Wireshark用法详解

第 1 章介绍

Wireshark捕捉包并允许您检视其内

1.1.3. 捕捉多种网络接口

Wireshark 可以捕捉多种网络接口类型的包，哪怕是无线局域网接口。想了解支持的所有网络接口类型，可以在我们的网站上找到/CaptureSetup/NetworkMedia.

1.1.4. 支持多种其它程序捕捉的文件

Wireshark可以打开多种网络分析软件捕捉的包，详见???

1.1.5. 支持多格式输出

Wieshark可以将捕捉文件输出为多种其他捕捉软件支持的格式，详见???

1.1.6. 对多种协议解码提供支持

可以支持许多协议的解码(在Wireshark中可能被称为解剖)???

1.1.7. 开源软件

Wireshark是开源软件项目，用GPL协议发行。您可以免费在任意数量的机器上使用它，不用担心授权和付费问题，所有的源代码在GPL框架下都可以免费使用。因为以上原因，人们可以很容易在Wireshark上添加新的协议，或者将其作为插件整合到您的程序里，这种应用十分广泛。

1.1.8. Wireshark不能做的事

Wireshark不能提供如下功能

∙Wireshark不是入侵检测系统。如果他/她在您的网络做了一些他/她们不被允许的奇怪的事情，Wireshark不会警告您。但是如果发生了奇怪的事情，Wireshark可能对察看发生了什么会有所帮助。[3]∙Wireshark不会处理网络事务，它仅仅是“测量”(监视)网络。Wireshark不会发送网络包或做其它交互性的事情（名称解析除外，但您也可以禁止解析）。

1.2. 系通需求

想要安装运行Wireshark需要具备的软硬件条件...

1.2.1. 一般说明

∙给出的值只是最小需求，在大多数网络中可以正常使用，但不排除某些情况下不能使用。[4]

∙在繁忙的网络中捕捉包将很容塞满您的硬盘！举个简单的例子：在100MBIT/s全双工以太网中捕捉数据将会产生750MByties/min的数据！在此类网络中拥有高速的CPU，大量的内存和足够的磁盘空间是十分有必要的。

∙如果Wireshark运行时内存不足将会导致异常终止。可以在

/KnownBugs/OutOfMemory察看详细介绍以及解决办法。

∙Wireshark作为对处理器时间敏感任务，在多处理器/多线程系统环境工作不会比单独处理器有更快的速度，例如过滤包就是在一个处理器下线程运行，除了以下情况例外：在捕捉包时“实时更新包列表”，此时捕捉包将会运行在一个处理下，显示包将会运行在另一个处理器下。此时多处理或许会有所帮助。[5]

1.2.2. Microsoft Windows

∙Windows 2000,XP Home版,XP Pro版,XP Tablet PC，XP Media Center, Server 2003 or Vista(推荐在XP下使用)

∙32-bit奔腾处理器或同等规格的处理器（建议频率：400MHz或更高）,64-bit处理器在WoW64仿真环境下-见一般说明

∙128MB系统内存（建议256Mbytes或更高）

∙75MB可用磁盘空间（如果想保存捕捉文件，需要更多空间） 800*600（建议1280*1024或更高）分辨率最少65536(16bit)色，(256色旧设备安装时需要选择”legacy GTK1”)

∙网卡需求：

o以太网：windows支持的任何以太网卡都可以

o无线局域网卡：见MicroLogix support list, 不捕捉802.11包头和无数据桢。

o其它接口见：/CaptureSetup/NetworkMedia

说明

∙基于以下三点原因，将不会对旧版Windows提供支持：没有任何开发人员正在使用那些操作系统，这将使支持变得更加困难，Wireshark运行所依赖的库文件（如GTK，WinPCap等）也放弃对它们的支持。同样，微软也放弃了对它们的技术支持。

∙Windows 95,98和ME不能运行Wireshark。已知的最后一个可以运行在以上平台的版本是Ethereal0.99.0(需要安装WinPCap3.1),你依然可以使用从: /download.html获得。顺便提一下：微软于2006年1月11日停止对98/ME支持。

∙Windows NT 4.0今后将无法运行Wireshark.最有一个已知版本是Wireshark0.99.4(需安装自带的WinPCap3.1),你依然可以从：/wireshark/wireshark-setup-0.99.4.exe得到它。顺便提一下：微软于2005年12月31日停止对NT 4.0的支持。

∙Windows CE 及嵌入版windows（NT/XP）不被支持。

∙64-bit处理器运行Wireshark需要在32bit仿真环境下(称作WoW64),最低需要安装WinPCap4.0。

∙支持多显示(不知道是显示其还是监视器)安装，但会遇到一些不可预料的问题。

1.2.3. Unix/Linux

Wireshark目前可以运行在许多UNIX平台，系统可以对照上面Windows下的指标。二进制包最少在以下平台可用：∙APPle Mac OSX

∙Debian GNU/Linux

∙FreeBSD

∙NetBSD

∙OpenPKG

∙Red Hat Fedora/Enterprise Linux

∙rPath Linux

∙Sun Solaris/i386

∙Sun Solaris/Sparc

如果二进制包在您的平台无法使用，你可以下载源文件并尝试编译它。希望您能发送邮件到

wireshark-dev[AT] .分享您的经验。

1.3. 从哪里可以得到Wireshark

你可以从我们的网站下载最新版本的Wireshark /download.html.网站上您可以选择适合您的镜像站点。