Oracle免费开源抓包工具Wireshark先容

圆咕噜咕噜 发表于 2025-3-10 13:40:09

免费开源抓包工具Wireshark先容

一、Wireshark 安装详解

Wireshark 是一款跨平台的网络协议分析器，支持 Windows、macOS 和 Linux 等操纵系统。以下分别先容在差别操纵系统上的安装步骤，并具体解释安装过程中的选项。
1、Windows 平台安装

1.下载 Wireshark 安装包:

[*]访问 Wireshark 官方网站：https://www.wireshark.org/
[*]点击 "Download" 按钮，选择恰当 Windows 系统的安装包（通常是 Windows 64-bit 或 Windows 32-bit，根据您的系统选择）。
2.运行安装步调:

[*]双击下载的 .exe 安装包，启动 Wireshark 安装领导。
3.欢迎界面:

[*]点击 "Next" 继承。
4.许可协议:

[*]阅读许可协议，假如同意条款，选择 "I Agree" 并点击 "Next"。
5.选择组件 (Choose Components):

[*] Wireshark: 核心步调，必须安装。
[*] TShark: 命令行版本的 Wireshark，假如您必要在命令行下使用 Wireshark 功能（比方在服务器上），建议安装。
[*] Qt5 and other libraries: Wireshark 图形界面所需的库文件，必须安装。
[*] 关联文件范例 (Associate File Extensions): 建议勾选，将 .pcap, .pcapng 等文件范例关联到 Wireshark，方便直接双击打开。
[*] Add Wireshark to the system PATH: （可选）将 Wireshark 添加到系统环境变量 PATH 中，如许可以在命令行中直接运行 wireshark 命令。假如您不熟悉命令行，可以不勾选，之后可以通过 Wireshark 安装目次下的 wireshark.exe 启动。
[*] Install Npcap packet capture library: 强烈建议勾选。 Npcap 是 Wireshark 在 Windows 平台上举行数据包捕捉的核心组件。假如您不安装 Npcap，Wireshark 大概无法捕捉网络数据包，或者功能受限。
[*] 选项用途解释：

[*]Install Npcap packet capture library: 最重要的选项！ Npcap (Nmap Packet Capture) 是一个当代化的数据包捕捉库，取代了旧的 WinPcap。 Npcap 提供了更好的性能、安全性和功能，比方支持最新的 Windows 版本，支持 USB 数据包捕捉等。不安装 Npcap 将导致 Wireshark 无法捕捉网络流量。

6.Npcap 安装选项 (假如之前选择了安装 Npcap):

[*] Npcap License: 阅读 Npcap 许可协议，选择 "I Agree"。
[*] Choose Npcap Options:

[*] Install Npcap in WinPcap API-compatible Mode: （可选）假如某些旧的步调或工具依赖于 WinPcap API，可以勾选此选项以保持兼容性。对于大多数 Wireshark 用户，通常不必要勾选此选项。 Npcap 已经富足强盛，而且 Wireshark 自己就原生支持 Npcap。
[*] Support raw 802.11 traffic (and monitor mode) for wireless adapters: （可选）假如必要捕捉 802.11 无线网卡的原始流量（包罗 monitor mode），则必要勾选此选项。通常只有在举行无线网络安全分析或高级无线网络调试时才必要勾选。普通网络分析可以不勾选。
[*] Restrict Npcap driver access to Administrators only: （重要）强烈建议勾选。勾选此选项后，只有管理员权限的用户才能使用 Npcap 驱动举行数据包捕捉，增强系统安全性。不勾选此选项大概会使普通用户也能举行数据包捕捉，存在安全风险。
[*] 选项用途解释：

[*]Install Npcap in WinPcap API-compatible Mode: 兼容旧的 WinPcap API。一样平常不必要勾选，除非有明确的旧步调依赖 WinPcap。
[*]Support raw 802.11 traffic (and monitor mode) for wireless adapters: 支持无线网卡原始流量捕捉和监听模式。一样平常网络分析不必要。
[*]Restrict Npcap driver access to Administrators only: 强烈建议勾选，增强安全性，限制只有管理员才能抓包。

7.安装位置 (Installation Location):

[*]选择 Wireshark 的安装目次，默认即可，点击 "Next"。
8.开始菜单文件夹 (Start Menu Folder):

[*]选择开始菜单中的 Wireshark 快捷方式存放文件夹，默认即可，点击 "Next"。
9.安装历程:

[*]点击 "Install" 开始安装。等待安装完成。
10.安装完成:

[*]安装完成后，点击 "Next"。
[*]可以选择是否立即运行 Wireshark，点击 "Finish" 完成安装。
2、macOS 平台安装

1.下载 Wireshark 安装包:

[*]访问 Wireshark 官方网站：https://www.wireshark.org/
[*]点击 "Download" 按钮，选择 macOS 的安装包 (.dmg 文件)。
2.打开 .dmg 文件:

[*]双击下载的 .dmg 文件，会挂载一个磁盘镜像。
3.运行安装步调:

[*]在打开的磁盘镜像中，找到 Wireshark 安装步调包 (.pkg 文件)，双击运行。
4.引导安装:

[*]按照安装领导的提示，点击 "Continue" -> "Continue" -> "Agree" (许可协议) -> "Install"。
5.身份验证:

[*]系统大概会要求输入管理员暗码举行身份验证，输入暗码并点击 "安装软件"。
6.安装完成:

[*]安装完成后，点击 "Close"。
7.卸载磁盘镜像:

