Wireshark是一种流行,免费和开源的数据包捕获工具,它使网络和安全管理员能够对通过网络移动的流量进行“深入潜水”分析。
Wireshark可以用于各种目的,包括嗅探安全问题,解决网络性能问题,流量优化或作为应用程序开发和测试过程的一部分。
Wireshark做什么?
Wireshark主要用于捕获通过网络移动的数据包。该工具允许用户将网络接口控制器(NICS)放入混杂模式,以观察大多数流量,甚至是单播流量,这些流量不会发送到控制器的MAC地址。但是,这样做通常需要超级用户权限,并且可能受到某些网络的限制。
即使没有这种能力,Wireshark也能够嗅出大多数流过网络的数据包,无论OS,网络协议,加密方法或文件格式如何。
Wireshark最初是在Solaris和Linux上运行的,但现在几乎在所有操作系统上运行,包括Windows和MacOS。源代码也适用于想要修改Wireshark在唯一环境中运行的人。所有版本的Wireshark和源代码都是完全开源的,可以下载免费。
该工具可以实时读取通过所有通用协议通过网络或设备流动的数据:有线以太网,无线IEEE802.11,WAN协议PPP/HDLC,蓝牙,USB等。
对于加密流量,Wireshark为许多协议提供了自动解密和支持,包括IPSEC,ISAKMP,Kerberos,SNMPV3,SSL/TLS,WEP和WPA/WPA2。
截至最新版本的Wireshark,也支持大多数捕获文件格式,以便以后可以分析流量。其中包括TCPDUMP(LIBPCAP),PCAP NG,CATAPULT DCT2000,CISCO SECURE IDS IPLOG,MICROSOFT网络监视器,网络通用Sniffer(压缩和未压缩),Sniffer Pro,Netxray,Netxray,Network Instruments Observer,NetScreen Snop,Netscreen Snoop,Radcom WAN/LAN LAN LAN COMCOM WAN/LAN LAN LAN LAN LAN LAN/LAN LAN LAN LAN LAN/LAN LAN LAN LAN/LAN LAN LAN。分析仪,Shomiti/Finisar测量师,Tektronix K12XX,Visual Networks Visual Uptime,Wildpackets,Etherpeek,Tokenpeek,Airopeek等。输出也可以导出到XML,PostScript,CSV或纯文本文件。
Wireshark易于使用吗?
该工具有两个不同的版本。TSHARK实用程序版本使用没有图形的命令行类型接口。更受欢迎的Wireshark版本具有图形用户界面,旨在能够被各种技能水平的人使用,而不仅仅是专家或程序员。Wireshark目前正在3.6.5版上使用,社区目前正在制定单独的开发版本,编号为3.7.0。
Wireshark是一个免费的开源计划,这一事实无疑是其遗产,这是当今正在使用的最受欢迎的工具之一。但是,图形界面也是一个很大的吸引力,尤其是对于那些未经训练如何使用或根本不喜欢的人来说,在许多实用程序程序中找到的命令行类型接口。
虽然有关所有数据包和网络流量的数据可用于以后分析,但图形用户界面使用户可以坐下来观看实时流入其网络的数据包。界面本身是可配置的。
Wireshark可以根据匹配数据包中特定字段的规则设置为颜色代码特定的数据包。在高水平上,这可能有助于分开不同的数据包类型,这些数据包类型将显示网络的使用方式。例如,IP上的语音(VoIP)数据可以将接口中的一种颜色设置为一种颜色,而加密的数据包可以指定为另一个颜色。Wireshark为着色数据包提供了一套全面的规则,同时还可以让用户设置并修改这些默认值。
在更高级别上,Wireshark可用于查找和突出显示非常具体的数据包,例如匹配已知攻击模式的数据包。这使其成为威胁狩猎的有用工具,以红色(或用户想要的任何颜色)突出显示了特定的数据包,以提醒调查人员在网络中的存在。
谁创建了Wireshark?
该工具最初是由杰拉尔德梳子在1998年。当时,他为一个小型互联网服务提供商(ISP)工作,需要一种方法来分析和优化该ISP的许多租户生成的流量。
数据包和交通分析仪的存在于1998年,但其中大多数的价格约为1,500美元,这对他的公司来说太昂贵了。另外,大多数商业工具不支持Solaris和Linux,这是该ISP使用的主要服务器类型。
由于商业计划要么太昂贵,要么没有正确的功能,因此Combs决定创建自己的工具来帮助分析和改善网络流量。
什么是空灵?
Wireshark最初称为空灵。但是,即使Combs拥有源代码,他也没有拥有由Network Integration Services拥有的名称的版权。
当他在2006年转换作业时,他使用了大多数源代码来创建Wireshark,并因版权问题而更改名称。一段时间以来,空灵和Wireshark的发展都在同时进行。但是,此后在空灵上进行的工作已经停止,并且在线发布的空灵安全公告现在建议用户切换到Wireshark。
虽然梳子在Wireshark的发展中仍然起着非常积极的作用,但今天的许多工作已转移到活跃的社区支持该工具的开发人员和程序员。这项工作类似于支持其他广受欢迎的开源网络工具的工作,像nmap。
Wireshark社区甚至举办了每年的Sharkfest活动,以讨论和庆祝开源实用工具中的新进步。2021年9月的最新鲨鱼节大会是虚拟的,梳子是主题演讲者。
Wireshark的未来
尽管Combs仍然非常活跃地推进该工具并保持其相关性,但很明显,Wireshark的开发可能已经超越了单个程序员可以做的事情,至少很快就可以了。
值得庆幸的是,对于Wireshark而言,一个充满活力的有才华的程序员社区已加紧帮助保持24年历史的工具不仅相关,而且在许多情况下,它将其固定为当今数据包捕获和流量分析的最佳工具。这作者页面对于Wireshark,现在列出了数百个名称。
并非Wireshark社区中的每个人都是程序员。根据Wireshark网站,大多数社区成员分为三组。首先,有开发人员通过改善Wireshark及其相关服务为项目增值。接下来是教人们如何使用Wireshark和分析网络的教育者。最后,社区由使用Wireshark学习和分析其网络的用户组成。
Wireshark社区非常活跃,与其他一些在线社区不同,非常重视执行行为守则在其成员中。用户社区似乎没有限制行为守则,这可能是Wireshark社区继续蓬勃发展和成长的原因之一。
社区还得到了支持并了解该计划中的发展通过博客和各种社交媒体平台喜欢Twitter。即使该应用程序是开源的,并且可以免费下载和使用,Wireshark也得到了一些公司赞助商这通过Wireshark基金会为教育和外展计划做出了贡献。
拥有非常有用和高效的工具,易于使用的图形界面以及一个活跃的程序员,教育工作者和用户的社区的结合,可确保Wireshark能够跟上时代的步伐。