wireshark抓包工具mac中文版 v4.4.6官方版

wireshark mac版是一款非常流行的網(wǎng)絡(luò)數(shù)據(jù)包分析器，一般又稱為wireshark抓包工具，支持幾百種協(xié)議和流媒體類型，擁有強顯示過濾器語言和查看TCP會話重構(gòu)流的能力，可以截取各種網(wǎng)絡(luò)數(shù)據(jù)包，并盡可能顯示出最為詳細的網(wǎng)絡(luò)封包資料，現(xiàn)在常用于開發(fā)測試過程各種問題定位中。而且該軟件使用WinPCAP作為接口，直接與網(wǎng)卡進行數(shù)據(jù)報文交換，可以實時檢測網(wǎng)絡(luò)通訊數(shù)據(jù)，檢測其抓取的網(wǎng)絡(luò)通訊數(shù)據(jù)快照文件，通過圖形界面瀏覽這些數(shù)據(jù)，可以查看網(wǎng)絡(luò)通訊數(shù)據(jù)包中每一層的詳細內(nèi)容。如果用戶想要更明顯的看出一個網(wǎng)絡(luò)中數(shù)據(jù)的變化情況，使用圖表的形式可以很方便的展現(xiàn)數(shù)據(jù)分布情況，網(wǎng)絡(luò)通訊數(shù)據(jù)包中每一層的詳細內(nèi)容都可以清楚的看到，非常實用。

軟件特色

1、適用于UNIX系統(tǒng)和窗口。

2、捕獲來自網(wǎng)絡(luò)接口的實時數(shù)據(jù)包數(shù)據(jù)。

3、正常開放包含用tcpdump/WinDump捕獲的數(shù)據(jù)包數(shù)據(jù)的文件，Wireshark和許多其他數(shù)據(jù)包捕獲程序。

4、導(dǎo)入包含數(shù)據(jù)包數(shù)據(jù)十六進制轉(zhuǎn)儲的文本文件中的數(shù)據(jù)包。

5、顯示數(shù)據(jù)包非常詳細的協(xié)議信息。

6、保存捕獲的分組數(shù)據(jù)。

7、導(dǎo)出許多捕獲文件格式中的部分或全部數(shù)據(jù)包。

8、篩選數(shù)據(jù)包根據(jù)許多標準。

9、搜索對于許多標準的數(shù)據(jù)包。

10、著色基于過濾器的數(shù)據(jù)包顯示。

11、創(chuàng)建各種統(tǒng)計學(xué).…和還有很多！

wireshark抓包工具過濾器表達式的規(guī)則

1、抓包過濾器語法和實例

抓包過濾器類型Type（host、net、port）、方向Dir（src、dst）、協(xié)議Proto（ether、ip、tcp、udp、http、icmp、ftp等）、邏輯運算符（&& 與、|| 或、！非）

（1）協(xié)議過濾

比較簡單，直接在抓包過濾框中直接輸入?yún)f(xié)議名即可。

TCP，只顯示TCP協(xié)議的數(shù)據(jù)包列表

HTTP，只查看HTTP協(xié)議的數(shù)據(jù)包列表

ICMP，只顯示ICMP協(xié)議的數(shù)據(jù)包列表

（2）IP過濾

host 192.168.1.104

src host 192.168.1.104

dst host 192.168.1.104

（3）端口過濾

port 80

src port 80

dst port 80

（4）邏輯運算符&& 與、|| 或、！非

src host 192.168.1.104 && dst port 80 抓取主機地址為192.168.1.80、目的端口為80的數(shù)據(jù)包

host 192.168.1.104 || host 192.168.1.102 抓取主機為192.168.1.104或者192.168.1.102的數(shù)據(jù)包

！broadcast 不抓取廣播數(shù)據(jù)包

2、顯示過濾器語法和實例

（1）比較操作符

比較操作符有== 等于、！= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于。

（2）協(xié)議過濾

比較簡單，直接在Filter框中直接輸入?yún)f(xié)議名即可。注意：協(xié)議名稱需要輸入小寫。

tcp，只顯示TCP協(xié)議的數(shù)據(jù)包列表

http，只查看HTTP協(xié)議的數(shù)據(jù)包列表

icmp，只顯示ICMP協(xié)議的數(shù)據(jù)包列表

（3） ip過濾

ip.src ==192.168.1.104 顯示源地址為192.168.1.104的數(shù)據(jù)包列表

ip.dst==192.168.1.104, 顯示目標地址為192.168.1.104的數(shù)據(jù)包列表

ip.addr == 192.168.1.104 顯示源IP地址或目標IP地址為192.168.1.104的數(shù)據(jù)包列表

（4）端口過濾

tcp.port ==80,  顯示源主機或者目的主機端口為80的數(shù)據(jù)包列表。

tcp.srcport == 80,  只顯示TCP協(xié)議的源主機端口為80的數(shù)據(jù)包列表。

tcp.dstport == 80，只顯示TCP協(xié)議的目的主機端口為80的數(shù)據(jù)包列表。

（5） Http模式過濾

http.request.method=="GET",   只顯示HTTP GET方法的。

（6）邏輯運算符為 and/or/not

過濾多個條件組合時，使用and/or。比如獲取IP地址為192.168.1.104的ICMP數(shù)據(jù)包表達式為ip.addr == 192.168.1.104 and icmp

（7）按照數(shù)據(jù)包內(nèi)容過濾。假設(shè)我要以IMCP層中的內(nèi)容進行過濾，可以單擊選中界面中的碼流，在下方進行選中數(shù)據(jù)。

選中Select后在過濾器中，后面條件表達式就需要自己填寫。如下我想過濾出data數(shù)據(jù)包中包含"abcd"內(nèi)容的數(shù)據(jù)流。包含的關(guān)鍵詞是contains 后面跟上內(nèi)容。

軟件特色

1、來自多種不同網(wǎng)絡(luò)媒體的實時捕獲

Wireshark可以捕獲來自許多不同網(wǎng)絡(luò)媒體類型的流量，包括以太網(wǎng)、無線局域網(wǎng)、藍牙、USB等。特定媒體支持的類型可能受到幾個因素的限制，包括您的硬件和操作系統(tǒng)。

2、從許多其他捕獲程序?qū)胛募?

Wireshark可以從大量捕獲中打開數(shù)據(jù)包捕獲程序。

3、為許多其他捕獲程序?qū)С鑫募?

Wireshark可以以多種格式保存捕獲的數(shù)據(jù)包，包括其他捕獲程序。