貝了已有的解析器,並為團隊提供了改進回饋
2006年項目Moved House(這句不知道怎麽翻譯)並重新命名為:Wireshark.
Wiresahrk結構
Wireshark使用WinPCAP作為接口,直接與網卡進行數據報文交換,不會對網絡封包產生內容的修改,它只會反映出目前流通的封包資訊。 Wireshark本身也不會送出封包至網絡上
網絡嗅探器工作原理
收集:從網卡上收集二進制信息(將網卡設置成混雜模式,,抓包工具默認設置)
轉換:將捕獲的二進制信息轉換成可讀形式
分析:對捕獲和轉換後的數據進行分析
混雜模式:能夠允許網卡查看所有流經網絡線路數據包的驅動模式
抓包原理:
1、抓包本地網卡進出網絡流量,針對自己網卡不能針對整個局域網
2、集線器網絡,集線器是網絡層設備,不學習數據包,廣播所有接口(已經很少有這種環境)
3、鏡像端口,將數據拷貝一份到一個端口,交換機為二層設備,第一次廣播,第二次學習地址轉發
5、ARP欺騙
端口鏡像註意:在進行多個端口同時鏡像到一個端口的時候註意單個端口的流量負載能力
抓包意義:
1、分析報文協議格式對OSI七層模式認識
2、排除網絡故障非常有利
3、解決網絡安全問題
sniffer
fiddler、httpwatch針對http協議
本文出自 “馬廣傑——博客” 博客,請務必保留此出處http://maguangjie.blog.51cto.com/11214671/1927752
Wiresahrk基本概念