[*]将 Wireshark 磁盘镜像拖动到废纸篓举行卸载。
3、Linux 平台安装

在 Linux 系统上，通常可以使用包管理器举行安装。差别的 Linux 发行版使用的包管理器大概差别。以下以几种常见的发行版为例：

[*] Debian/Ubuntu 系统:
sudo apt update
sudo apt install wireshark
安装过程中大概会询问是否允许非管理员用户捕捉数据包。为了安全起见，建议选择 "No"，即只允许管理员用户抓包。假如必要非管理员用户抓包，则必要举行额外的配置（比方将用户添加到 wireshark 用户组）。
[*] Fedora/CentOS/RHEL 系统:
sudo yum install wireshark# 或 dnf install wireshark (较新的 Fedora 版本)

[*] Arch Linux 系统:
sudo pacman -S wireshark-gtk# 安装带有图形界面的版本
sudo pacman -S wireshark-cli# 安装命令行版本 (TShark)

[*] 安装过程中选项用途解释 (Linux):

[*]Allow non-superusers to capture packets? (Debian/Ubuntu): 是否允许非管理员用户抓包。建议选择 "No" 以增强安全性。假如选择 "Yes"，则必要配置用户组权限。

二、Wireshark 基本使用方法

1、启动 Wireshark:

[*]Windows: 从开始菜单找到 Wireshark 并运行。
[*]macOS: 在 "应用步调" 文件夹中找到 Wireshark 并运行。
[*]Linux (图形界面): 通常在应用步调菜单或桌面环境中可以找到 Wireshark 图标运行。
[*]Linux (命令行): 在终端输入 wireshark 或 tshark 命令。
2、选择网络接口 (Choose Interface):

[*]Wireshark 启动后，会显示可用的网络接口列表。
[*]选择您要捕捉流量的网络接口。比方，假如您要分析通过以太网卡的流量，则选择对应的以太网卡接口（比方 "eth0", "en0" 或描述包含 "Ethernet" 的接口）。假如要分析 WiFi 流量，则选择无线网卡接口（比方 "wlan0", "en1" 或描述包含 "Wi-Fi" 的接口）。
[*] 不确定选择哪个接口？可以先观察各个接口的流量运动环境，通常选择流量运动较多的接口。或者可以使用 ipconfig /all (Windows) 或 ifconfig (macOS/Linux) 命令查看本地网络接口的具体信息，比方 IP 地址、MAC 地址等，资助您识别精确的接口。
3、开始捕捉 (Start Capture):

[*]双击选定的网络接口，或者点击左上角的蓝色鲨鱼鳍图标 (开始捕捉按钮)。
[*]Wireshark 开始及时捕捉选定接口的网络数据包，并将数据包显示在主界面上。
4、制止捕捉 (Stop Capture):

[*]点击左上角的赤色方块图标 (制止捕捉按钮)。
[*]Wireshark 制止捕捉，但已经捕捉的数据包会保存在界面上供您分析。
5、分析数据包:

[*] Wireshark 主界面分为三个主要区域：

[*]数据包列表 (Packet List Pane - 上方): 显示捕捉到的数据包列表，每一行代表一个数据包。包含序号 (No.)、时间戳 (Time)、源地址 (Source)、目标地址 (Destination)、协议 (Protocol)、长度 (Length)、信息 (Info) 等列。
[*]数据包具体信息 (Packet Details Pane - 中央): 选中数据包列表中的一个数据包后，此区域会以协议分层结构的方式显示该数据包的具体信息。可以展开协议层级，查看各个协议字段的值。
[*]数据包字节流 (Packet Bytes Pane - 下方): 以十六进制和 ASCII 码情势显示数据包的原始字节数据。

6、基本过滤 (Basic Filtering):

[*]显示过滤器 (Display Filter - 主界面上方): 在显示过滤器输入框中输入过滤表达式，可以只显示符合条件的数据包。
[*]常用过滤器示例:

[*]http - 只显示 HTTP 协议的数据包。
[*]tcp.port == 80 - 只显示 TCP 端口为 80 的数据包（通常是 HTTP）。
[*]ip.addr == 192.168.1.100 - 只显示源或目标 IP 地址为 192.168.1.100 的数据包。
[*]tcp.flags.syn == 1 - 只显示 TCP SYN 包（用于创建连接）。

[*] 更多过滤器语法和使用方法，请参考 Wireshark 官方文档或在线教程。
7、保存捕捉结果 (Save Capture File):

[*]点击菜单 "文件 (File)" -> "保存 (Save)" 或 "另存为 (Save As)"。
[*]选择保存位置和文件名，Wireshark 默认保存为 .pcapng 格式，也可以选择其他格式比方 .pcap (兼容性更好)。
[*]保存的捕捉文件可以稍后重新打开举行分析，或与他人分享。
8、重要提示:

[*]管理员权限: 在 Windows 和 Linux 上，通常必要管理员权限（或 root 权限）才能运行 Wireshark 并捕捉网络数据包。macOS 上默认也必要管理员权限。
[*]网络性能影响: 长时间或高流量的抓包大概会对网络性能产生一定影响，尤其是在资源有限的装备上。
[*]隐私和安全: 网络数据包中大概包含敏感信息，比方暗码、Cookie、用户数据等。在捕捉和分析网络流量时，务必服从法律法规和伦理规范，留意保护个人隐私和信息安全。
[*]学习资源: Wireshark 功能非常强盛，掌握所有功能必要时间和学习。建议参考 Wireshark 官方文档、在线教程、书籍等资源举行深入学习。
三、抓取http和https数据先容

使用 Wireshark 这类抓包工具，对于没有加密的 HTTP 传输，理论上是可以捕捉到用户名和暗码等敏感信息的明文的。这是由于 HTTP 协议在传输数据时默认不举行加密，所有数据都以明文情势在网络上传输。
但是，对于 HTTPS 传输，环境就完全差别了。HTTPS (HTTP Secure) 是在 HTTP 的基础上参加了 SSL/TLS 协议举行加密的。这意味着所有通过 HTTPS 传输的数据都会被加密，包罗哀求头、哀求体、响应头、响应体等，自然也包罗用户名和暗码。
让我们具体解释一下这两种环境：
1、HTTP 传输的用户名和暗码抓取

