十、Wireshark

Wireshark用于抓包嗅探协议分析，通过抓包的引擎获得的协议数据进行分析，其性能优势主要体现在解码能力。
抓包引擎：
Linux平台：Libpcap
Windows平台：winpcap10

• 1、基础操作
  启动、选择抓包网卡、混杂模式、实时抓包、保存和分析捕获文件、首选项
• 2、筛选器
  作用：过滤掉干扰的数据包
  分类：
  （1）抓包筛选器
  （2）显示筛选器
  在wireshark上，看TCP的包的三次握手，首先是[SYN]，然后是[SYN,ACK]，然后是[ACK]
  如果http是81或8080端口，wireshark默认是不识别的，可以通过右键Decode as指定为http协议进行分析。
  查看数据流：在数据包上右键选择Follow Tcp Stream
• 3、信息统计
  节点数
  协议分布
  包大小分布
  会话连接
  解码方式
  专家系统
• 4、Wireshark实践
  抓包对比nc、nact加密与不加密的流量
  （1）不加密（nc）：

Server：192.168.50.115（开启wireshark）

不加密

Client：192.168.50.116

不加密

此时在192.168.50.115上查看抓包情况：在116上对115的运程操作能看到是明文传输。

明文

（2）加密（ncat）：
Server：192.168.50.115（开启wireshark）

加密

Client：192.168.50.116

加密

此时在192.168.50.115上查看抓包情况：在116上对115的运程操作能看到是密文。

密文

• 5、企业抓包部署方案
  Wireshark基于大文件的包文件打开比较慢，主动扫描（主动去发送测试的数据进行分析）、被动扫描（类似于抓包，接收后分析）
  常用软件：
  Sniffer
  Cace/riverbed
  Cascad/pilot