# Wireshark軟件包描述 Wireshark是世界上首屈一指的網絡協議分析器，它可以讓您在微觀層面看到網絡上發生的情況，事實上（常常是法律上）它是許多行業和教育機構的標準工具。感謝全球網絡專家的貢獻，Wireshark蓬勃發展。它是1998年開始的一個項目的延續。 Wireshark具有豐富的功能集，包括以下內容： - 深入檢查數百種協議，并且還一直在加入更多的內容 - 實時捕獲和離線分析 - 標準的三窗格數據包瀏覽器 - 支持多平臺：可以運行于Windows、Linux、OS X、Solaris、FreeBSD、NetBSD等系統 - 捕獲的網絡數據可以通過GUI或終端模式的TShark工具瀏覽 - 業界最強大的顯示過濾器 - 豐富的VoIP分析 - 使用gzip壓縮的捕獲文件可以迅速解壓縮 - 實時數據可以從以太網、IEEE 802.11、PPP/HDLC、ATM、藍牙、USB、令牌環、幀中繼、FDDI等（根據您的平臺）讀取， - 著色規則可以應用于分組列表，以進行快速、直觀的分析 - 輸出可以導出為XML、PostScript?、CSV或純文本 - 許多協議的解密支持，包括IPsec、ISAKMP、Kerberos、SNMPv3、SSL/TLS、WEP和WPA/WPA2 - 讀/寫許多不同格式的捕獲文件：tcpdump（libpcap）、Pcap NG、Catapult DCT2000、Cisco Secure IDS iplog、Microsoft網絡監視器、Network General Sniffer?（壓縮和未壓縮）、Sniffer?Pro，以及NetXray?、Network Instruments Observer、NetScreen snoop、Novell LANalyzer、RADCOM WAN/LAN Analyzer、Shomiti/Finisar Surveyor、Tektronix K12xx、Visual Networks Visual UpTime、WildPackets EtherPeek/TokenPeek/AiroPeek，等等 資料來源：http://www.wireshark.org/about.html [Wireshark主頁](http://www.wireshark.org/)| [Kali Wireshark資源](http://git.kali.org/gitweb/?p=packages/wireshark.git;a=summary) - 作者：Gerald Combs和貢獻者 - 許可證：GPLv2 ## Wireshark包含的工具 ### wireshark - 網絡流量分析器 - GTK+版本 ``` root@kali:~# wireshark -h Wireshark 1.10.2 (SVN Rev 51934 from /trunk-1.10) Interactively dump and analyze network traffic. See http://www.wireshark.org for more information. Copyright 1998-2013 Gerald Combs <gerald@wireshark.org> and contributors. This is free software; see the source for copying conditions. There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. 用法：wireshark [options] ... [<infile>] 捕獲接口： -i <interface> 接口的名稱或序號（默認：第一個非loopback接口） -f <capture filter> libpcap語法格式的包過濾器 -s <snaplen> 數據包快照長度（默認：65535） -p 不在混雜模式下捕獲 -k 立即開始捕獲（默認：不捕獲） -S 當有新數據包被捕獲時，更新數據包顯示 -l 當使用-S選項時打開自動滾動 -I 如果可用，在監聽模式下捕獲 -B <buffer size> 內核緩沖區大小（默認：2MB） -y <link type> 鏈接層類型（默認：第一個適當的類型） -D 打印接口列表并退出 -L 打印接口的鏈接層類型列表并退出 捕獲停止條件： -c <packet count> 在n個包之后停止（默認：無限制） -a <autostop cond.> ... duration：NUM - NUM秒后停止 filesize：NUM - 在NUM KB后停止此文件 files：NUM - NUM個文件后停止 捕獲輸出： -b <ringbuffer opt> ... duration：NUM - NUM秒后切換到下一個文件 filesize：NUM - 在NUM KB后切換到下一個文件 files：NUM - ringbuffer：NUM個文件后替換 輸入文件： -r <infile> 設置讀取的文件名（不支持管道或標準輸入！） 處理： -R <read filter> Wireshark語法格式的包過濾器 -n 禁用所有名稱解析（默認：全部啟用） -N <name resolve flags> 啟用特定的名稱解析：“mntC” 用戶界面： -C <config profile> 用指定的配置文件啟動 -Y <display filter> 用給定的顯示過濾器啟動 -g <packet number> 在“-r”之后轉到指定的包號 -J <jump filter> 跳轉到第一個匹配（顯示）過濾器的數據包 -j 在“-J”之后向后搜索匹配的包 -m <font> 設置大多數文字使用的字體名稱 -t a|ad|d|dd|e|r|u|ud 時間戳的輸出格式（默認：r：相對首個包的時間） -u s|hms 秒的輸出格式（默認：s：秒） -X <key>：<value> 擴展選項，詳見手冊頁 -z <statistics> 顯示各種統計信息，詳見手冊頁 輸出： -w <outfile|-> 設置輸出文件名（或'-'代表標準輸出） 雜項： -h 顯示此幫助并退出 -v 顯示版本信息并退出 -P <key>：<path> persconf：path - 個人配置文件 persdata：path - 個人數據文件 -o <name>：<value> ...