[*] 原理: 当网站使用 HTTP 协议传输用户登录信息时，比方用户在登录表单中输入用户名和暗码，提交后，这些信息会以明文的情势包含在 HTTP 哀求的数据包中，通过网络发送到服务器。
[*] Wireshark 捕捉过程:

[*]使用 Wireshark 启动抓包，并选择精确的网络接口来监听网络流量。
[*]在浏览器中访问 HTTP 网站并举行登录操纵。
[*]制止 Wireshark 抓包。
[*]在 Wireshark 捕捉的数据包列表中，使用过滤器（比方 http.request.method == POST 或者直接过滤 http 协议）找到 HTTP 哀求包。
[*]追踪 HTTP 数据流 (比方右键点击数据包，选择 "追踪流" -> "HTTP 流")，或者查看数据包具体信息中的 "HTTP" 层，通常可以在哀求体 (Request Body) 中找到以明文情势传输的用户名和暗码。

[*]风险: 由于 HTTP 的不安全性，任何在网络路径上的监听者（比方使用 Wireshark 的攻击者，或者在不安全的公共 Wi-Fi 网络中的恶意用户）都有大概捕捉到这些敏感的明文信息，导致账号泄露。
2、HTTPS 传输的用户名和暗码抓取

[*] 原理: HTTPS 协议通过 SSL/TLS 协议对 HTTP 通信举行加密。在创建 HTTPS 连接时，客户端和服务器之间会举行密钥协商，并使用协商好的密钥对后续的所有 HTTP 数据举行加密。这意味着，即使 Wireshark 捕捉到了 HTTPS 数据包，看到的数据也是经过加密的，是密文，而不是明文。
[*] Wireshark 捕捉 HTTPS 数据包的环境:

[*]使用 Wireshark 启动抓包，并选择精确的网络接口。
[*]在浏览器中访问 HTTPS 网站并举行登录操纵。
[*]制止 Wireshark 抓包。
[*]在 Wireshark 捕捉的数据包列表中，可以看到 HTTPS 或 TLS 协议的数据包。
[*]查看数据包具体信息，可以看到数据包是被加密的，无法直接看到明文的用户名和暗码。

[*]是否完全无法解密 HTTPS 流量？在通常环境下，是的。 HTTPS 的加密计划目的是为了保护数据传输的机密性和完备性，防止中央人窃听和篡改。在没有特别条件的环境下，Wireshark 无法直接解密 HTTPS 流量，也就无法直接看到加密的用户名和暗码等信息。
然而，在某些特别环境下，HTTPS 流量有大概被解密和分析，但这通常必要一些前提条件和额外的操纵，而且不代表 HTTPS 加密被轻易攻破。以下是一些大概的环境：
A. 使用 SSL/TLS 会话密钥或服务器私钥举行解密 (SSL/TLS Decryption)

[*]原理: SSL/TLS 协议在握手阶段会协商出一个会话密钥 (Session Key) 或使用服务器的私钥举行加密。假如在 Wireshark 中提供了会话密钥或服务器私钥，Wireshark 就可以使用这些密钥来解密后续的 HTTPS 流量。
[*]方法:

[*]SSLKEYLOGFILE 环境变量: 某些浏览器或应用步调支持将 SSL/TLS 会话密钥纪录到文件中，通过设置 SSLKEYLOGFILE 环境变量可以启用此功能。然后在 Wireshark 的 "编辑" -> "首选项" -> "协议" -> "SSL" (或 "TLS") 中，指定这个密钥日志文件，Wireshark 就可以尝试使用日志中的密钥来解密相应的 HTTPS 会话。
[*]服务器私钥: 假如拥有服务器的私钥，也可以在 Wireshark 中配置私钥文件来举行解密。但这通常只在您是服务器管理员或者拥有特别权限的环境下才有大概。

[*]限制和风险:

[*]密钥获取困难: 获取会话密钥或服务器私钥通常非常困难，特别是在生产环境中，服务器私钥必须严格保密。 SSLKEYLOGFILE 环境变量通常只用于开辟和调试环境，在生产环境启用会存在安全风险。
[*]只解密特定会话: 使用会话密钥通常只能解密特定的 SSL/TLS 会话，而不是所有 HTTPS 流量。
[*]前向安全 (Forward Secrecy): 当代 HTTPS 协媾和密钥协商算法（比方使用 Diffie-Hellman Ephemeral (DHE) 或 Elliptic Curve Diffie-Hellman Ephemeral (ECDHE) 密钥交换）实现了前向安全。这意味着即使服务器的私钥泄露，历史的 HTTPS 会话也无法被解密（假如使用了 ephemeral 密钥交换）。使用 SSLKEYLOGFILE 方法大概对部分实现了前向安全的会话解密无效。

[*]适用场景: 开辟调试环境，或者在拥有特别权限和密钥的环境下举行协议分析和故障排查。
B. 中央人攻击 (Man-in-the-Middle Attack - MITM) 的景象 (比方使用代理工具)

[*]原理: 通过设置一个中央人代理 (比方 Fiddler, Charles Proxy, mitmproxy 等) 在客户端和服务器之间，代理服务器会作为中央人，与客户端创建 HTTPS 连接，并与服务器创建另一个 HTTPS 连接。客户端实际上是与代理服务器创建的 HTTPS 连接，而不是直接与目标服务器创建连接。代理服务器可以解密与客户端的 HTTPS 连接，并重新加密与服务器的连接。
[*]Wireshark 捕捉过程: 在这种环境下，Wireshark 实际上可以捕捉到客户端与代理服务器之间的解密后的 HTTP 流量，由于代理服务器已经完成了 HTTPS 解密。要捕捉到这个解密后的流量，您必要确保 Wireshark 监听的是客户端与代理服务器通信的网络接口和端口。
[*]条件:

