Wireshark中文说明书(带目录).pdf

Wireshark是一款网络包分析工具，主要作用是捕获网络包，并以尽可能详细的方式展示这些包的内容。它可以被视作网络上的测量工具，类似于电度表测量电能消耗，Wireshark测量网络数据流量。Wireshark之所以特别，是因为它出现之前网络分析工具要么昂贵，要么不公开。Wireshark的开源性质，使得任何人都可以免费使用，并且它是由GPL协议发布的，意味着所有源代码都是免费的，任何人都可以在遵守GPL框架的前提下对其进行修改和添加新的功能。 Wireshark的主要应用包括帮助网络管理员解决网络问题，网络安全工程师检测安全风险，开发人员测试协议执行情况，以及用于学习网络协议。Wireshark具有广泛的特性，比如跨平台支持（支持UNIX和Windows），能够实时捕捉网络接口的包，能够详细显示包中的协议信息，支持打开和保存捕获的包，能够导入导出其他网络分析软件的数据格式，提供多种过滤和查找包的工具，能够以不同的颜色过滤显示包，并创建各种统计分析。 Wireshark能够捕捉多种类型的网络接口数据包，包括无线局域网接口，不过对于不同类型的网络接口，支持情况可以在Wireshark的官方网站找到详细说明。Wireshark也支持多种其他程序捕获的数据包文件，并且它能够将捕获的文件输出为其他网络分析软件所支持的格式。Wireshark支持多种协议的解码，并且是一个开源项目。 需要注意的是，Wireshark是一个网络分析工具，不是入侵检测系统。它不会警告网络上发生的安全问题，但如果出现了不寻常的网络行为，Wireshark可以帮助用户查看发生了什么。Wireshark也不处理网络事务，它仅用于“测量”或监视网络，不发送网络包或进行其他交互性的操作。 要安装并运行Wireshark，用户需要具备一定的软硬件条件。官方给出的只是最小需求，但在繁忙的网络环境下，捕捉大量数据包可能会迅速填满硬盘，因此需要有高速的CPU、大量内存和足够的磁盘空间。如果内存不足，Wireshark可能会异常终止。Wireshark作为一个对处理器时间敏感的应用，在多处理器或多线程系统环境中不会比单处理器运行得更快，除了在实时更新包列表的时候，捕捉和显示包可能会分配在不同的处理器上运行。在Microsoft Windows平台上，Wireshark需要至少32位的奔腾处理器，至少128MB的系统内存和至少75MB的可用磁盘空间，同时推荐更高的处理器频率和内存容量。 在网卡需求方面，Wireshark支持所有Windows支持的以太网卡，并且有特定的无线局域网卡列表供参考。如果要捕捉特定的网络接口类型，可以访问Wireshark官方提供的相关文档。 Wireshark是网络分析领域内不可或缺的工具，它的开源性、强大的功能和跨平台特性使得它成为网络管理员、安全工程师、开发人员甚至是网络协议学习者的首选工具。然而，使用Wireshark需要一定的技术知识，因为网络包分析涉及到网络协议、数据包结构、过滤规则等多个技术层面。