WireShark是一个网络封包分析软件。其功能是记录网络封包,并尽可能显示出最为详细的网络封包信息。WireShark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
通俗理解:一个记录网络封包软件,你可以通过他了解到网络封包的一些信息
如果你没有将WireShark放在一个合适的位置,那么你很可能会花费很长的时间,但是捕获许多与你本次目的无关的数据。
例:一般都会放在核心网络区、出口。这样就可以捕获整个内网和外网与内网通信的所有流量
一般选择连接到Internet网络的接口,这样才可以捕获到与网络相关的数据
是不是觉得很头疼无从下手?其实很简单,是因为这里面涵盖了所有的数据封包,数量之多,望而却步。很多的小伙伴兴致冲冲的打开WireShark想要大展身手操作和学习一番,看到这幅画面很难不被劝退。所以这个时候,使用过滤器过滤掉我们不需要的数据封包就至关重要,它能保证我们在分析数据的时候,不被其它数据干扰。而且,可以节约我们大量的时间。
这里就是上述,捕获过滤器的细加工,往往通过捕获过滤器过滤后的数据,依然很复杂,为了使过滤的数据包更加细致一些,此时使用显示过滤器进行过滤。
听到这里肯定会有很多小伙伴想问,这个捕获过滤器和显示过滤器有什么区别?这里我简单的解释一下:
WireShark根据一定的进行捕获数据包WireShark按照一定的规则对捕获到的数据包进行筛显示当我们使用过滤器进行过滤后的数据包信息,一般都是我们所需要的信息了,但这是当数据包的数量依然庞大时,对于我们分析依然比较困难,这时候我们给不同的数据包打上不同的颜色来区分。
例如:我想突出显示某个会话,可以使用着色规则高亮显示
通过图表的方式可以很直观、明显地看出一个网络中数据的变化情况,以及数据分布的情况。
我们都知道在网络中,如果要传输一个较大的数据时,需要将数据切片,分成多个包进行传输。这时候我们就需要使用数据重组的方法来抓取完整的数据。WireShark可以重组一个会话中不同数据包的信息,或是重组一个完整的图片或文件。
(ps:本人是菜鸟一枚,仅仅是分享学习笔记,若笔记中有疏漏或者差错,欢迎指出!互相交流,共同学习,共同进步