[*]客户端配置代理: 必要在客户端（比方浏览器或应用步调）中配置使用代理服务器。
[*]信任代理证书: 为了制止客户端浏览器或应用步调因证书问题而拒绝连接，通常必要在客户端安装并信任代理服务器天生的 SSL 证书，以便代理服务器可以冒充目标网站举行 HTTPS 连接。

[*]常用工具: Fiddler, Charles Proxy, mitmproxy 等 Web 调试代理工具通常都具备 MITM HTTPS 解密功能，并可以配合 Wireshark 举行更具体的网络分析。
[*] MITM 代理工具 (比方 Fiddler 或 Charles Proxy) 配合 Wireshark 举行 HTTPS 解密分析客户端流量先经过代理工具解密，代理工具与服务器之间是加密的 HTTPS 连接，Wireshark 抓取客户端到代理工具之间的流量，可以看到解密后的内容

[*]请留意：这种方法实际上是通过引入一个中央人来举行解密，而不是直接破解 HTTPS 加密自己。在实际应用中，假如客户端没有被配置使用代理，或者没有信任中央人证书，MITM 攻击通常无法成功。

3、总结

[*]对于 HTTP 传输: Wireshark 可以直接捕捉并分析出明文的用户名和暗码等敏感信息，非常不安全，强烈不建议使用 HTTP 传输敏感数据。
[*]对于 HTTPS 传输: 在正常环境下，Wireshark 无法直接解密 HTTPS 流量，也无法直接看到加密的用户名和暗码。 HTTPS 提供了有效的加密保护，防止了网络监听和窃听。
[*]特别环境下的 HTTPS 解密: 在一些特别环境下（比方拥有密钥、使用 MITM 代理），HTTPS 流量大概被解密和分析，但这通常必要满足特定的前提条件，而且不代表 HTTPS 加密被轻易破解。
[*]安全建议: 为了保护用户敏感信息，所有涉及用户名、暗码、个人信息等敏感数据的网站和服务，都应该欺压使用 HTTPS 协议举行加密传输。用户也应该养成安全上网的习惯，制止在 HTTP 网站上输入敏感信息，并留意检查网站是否使用了 HTTPS 加密。
四、可抓取的数据范围

安装 Wireshark 之后，它的功能不但仅范围于抓取您当前电脑自身的数据包，在特定条件下，它可以抓取到网络中其他装备之间传输的数据包。
更准确地说，Wireshark 主要抓取的是网络接口吸收和发送的数据包。而网络接口所能“看到”的数据包范围，取决于您的网络环境和网络接口的工作模式。
为了更清晰地解释，我们来细分几种环境：
1、默认环境下：抓取本地电脑网络接口的数据包

[*]最常见的环境：当您直接启动 Wireshark 并选择一个网络接口（比方以太网卡或 Wi-Fi 网卡）开始抓包时，Wireshark 默认会抓取通过您电脑的这个网络接口收支的所有数据包。
[*]这意味着：

[*]您肯定能抓取到所有目标地址或源地址是您电脑自身 IP 地址的数据包。这些数据包是您电脑上运行的应用步调（比方浏览器、聊天软件等）发送和吸收的网络流量。
[*]您也能抓取到广播数据包和多播数据包。这类数据包会被发送到网络中的所有装备或一组装备，您的电脑的网络接口也会吸收到这些数据包。

[*]但默认环境下，您大概无法抓取到网络中其他两台电脑之间直接通信的数据包，假如这些数据包的源地址和目标地址都不是您的电脑。这是由于在当代交换式网络环境中，交换时机智能地将数据包只转发到目标装备的端口，而不是广播到所有端口。
2、在特定网络环境或配置下：抓取网络中更多的数据包

在某些特定的网络环境或配置下，Wireshark 确实可以抓取到超出您自身电脑的数据包，乃至大概监听到网络中其他装备之间的通信。主要有以下几种环境：

[*] a) 集线器 (Hub) 网络环境 (非常罕见，险些已淘汰)

[*]原理：在早期的集线器 (Hub) 网络中，所有连接到集线器的装备都共享同一个冲突域。当一个装备发送数据包时，集线器会将数据包广播到所有端口。这意味着连接到同一个集线器的所有装备都能吸收到所有的数据包，无论数据包的目标地址是不是自己。
[*]Wireshark 抓包：在这种环境下，假如您将运行 Wireshark 的电脑连接到集线器上，您的 Wireshark 很大概可以抓取到网络中所有装备之间传输的数据包，包罗不是发给您电脑的数据包。
[*]当代网络的演进：如今险些已经完全淘汰了集线器，取而代之的是交换机 (Switch)。交换机解决了集线器的广播冲突问题，提高了网络服从和安全性。

[*] b) 网络接口设置为 "稠浊模式 (Promiscuous Mode)"

[*]原理：正常环境下，网卡只会吸收目标 MAC 地址是自身网卡 MAC 地址的数据包。稠浊模式是一种网卡的工作模式，当网卡设置为稠浊模式后，它会吸收网络中所有经过的数据包，无论数据包的目标 MAC 地址是不是自身网卡的 MAC 地址。
[*]Wireshark 抓包： Wireshark 在启动抓包时，通常会自动尝试将网络接口设置为稠浊模式（假如操纵系统和网卡驱动支持）。假如您的网络环境允许网卡工作在稠浊模式，而且您地点的网络段可以“看到”其他装备的数据包（比方在集线器网络、或者通过交换机端口镜像配置），那么 Wireshark 就能抓取到更多的数据包，乃至包罗不是发给您电脑的数据包。
[*]交换机和稠浊模式：即使网卡设置为稠浊模式，在当代交换式网络中，交换机通常仍旧会限制数据包的转发范围，只将数据包发送到目标端口，而不是广播到所有端口。因此，即使您的网卡处于稠浊模式，在交换机环境下，您通常也无法直接抓取到其他端口的数据包 (除非使用了端口镜像等特别配置)。
[*]如何开启稠浊模式 (通常 Wireshark 自动处理): Wireshark 自身通常会尝试在抓包开始时启用稠浊模式。在某些操纵系统或网络环境下，大概必要手动配置或确保用户具有富足的权限才能启用稠浊模式。

