Wireshark 网络分析工具

Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据，并为用户提供关于网络和上层协议的各种信息。

Wireshark的原名是Ethereal，新名字是2006年起用的。当时Ethereal的主要开发者决定离开他原来供职的公司，并继续开发这个软件。但由于Ethereal这个名称的使用权已经被原来那个公司注册，Wireshark这个新名字也就应运而生了。

与很多其他网络工具一样，Wireshark也使用Pcap Network Library来进行封包捕捉。

Wireshark的优势：

CAPTURE FILTER（捕捉过滤器）

捕捉过滤器是数据经过的第一层过滤器，它用于控制捕捉数据的数量，以避免产生过大的日志文件。

打开菜单 Capture -> Options ，点击 Capture Filter 按钮，安装界面提示，选择过滤规则。

DISPLAY FILTER（显示过滤器）

捕捉过滤器是数据经过的第一层过滤器，它用于控制捕捉数据的数量，以避免产生过大的日志文件。

显示过滤器用于查找捕捉记录中的内容。请不要将捕捉过滤器和显示过滤器的概念相混淆。显示过滤器与捕捉过滤器的语法规则是不一样的，显示过滤器输入框可以检查语法，语法错误时，输入框变成红色。

一条过滤规则：

not ip.src==192.168.1.1 and ip.dst==255.255.255.255

基于主机的过滤规则：

ip.host==192.168.1.1

过滤某种协议，例如DNS，Telnet等等，直接在输入框中输入协议名称：

过滤规则支持逻辑运算符号

IP地址过滤：

以寻找伪造DHCP服务器为例，介绍Wireshark的用法。在显示过滤器中加入过滤规则，显示所有非来自DHCP服务器并且bootp.type==0x02（Offer/Ack）的信息：

bootp.type==0x02 and not ip.src==192.168.1.1