2.3.1　Wireshark工具简介

Wireshark是当前较为流行的一种计算机网络调试和数据包嗅探软件，通俗地说就是从各种网络中抓取正在传输的数据包，并对数据包的内容进行分析和展示。Wireshark基本类似于tcpdump，但Wireshark还具有设计完美的GUI和众多分类信息及过滤选项。用户在使用Wireshark时，将网卡配置为混合模式，可以查看到网络中发送的所有通信流量。

Wireshark应用于故障修复、分析、软件和协议开发以及教育等领域，可以辅助网络管理员来解决碰到的网络问题，辅助网络安全人员检查安全隐患，帮助开发人员测试协议的执行状况，帮助网络技术人员学习和了解网络协议的运行过程。它具有用户对协议分析器所期望的所有标准特征，并具有其他同类产品所不具备的有关特征。Wireshark适用于当前所有较为流行的计算机系统，包括UNIX、Linux和Windows。

Wireshark可以实时地从网络连接处捕获数据，或者从被捕获文件处读取数据；Wireshark可以读取从tcpdump（libpcap）、网络通用嗅探器（被压缩和未被压缩）、SnifferTM专业版、NetXrayTM、Sun snoop和atmsnoop、Shomiti/Finisar、AIX的iptrace、Microsoft的网络监控器、Novell的LANalyzer、RADCOM的WAN/LAN分析器、ISDN4BSD项目的HPUX nettl和i4btrace、Cisco安全IDS iplog和pppd日志（pppdump格式）、WildPacket的EtherPeek/TokenPeek/AiroPeek处捕获的文件。此外Wireshark也能从Lucent/Ascend WAN路由器和Toshiba ISDN路由器中读取跟踪报告，还能从VMS的TCP/IP读取输出文本。

Wireshark支持在多种类型网络中抓取数据包，包括以太网、FDDI、PPP、令牌环、IEEE 802.11、ATM上的IP和回路接口上读取实时数据。

Wireshark可以通过editcap程序的命令行方式有计划地编辑或修改被捕获文件。输出的文件可以被保存或打印为纯文本或PostScript格式。Wireshark能够通过显示过滤器精确显示出关注的数据，所有或部分被捕获的网络跟踪报告都可以保存到磁盘中。