[*] c) 交换机配置了 "端口镜像 (Port Mirroring)" 或 "SPAN 端口 (Switched Port Analyzer)"

[*]原理：端口镜像 (Port Mirroring) 或 SPAN 端口是交换机的一种高级功能，管理员可以将交换机上一个或多个端口的流量复制一份，并发送到指定的镜像端口 (Mirror Port 或 SPAN Port)。连接到镜像端口的装备就可以吸收到被镜像端口的流量副本。
[*]Wireshark 抓包：假如网络管理员在交换机上配置了端口镜像，将其他端口 (比方连接到其他电脑的端口) 的流量镜像到您电脑所连接的端口，那么即使在交换式网络中，您的 Wireshark 也能抓取到被镜像端口的流量，也就是其他电脑的网络数据包。
[*]管理员权限：端口镜像通常必要网络管理员在交换机上举行配置，普通用户无法自行设置。这种方式常用于网络监控、安全审计、故障排查等目的。

[*] d) 网络分路器 (Network TAP)

[*]原理：网络分路器 (Network TAP) 是一种硬件装备，它可以物理地分割网络链路，并将网络流量复制一份，分别发送到两个或多个输出端口，而不会影响原始的网络通信。它是完全被动式的，不会对网络流量举行任何修改。
[*]Wireshark 抓包：将网络分路器插入到网络链路中 (比方，服务器和交换机之间)，然后将您的电脑连接到分路器的镜像端口，您的 Wireshark 就能被动地捕捉到经过该网络链路的所有流量，包罗服务器和交换机之间的数据包。
[*]硬件装备：网络分路器是独立的硬件装备，必要物理部署在网络链路上。它可以提供非常准确和可靠的网络流量捕捉，常用于高性能网络监控和安全分析。

[*] e) 无线网络 (Wi-Fi) 环境下的 “监听模式 (Monitor Mode)”

[*]原理：对于无线网卡，假如网卡和驱动支持监听模式 (Monitor Mode)，而且 Wireshark 启用了监听模式，无线网卡可以监听空中传播的 Wi-Fi 数据包，无论这些数据包的目标 MAC 地址是不是您的无线网卡。这类似于有线网络中的稠浊模式，但更强盛，由于它可以捕捉空中接口的所有 Wi-Fi 流量，包罗控制帧、管理帧和数据帧。
[*]Wireshark 抓包：在 Wi-Fi 环境下，假如您的无线网卡支持监听模式，而且您在 Wireshark 中选择了精确的无线接口并启用了监听模式 (通常 Wireshark 会提示您选择监听模式)，您可以抓取到四周空中传播的 Wi-Fi 数据包，即使这些数据包不是发给您的装备，比方邻居 Wi-Fi 网络的数据包（固然，前提是您在信号覆盖范围内）。
[*]加密的 Wi-Fi 网络：对于使用了 WEP 或 WPA/WPA2 加密的 Wi-Fi 网络，即使抓取到加密的数据包，您也无法直接解密查看数据包的内容，除非您拥有 Wi-Fi 网络的 PSK 暗码 (预共享密钥) 并在 Wireshark 中配置相识密密钥。对于 WPA3 加密的 Wi-Fi 网络，解密难度更高，通常更难被破解。

编辑c4pr1c3.github.io 3、总结：Wireshark 的抓包范围取决于网络环境和配置

[*]默认环境 (交换式网络，普通模式): Wireshark 主要抓取本地电脑网络接口的数据包。
[*]特别环境 (集线器网络，稠浊模式，端口镜像，网络分路器，无线监听模式): Wireshark 可以抓取到更多的数据包，乃至包罗网络中其他装备之间的通信。
重要提示和伦理道德

[*]未经授权的网络监听是违法和不道德的：在没有得到明确授权的环境下，监听和捕捉网络中不属于您的流量，通常是违法行为，而且严峻侵犯他人隐私。请务必服从本地法律法规和伦理道德规范，只在您拥有正当权限的网络环境下举行网络分析和抓包操纵。
[*]安全风险：假如您在不安全的网络环境 (比方公共 Wi-Fi) 下使用 Wireshark 抓包，也必要留意自身安全。您捕捉的数据包中大概包含敏感信息，必要妥善保管，防止泄露。
总而言之，Wireshark 的功能非常强盛，它可以抓取的网络数据包范围取决于您的网络环境、配置以及您的操纵方式。明白这些差别的环境，可以资助您更有效地使用 Wireshark 举行网络分析和故障排查，但同时也必要您牢记网络安全和伦理道德的重要性。
五、Wireshark与网络行为检测装备的相似之处

很多网络行为检测装备，是基于 Wireshark 的原理，乃至在某些环境下，会集成 Wireshark 或其核心组件，并举行深度定制，以满足特定的检测需求。
为了更清晰地解释，我们来具体展开这个话题：
1、网络行为检测装备的核心原理与 Wireshark 的共通之处