覆蓋首選項或最近的設置 -K <keytab> 用于kerberos解密的keytab文件 --display=DISPLAY 使用的X display ``` ### tshark - 網絡流量分析器 - 控制臺版本 ``` root@kali:~# tshark -h TShark 1.10.2 (SVN Rev 51934 from /trunk-1.10) Dump and analyze network traffic. See http://www.wireshark.org for more information. Copyright 1998-2013 Gerald Combs <gerald@wireshark.org> and contributors. This is free software; see the source for copying conditions. There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. 用法：tshark [options] ... 捕獲界面： -i <interface> 接口的名稱或序號（默認：第一個非loopback接口） -f <capture filter> libpcap語法格式的包過濾器 -s <snaplen> 數據包快照長度（默認：65535） -p 不在混雜模式下捕獲 -I 如果可用，在監聽模式下捕獲 -B <buffer size> 內核緩沖區大小（默認：2MB） -y <link type> 鏈接層類型（默認：第一個適當的類型） -D 打印接口列表并退出 -L 打印接口的鏈接層類型列表并退出 捕獲停止條件： -c <packet count> 在n個包之后停止（默認：無限制） -a <autostop cond.> ... duration：NUM - NUM秒后停止 filesize：NUM - 在NUM KB后停止此文件 files：NUM - NUM個文件后停止 捕獲輸出： -b <ringbuffer opt> ... duration：NUM - NUM秒后切換到下一個文件 filesize：NUM - 在NUM KB后切換到下一個文件 files：NUM - ringbuffer：NUM個文件后替換 輸入文件： -r <infile> 設置讀取的文件名（不支持管道或標準輸入！） 處理： -2 進行兩階段分析 -R <read filter> Wireshark語法格式的包過濾器 -Y <display filter> Wireshark語法格式的包顯示過濾器 -n 禁用所有名稱解析（默認：全部啟用） -N <name resolve flags> 啟用特定的名稱解析：“mntC” -d <layer_type> == <selector>，<decode_as_protocol> ... “Decode AS”，詳見手冊頁 示例：tcp.port == 8888，http -H <hosts file> 從hosts文件讀取條目列表，然后寫入捕獲文件。（隱含-W n選項） 輸出： -w <outfile|-> 數據包寫入pcap格式的文件“outfile”（或'-'代表標準輸出） -C <config profile> 用指定的配置文件啟動 -F <output file type> 設置輸出文件類型，默認為pcapng 一個空的“-F”選項將列出文件類型 -V 添加輸出到數據包樹（包詳細信息） -O <protocols> 只顯示這些協議的數據包詳細信息，協議用逗號分隔 -P 即使寫入文件也打印數據包摘要 -S <separator> 數據包之間打印的行分隔符 -x 添加十六進制和ASCII轉儲輸出（數據包字節） -T pdml|ps|psml|text|fields 文本輸出格式（默認：文本） -e <field> 指定打印字段，如果設置了-Tfields選項（例如tcp.port、col.Info）; 可以重復此選項以打印多個字段 -E<fieldsoption>=<value> 設置輸出選項，如果選擇了-Tfields： header=y|n 切換是否輸出首部 separator=/t|/s|<char> 選擇跳格鍵、空格、可打印字符作為分隔符 occurrence=f|l|a 打印每個字段的第一個、最后一個或所有的出現 aggregator=,|/s|<char> 選擇逗號、空格、可打印字符作為聚合符 quote=d|s|n 選擇雙引號、單引號、無引號值 -t a|ad|d|dd|e|r|u|ud 時間戳的輸出格式（默認：r：相對首個包的時間） -u s|hms 秒的輸出格式（默認：s：秒） -l 每個數據包后刷新標準輸出 -q 靜默標準輸出（例如統計信息時） -Q 只輸出錯誤信息（比-q更安靜） -g 啟用輸出文件的用戶組讀權限 -W n 如果支持，在文件中保存額外的信息。 n=寫入網絡地址解析信息 -X <key>：<value> 擴展選項，詳見手冊頁 -z <statistics> 顯示各種統計信息，詳見手冊頁 雜項： -h 顯示此幫助并退出 -v 顯示版本信息并退出 -o <name>：<value> ...覆蓋首選項設置 -G [report] 轉儲幾個可用報告之一并退出 默認report="fields" 用"-G ?"獲取更多幫助 ``` ## tshark使用示例 ``` root@kali:~# tshark -f "tcp port 80" -i eth0 ``` ## wireshark使用示例 ``` root@kali:~# wireshark ```  原文鏈接：[http://tools.kali.org/information-gathering/wireshark](http://tools.kali.org/information-gathering/wireshark)