WireShark

1.2 抓包原理

l  哪种网络可以抓到包？

本机环境：抓到的是本机网卡进出的流量

集线器环境：集线器是一个冲突域，这样可以抓到整个局域网的流量

交换机环境：

* 端口镜像：如下图，当PC2和PC3通信时，PC1是无法抓到他们通信的流量的。使用端口镜像（SPAN）技术，可以将交换机的流量复制一份，这样PC1就可以抓到整个局域网的流量

                              

* ARP欺骗：假如PC2想给PC3发送帧，使用ARP协议来得知PC3的MAC地址，ARP请求广播整个局域网，PC3进行ARP回复，PC1安装了cain&Abel软件也进行了ARP回复。这样PC2的ARP表中，IP3对应的MAC地址就是PC1的，于是本来发给PC3的帧发给了PC1。通过这种方式来抓整个局域网的包

* MAC泛洪：PC1泛洪垃圾包，使得交换机中MAC表爆表

l  抓包的底层架构

1.3 简单操作

l  增加列，删除列，修改列的名称

l  调整时间格式

  

l  开启名词（IP地址、MAC地址等）解析：

在统计选项中，有一个已解析的地址

l  标记数据包、注释数据包、合并数据包、导出标记或者选择的数据包

l  设置多少个分组或者设置占用多大内存或者设置每隔多长时间 建立一个抓包文件（在文件那里可以填写所建立的文件名）    这样方便在大网络中抓包，否则软件很容易爆表

l  定时器

l   抓包过滤器：

语法：

例子：

显示过滤器（当网络流量不会很大时，利用显示过滤器可以对所有的数据包进行分析，然后依次过滤）：

语法：

例子：

1.4 高级功能1.4.1 数据流追踪

把两个主机之间的通信显示出来

1.4.2 专家信息

通过专家信息，可以得到错误包，被警告包，需要注意的包，从而可以判断网络的稳定性等（在分析一栏中）

重点看前三项

1.4.3 捕获文件属性

（在统计一栏中）

1.4.4 协议分层统计

（在统计一栏中）

1.4.5 网络节点和会话统计

（在统计一栏中）

网络会话（conversations）：统计通信会话之间接收和发送的数据包和字节（源到目的地）

网络节点（endpoint）：统计通信会话中每个节点之间接收和发送的数据包和字节

1.4.6 数据包长度统计

（在统计一栏中）

1.4.6 图表分析

l  IO图表：对网络中吞吐流量进行实时显示

l  数据流图：

2 协议分析（进阶）3 网络故障分析（高级）