[*] 数据包捕捉 (Packet Capture): 无论是 Wireshark 照旧网络行为检测装备，其最基础和核心的功能都是捕捉网络数据包。这是所有网络分析和检测的基石。网络行为检测装备必要及时地、连续地监控网络流量，才能发现非常或恶意的行为。 Wireshark 依赖于如 libpcap (Linux/macOS) 或 Npcap (Windows) 如许的库来完成高效的数据包捕捉，而很多网络行为检测装备也会使用类似的底层库或技术来实现高效的数据包捕捉能力。
[*] 协议剖析 (Protocol Dissection): Wireshark 的强盛之处在于它可以或许剖析数百种网络协议，将原始的二进制数据包剖析成易于明白的协议字段和信息。网络行为检测装备也必要具备强盛的协议剖析能力，才能明白网络通信的内容，并根据协议特性举行分析和判定。比方，识别 HTTP 哀求的方法 (GET, POST)，分析 DNS 查询的域名，剖析 SMTP 邮件的头部信息等等。 Wireshark 使用的协议剖析器是开源的，而且被广泛研究和验证，因此很多商业和开源的网络安全产品都会鉴戒乃至直接使用 Wireshark 的协议剖析器或其剖析原理。
[*] 流量分析和模式识别 (Traffic Analysis and Pattern Recognition): Wireshark 提供了强盛的过滤器 (Filter) 功能，允许用户根据各种条件（协议、IP 地址、端口、协议字段等）来筛选和分析数据包。网络行为检测装备的核心任务就是分析网络流量，识别非常行为，并根据预界说的规则或呆板学习模子举行判定。虽然网络行为检测装备通常会使用更复杂的分析引擎和算法，但其基础仍旧是对网络流量举行深入的分析和模式识别，这与 Wireshark 的基天职析思路是一致的。
2、网络行为检测装备对 Wireshark 原理的深度定制和增强

虽然网络行为检测装备在原理上与 Wireshark 有共通之处，但为了满足专业的网络安全检测需求，它们通常会在以下方面举行深度定制和增强：

[*] a) 高性能数据包捕捉和处理能力 (High-Performance Packet Capture and Processing)

[*]需求: 网络行为检测装备必要及时、高速、稳固地处理大量的网络流量，尤其是在高速网络环境中 (比方 10Gbps, 40Gbps, 100Gbps 乃至更高)。这对数据包捕捉和处理性能提出了极高的要求。
[*]定制和增强:

[*]硬件加速: 很多高性能网络行为检测装备会使用专用硬件 (比方 FPGA, ASIC) 举行数据包捕捉和协议剖析的硬件加速，以提高处理速率和服从。这逾越了 Wireshark 软件自己的能力。
[*]多核并行处理: 充分利用多核 CPU 的并行处理能力，将数据包捕捉、协议剖析、分析检测等任务并行化处理，以提升吞吐量。
[*]内核旁路技术 (Kernel Bypass): 绕过操纵系统的内核网络协议栈，直接从网卡吸收数据包到用户空间举行处理，减少内核协议栈的开销，比方使用 DPDK (Data Plane Development Kit) 等技术。 Wireshark 通常运行在操纵系统用户空间，性能会受到内核协议栈的限制，而高性能检测装备会举行更底层的优化。
[*]零拷贝技术 (Zero-Copy): 在数据包从网卡到应用步调内存的传输过程中，只管减少数据拷贝的次数，提高数据传输服从，比方使用 mmap, io_uring 等技术。

[*] b) 专业的检测引擎和规则库 (Specialized Detection Engines and Rule Sets)

[*]需求: 网络行为检测装备的核心代价在于其专业的检测能力，可以或许准确、及时地检测出各种网络安全威胁和非常行为，比方入侵攻击、恶意软件通信、非常流量、数据泄露等。
[*]定制和增强:

[*]入侵检测系统 (IDS) 规则: 集成大量的入侵检测规则 (比方 Snort 规则、Suricata 规则)，用于检测已知的攻击模式和毛病利用行为。这些规则通常由安全专家团队连续更新和维护。
[*]非常检测 (Anomaly Detection): 使用呆板学习 (Machine Learning) 和行为分析 (Behavioral Analysis) 技术，创建正常网络行为的基线模子，然后检测偏离基线的非常流量和行为。这可以发现未知的、新型的攻击。
[*]威胁情报 (Threat Intelligence) 集成: 集成及时的威胁情报数据 (比方恶意 IP 地址、域名、恶意软件 Hash 等)，用于识别已知的恶意实体和运动。
[*]深度包检测 (Deep Packet Inspection - DPI): 对数据包的应用层内容举行深度检测，比方识别应用协议范例、分析 HTTP 哀求头、检测 SQL 注入攻击、分析文件传输内容等等。这逾越了 Wireshark 基础的协议剖析，必要更复杂的模式匹配和内容分析技术。
[*]状态化检测 (Stateful Inspection): 跟踪网络连接的状态 (比方 TCP 连接的创建、数据传输、关闭过程)，并基于连接状态举行检测，比方检测 TCP 状态攻击、会话挟制等。 Wireshark 主要关注单个数据包的分析，而状态化检测装备必要维护连接上下文信息。

[*] c) 及时告警和响应机制 (Real-time Alerting and Response Mechanisms)

[*]需求: 网络行为检测装备必要及时地发出告警 (Alert)，当检测到可疑或恶意行为时，及时通知安全管理员，以便快速响应和处理。一些高级的装备还具备自动响应 (Automatic Response) 能力，比方自动阻断恶意流量、隔离受感染的主机等。
[*]定制和增强:

[*]及时告警系统: 创建高效的告警天生和分发系统，可以或许根据检测结果天生告警事故，并通过多种方式通知管理员 (比方邮件、短信、Syslog、SNMP Trap、安全信息和事故管理系统 (SIEM) 集成)。
[*]告警优先级和关联分析: 对告警事故举行优先级分别和关联分析，减少误报，资助管理员快速定位和处理真正的安全威胁。
[*]自动响应和阻断 (Automated Response and Blocking): 集成流量阻断 (Traffic Blocking) 和隔离 (Quarantine) 功能，当检测到高危威胁时，可以或许自动采取措施，比方阻断恶意 IP 地址的流量、隔离受感染的主机，以减少损失。

