1. wireshark1.12和1.10哪個
首先大家可以去官網上下載最新的而且穩定的版本:Wireshark1.12.0安裝完成之後,將進入如圖所示的wireshark運行界面如果您的電腦上有多塊網卡,您可以首先點擊「capture」--「interface」,查看有哪些網卡網卡可以獲取流量確定好用來抓取流量的網卡後,您可以點擊「capture」--「options」,注意網卡一定要選中混雜模式「",否則你是無法獲取內網的其他信息。如果您要獲取內網的所有信息,在」capturefilter「可以為空。如果您要獲取到網關:192.168.0.1的信息,可以在」capturefileter「這里設置:host192.168.0.1點擊」start「,就可以看到內網的實時數據了,如圖所示:如果您需要查看的是arp協議的數據包,一段時間後,點擊」stop「,然後在」filter「選項那裡,輸入arp,點擊」apply「,就可以查到本次所有抓獲的arp數據包了。
2. wireshark怎麼抓包分析網路故障實戰
【WireShark概覽】
1、Wireshark 是網路報文分析工具。網路報文分析工具的主要作用是嘗試捕獲網路報文, 並嘗試顯示報文盡可能詳細的內容。過去的此類工具要麼太貴,要麼是非公開的。 直到Wireshark(Ethereal)出現以後,這種情況才得以改變。Wireshark可以算得上是今天能使用的最好的開源網路分析軟體。2、WireShark簡史:1997年,Gerald Combs 需要一個工具追蹤網路問題,並且想學習網路知識。所以他開始開發Ethereal (Wireshark項目以前的名稱) 以解決自己的需求。1998年,Ethreal0.2.0版誕生了。此後不久,越來越多的人發現了它的潛力,並為其提供了底層分析。2006年Ethreal改名為Wireshark。2008年,在經過了十年的發展後,Wireshark發布了1.0版本。3、WireShark的主要作用,就是可以抓取各種埠的報文,包括有線網口、無線網口、USB口、LoopBack口等等,從而就可以很方便地進行協議學習、網路分析、系統排錯等後續任務。4、不同平台下的WireShark:目前WireShark支持幾乎所有主流報文文件,包括pcap,cap ,pkt,enc等等。但是不同平台下的WireShark卻有功能上的不同。總體來說,Linux版本WireShark的功能和特性比Windows版本的要豐富和強大。例如,Linux版本的WireShark可以直接抓取USB介面報文,而Windows版本就不行。
Figure 1,Linux下的WireShark
Figure 2,Windows下WireShark
Figure 3,各平台下的WireShark所支持的協議
各平台下的WireShark支持的協議如上圖所示。從圖中可以看到Linux下的版本功能最強大,由於平台本身特性,可以使WireShark幾乎支持所有協議。但由於我們平時工作中主要抓取乙太網報文,且絕大部分的操作系統都是Windows,所以本文還是以Windows平台下的WireShark為例來進行說明。
【如何正確使用WireShark抓取報文】
1、WireShark組網拓撲。為了抓到HostA與HostB之間的報文,下面介紹幾種WireShark組網。
i.在線抓取:如果WireShark本身就是組網中的一部分,那麼,很簡單,直接抓取報文就行了。
ii. 串聯抓取:串聯組網是在報文鏈路中間串聯一個設備,利用這個中間設備來抓取報文。這個中間設備可以是一個HUB,利用HUB會對域內報文進行廣播的特性,接在HUB上的WireShark也能收到報文。
若是WireShark有雙網卡,正確設置網路轉發,直接串接在鏈路上。
也可以利用Tap分路器對來去的報文進行分路,把報文引到WireShark上。
串聯組網的好處是報文都必須經過中間設備,所有包都能抓到。缺點是除非原本就已經規劃好,不然要把報文鏈路斷開,插入一個中間設備,會中斷流量,所以一般用於學習研究,不適用於實際業務網以及工業現場乙太網。
iii. 並聯抓取:並聯組網是將現有流量通過現網設備本身的特性將流量引出來。
若是網路本身通過HUB組網的,那麼將WireShark連上HUB就可以。
若是交換機組網,那直接連上也能抓取廣播報文。
當然,最常用的還是利用交換機的鏡像功能來抓包。
並聯組網的優點是不用破壞現有組網,適合有業務的在線網路以及工業現場乙太網。缺點是HUB組網已經不常見,而交換機組網的設備開啟鏡像後,對性能有非常大的影響。
2、 WireShark的安裝。WireShark是免費開源軟體,在網上可以很輕松獲取到。Windows版的WireShark分為32位而64位兩個版本,根據系統的情況來決定安裝哪一個版本,雖然64位系統裝32位軟體也能使用,但裝相應匹配的版本,兼容性及性能都會好一些。在Windows下,WireShark的底層抓包工具是Winpcap,一般來說WireShark安裝包內本身就包含了對應可用版本的Winpcap,在安裝的時候注意鉤選安裝就可以。安裝過程很簡單,不再贅述。
