官网 https://www.wireshark.org/#download

wireshark : 功能强大的 网络数据 捕获工具 可以分析网络数据流量 第一时间发现蠕虫病毒 木马程序 以及 arp 欺骗 等问题的根源

简单设置

默认设置: 会得到大量的无用信息 以至于很难找到自己需要的信息 这就需要 设置 过滤规则 来减少信息量了.

使用步骤

1: 选择接口 (网卡) 主界面 自己双击你要的接口.

2: 设置捕捉过滤器 默认情况下,Wireshark捕捉一切看得见的数据,这可能正是你一开始想要做的事情。但是一旦你了解了流量的类型,就可以设置捕捉过滤器,那样你仅仅捕捉发往/来自特定机器的流量,或特定的协议。

混杂模式

所谓混杂模式,用最简单的语言就是让网卡抓取任何经过它的数据包,不管这个数据包是不是发给它或者是它发出的

你之所以监测无线网络,最感兴趣的是想看看网络上有什么情况。这意味着需要把网卡设置成混杂模式(promiscuous mode)

混杂模式是指网卡不过滤通过它的目标地址不是它的包. 要通过混杂模式收到发给其他地址的包,首先要这些包有发到你的网卡上.

关闭:混杂模式 只捕获进入/送出你计算机的包

开启:混杂模式 捕捉 Lan 网段上的 所有包

在以太网中 会把包不区分地址转发到所有网卡的设备,叫做集线器(HUB),这是一个一层设备.

交换机(Switch),交换机是一个二层设备,它会根据包的目标地址将包只发送到对应地址的网卡,不会发送给其他网卡,混杂模式自然是抓不到的.

路由器(Router)是一个三层设备,和交换机一样会选择把数据发送到指定的网卡.

一般而言,Unix不会让普通用户设置混杂模式,因为这样可以看到别人的信息,比如telnet的用户名和密码,这样会引起一些安全上的问题,所以只有root用户可以开启混杂模式,开启混杂模式的命令是:ifconfig eth0 promisc, eth0是你要打开混杂模式的网卡。

无线网卡 开启这功能 可能会导致网络堵塞 上不了网

混杂模式:promiscuous mode 让网卡抓取任何经过它的数据包,不管这个数据包是不是发给它的.

要通过混杂模式收到发给其他地址的包,首先要这些包有发到你的网卡上

集线器 HUB 一层设备 会把包不区分地址转发到所有网卡的设备,叫做集线器(HUB),

交换机 Switch 二层设备 它会根据包的目标地址将包只发送到对应地址的网卡,不会发送给其他网卡,混杂模式自然是抓不到的.

路由器 Router 三层设备 和交换机一样会选择把数据发送到指定的网卡.

无线网卡 开启这功能 可能会导致网络堵塞 上不了网

软件界面介绍

上面: 数据包列表 简单信息 中间: 协议树 详细信息 下面: 16进制 显示 数据包内容 : 数据在物理层上传输时的最终形式

no. 数据包 数量 Time 每个数据包的捕捉时间

source: 源地址 destination: 目的地址 protocal: 所属协议 length: 数据包长度 info: 数据包简单信息 frame number: 主机 mac 地址: ethernetII
ip 地址 : internet protocol TCP 端口号: transmission control protocol HTTP 协议具体内容: Hypertext transfer protocol

右键 有追踪流 功能: 获取更详细的信息

192.168.0.255 是广播的意思