[*] d) 会合管理和可视化界面 (Centralized Management and Visualization Interface)

[*]需求: 在大型网络环境中，大概部署多个网络行为检测装备，必要会合管理和监控这些装备，并可视化地展示网络安全态势、告警信息、流量分析结果等。
[*]定制和增强:

[*]会合管理平台: 提供统一的管理平台，用于配置和管理多个检测装备，网络和汇总告警信息，举行策略部署和更新等。
[*]可视化仪表盘 (Dashboard): 提供直观的可视化仪表盘，展示网络安全态势、流量统计、告警趋势、威胁地图等信息，资助管理员快速相识网络安全状态。
[*]报表天生 (Reporting): 支持天生各种安全报表，比方安全事故陈诉、威胁趋势分析陈诉、合规性陈诉等，用于安全审计和管理。

3、Wireshark 组件的集成和定制

[*]开源组件的利用: Wireshark 是一个开源项目，其核心组件，比方协议剖析器 (dissectors)、数据包捕捉库 (libpcap/Npcap) 等，都是开源的，而且可以被其他项目和产品免费使用和集成。因此，很多网络行为检测装备厂商会直接使用或鉴戒 Wireshark 的开源组件，比方：

[*]协议剖析库 (Dissectors): 复用 Wireshark 的协议剖析代码，以快速支持各种网络协议的剖析，并保持协议剖析的准确性和及时更新。
[*]数据包捕捉库 (libpcap/Npcap): 使用 libpcap 或 Npcap 作为底层的数据包捕捉引擎，以实现高效的数据包捕捉能力。

[*]商业产品的定制和包装: 一些商业网络行为检测装备，大概会在 Wireshark 开源组件的基础上举行深度定制和开辟，比方：

[*]重新计划用户界面: 为了满足商业产品的需求，大概会开辟全新的、更专业的用户界面，而不是直接使用 Wireshark 的原始 GUI。
[*]集成商业化的检测引擎和规则库: 在开源组件的基础上，集成厂商自研的、商业化的检测引擎和规则库，以提供更高级、更专业的安全检测能力。
[*]硬件加速和性能优化: 结合专用硬件和底层优化技术，大幅提升性能，以满足高性能网络环境的需求。
[*]提供商业支持和服务: 作为商业产品，提供专业的技术支持、售后服务和连续更新维护。

4、总结：原理共通，但检测装备更专业和强盛

[*]结论: 您的明白是精确的，很多网络行为检测装备确实是基于 Wireshark 的原剃头展而来，乃至大概会集成 Wireshark 或其核心组件。
[*]关键区别: 虽然原理共通，但网络行为检测装备是更加专业化、商业化的产品，它们在性能、检测能力、及时性、管理性、可靠性等方面都举行了深度定制和增强，以满足企业级网络安全检测的严苛需求。而 Wireshark 更侧重于通用性的网络协议分析和故障排查工具，虽然功能强盛，但在某些专业领域 (比方高性能入侵检测、及时威胁响应) 大概有所不足。
[*]关系: 可以明白为 Wireshark 是基础工具和技术的 “开源基石”，而网络行为检测装备是基于这个基石之上构建起来的 “专业化、商业化的高楼大厦”。
六、Wireshark与IBM ISVA对比

IBM Security Verify Access (ISVA) 也具有类似 Wireshark 的网络数据包分析和流量检测能力，但它的主要定位和应用场景与 Wireshark 有着明显的区别。 ISVA 的核心侧重于面向服务器区域的安全本领，特别是 Web 应用和 API 的安全防护、身份管理与访问控制。
为了更清晰地解释，我们来具体对比一下 IBM ISVA 和 Wireshark 在这方面的异同：
1、IBM Security Verify Access (ISVA) 的网络分析能力：

[*] 作为安全功能的一部分: ISVA 的网络数据包分析能力不是独立的功能，而是作为其核心安全功能的支持。 ISVA 必要深入检测和分析网络流量，才能实现其 Web 应用防火墙 (WAF)、API 安全、高级威胁防御等安全特性。
[*] 协议剖析与深度包检测 (DPI): ISVA 也具备协议剖析能力和深度包检测 (DPI) 技术，可以剖析 HTTP、HTTPS、DNS、SSL/TLS 等多种网络协议。这使其可以或许明白网络流量的应用层内容，而不但仅是传输层和网络层信息。这与 Wireshark 的协议剖析能力在原理上是相似的。
[*] 流量监控与日志纪录: ISVA 可以连续监控收支服务器区域的网络流量，并纪录具体的流量日志。这些日志包含了网络连接信息、哀求内容、响应内容、安全事故等，类似于 Wireshark 捕捉的数据包信息，但 ISVA 的日志更侧重于安全事故和访问控制相关的纪录。
[*] 非常流量检测与分析: ISVA 也具备非常流量检测能力，可以识别出与正常模式差别的网络流量，比方 DDoS 攻击、SQL 注入攻击、跨站脚本攻击 (XSS) 等 Web 应用攻击流量。这必要 ISVA 对流量举行及时的分析和模式识别，类似于 Wireshark 用户手动分析数据包以发现非常。
[*] 威胁情报集成: ISVA 通常会集成威胁情报订阅源，可以根据已知的恶意 IP 地址、域名、URL 特性等，识别和阻断恶意的网络哀求。这增强了 ISVA 检测恶意流量的能力。
2、IBM ISVA 与 Wireshark 的关键区别：