3、使用WireShark抓取網路報文。Step1. 選擇需要抓取的介面,點選Start就開始抓包。
4、使用WireShark抓取MPLS報文。對於mpls報文,wireshark可以直接抓取帶MPLS標簽的報文。
5、使用WireShark抓取帶Vlan Tag的報文。早期網卡的驅動不會對VLAN TAG進行處理,而是直接送給上層處理,在這種環境下,WireShark可以正常抓到帶VLAN TAG的報文。而Intel,broadcom,marvell的網卡則會對報文進行處理,去掉TAG後再送到上層處理,所以WireShark在這種情況下通常抓不到VLAN TAG。這時我們需要針對這些網卡做一些設置,WireShark才能夠抓取帶VLAN TAG的報文。1). 更新網卡的最新驅動。2). 按照以下說明修改注冊表:a) Intel:HKEY_LOCAL_MACHINE\SYSTEM \ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318} \00xx(where xx is the instance of the network adapter that you need to see tags on. )PCI或者PCI-X網卡增加dword:MonitorModeEnabled,通常設置為1即可 0 - disabled (Do not store bad packets, Do not store CRCs, Strip 802.1Q vlan tags) 1 - enabled (Store bad packets. Store CRCs. Do not strip 802.1Q vlan tags) PCI-Express網卡增加dword:MonitorMode,通常設置為1即可 0 - disabled (Do not store bad packets, Do not store CRCs, Strip 802.1Q vlan tags) 1 - enabled (Store bad packets. Store CRCs. Do not strip 802.1Q vlan btag) 2 - enabled strip vlan (Store bad packets. Store CRCs. Strip 802.1Q vlan tag as normal);b) Broadcom:在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet下搜索,找到"TxCoalescingTicks"並確認這是唯一的,增加一個新的字元串值"PreserveVlanInfoInRxPacket",賦值1。c) Marvell Yukon 88E8055 PCI-E 千兆網卡:"HKLM\SYSTEM \CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318} \000"(where 000 is the number of the folder for the Marvel ethernet controller)增加DWORD:SkDisableVlanStrip:1;3). 以Intel網卡為例,對網卡進行配置。選擇Intel網卡的本地連接,右鍵屬性
點擊「配置」按鈕。
在VLAN選項卡中,加入任意一個VLAN,激活介面的VLAN TAG上送功能。此時可以把「本地連接」介面看成是一個Trunk介面。
配置完VLAN後,如果發現系統禁用了「本地連接」介面,則只要啟用它,會看到網路連接中會出現一個新的子介面「本地連接2」。
在WireShark上查看抓取「本地連接」介面的報文。
可以看到已經可以抓到有VLAN TAG的報文了。
由於此時的子介面都是有VLAN屬性的,所以無法當成正常的網卡來用。如果想要在抓VLAN包的同時,還能夠與網路正常通信,只要再新建一個未標記的VLAN就行。
這時,會生成一個對應的子介面「本地連接3」,在這個介面上正確配置網路參數,就可以正常通信了。
3. wireshark和winpcap哪個比較好用有什麼區別
winpcap是在安裝wireshark時就要同步裝入C盤的啊,要不然用不起來。
4. wireshark那個版本支持xp使用
wireshark 1.4.7就可以吧。
5. 跪求能在windows server 2008 r2 Enterprise 64位系統下正常運行的wireshark軟體
今天經過無數次嘗試,終於找到最佳方案