特性WiresharkIBM Security Verify Access (ISVA)主要目的通用网络协议分析器，网络故障排查，安全分析工具专业网络安全装备，Web 应用与 API 安全防护，身份管理与访问控制功能侧重点数据包捕捉、协议剖析、流量分析 (被动式)Web 应用防火墙 (WAF), API 安全, 身份认证, 授权, 访问控制 (自动式防护)部署位置任何网络节点 (客户端、服务器、网络链路的监控点)主要部署在服务器区域 (数据中央、云环境) 的网络入口点及时性及时数据包捕捉与分析，但主要依赖人工分析及时流量检测与告警，具备自动阻断和响应能力自动化程度低，主要依赖人工配置过滤器和手动分析高，自动化检测、告警、响应，策略驱动安全防护能力无自动安全防护功能，仅用于事后分析提供自动安全防护功能，比方入侵防御、Web 应用防火墙、API 安全保护管理性单机工具，无会合管理功能会合管理平台，可管理多台 ISVA 装备，提供可视化报表应用场景网络协议分析、故障排查、安全分析、学习研究保护 Web 应用、API、移动应用后端服务，企业级身份与访问管理定位通用型网络分析工具专用型网络安全装备 3、为什么 ISVA 主要面向服务器区域的安全本领？

[*] 保护核心资产: 服务器区域通常是企业核心应用和数据资产存放的地方，比方 Web 应用服务器、数据库服务器、API 网关等。这些区域的安全至关重要，一旦被攻破，大概导致数据泄露、业务中断、品牌声誉受损等严峻结果。 ISVA 的计划目标就是重点保护这些核心资产免受来自外部和内部的威胁。
[*] Web 应用和 API 安全需求: 当代应用架构越来越依赖 Web 应用和 API 举行交互。 Web 应用和 API 也成为主要的攻击入口点。 ISVA 作为 Web 应用防火墙 (WAF) 和 API 安全网关，专门针对 Web 应用和 API 的常见安全毛病 (比方 OWASP Top 10) 和攻击本领 (比方 SQL 注入、XSS、API 滥用) 提供防护。这些安全需求在服务器区域尤为突出。
[*] 身份管理与访问控制需求: 服务器区域通常必要严格的身份认证和访问控制机制，确保只有授权用户才能访问特定的资源，并根据用户的脚色和权限举行细粒度的访问控制。 ISVA 集成了身份管理 (Identity Management) 和访问管理 (Access Management) 功能，可以实现会合式的用户身份管理、多因素认证 (MFA)、单点登录 (SSO)、基于脚色的访问控制 (RBAC)、OAuth 2.0, OpenID Connect 等当代身份认证和授权协议的支持。这些功能对于保护服务器区域的资源至关重要。
[*] 部署位置决定功能侧重: ISVA 通常部署在数据中央或云环境的网络入口处，充当服务器区域的“安全卫士”，负责拦截和过滤收支服务器区域的网络流量，识别和阻断恶意哀求，控制用户对服务器资源的访问。其部署位置决定了其功能侧重于服务器端的安全防护和访问控制。
4、总结：

[*] ISVA 和 Wireshark 都具备网络数据包分析能力，但目的和应用场景截然差别。
[*] Wireshark 是通用的网络分析工具，用于各种网络分析任务，包罗安全分析、故障排查、协议学习等，但不提供自动安全防护功能。
[*] IBM ISVA 是专业的网络安全装备，专注于服务器区域的 Web 应用和 API 安全防护、身份管理与访问控制，提供自动的、自动化的安全检测、告警和响应能力。其网络分析能力是服务于其核心安全功能的。
[*] 小企业假如必要网络入口的安全防护，更应该思量部署 NGFW、UTM 或使用 MSSP 服务，而不是仅仅依赖 Wireshark。假如必要保护 Web 应用和 API ，并举行身份管理与访问控制，IBM ISVA 这类专业的安全装备是更符合的选择。 Wireshark 则可以作为辅助工具，用于更深入的分析和故障排查。
七、黑客使用Wireshark的主要目的和场景

Wireshark 是黑客常用的工具之一。由于 Wireshark 强盛的网络数据包捕捉和分析能力，它在各种网络攻击和渗透测试场景中都扮演着重要的脚色。然而，必要强调的是，Wireshark 自己是一个双刃剑工具，它既可以被用于防御性的网络安全分析，也可以被用于攻击性的网络恶意运动。
为了更全面地明白 Wireshark 在黑客运动中的应用，我们来具体展开讨论黑客使用 Wireshark 的主要目的和场景：
1、网络侦查和信息网络 (Network Reconnaissance and Information Gathering):

[*]探测目标网络拓扑结构: 黑客可以使用 Wireshark 被动地监听目标网络的流量，分析捕捉的数据包，绘制出目标网络的拓扑结构，比方，识别网络中的主机数量、IP 地址范围、网段分别、使用的网络协议、运行的服务端口等。这些信息对于后续的攻击规划至关重要。
[*]识别目标系统和应用: 通太过析网络流量，黑客可以识别目标系统使用的操纵系统范例、运行的网络服务 (比方 Web 服务器、邮件服务器、数据库服务器)、应用步调范例和版本。比方，分析 HTTP 哀求的 User-Agent 字段、Server 响应头、特定协议的指纹信息等。这些信息可以资助黑客寻找已知的毛病，以便举行更有针对性的攻击。
网络敏感信息: 对于没有加密的 HTTP 协议或其他不安全协议传输的流量，黑客可以使用 Wireshark 直接捕捉并分析出明文的敏感信息，比方用户名、暗码、Cookie、会话令牌、未加密的邮件内容、文件传输内容等。这些信息可以直接被用于账号偷取、身份冒用、数据泄露等恶意运动。
2、中央人攻击 (Man-in-the-Middle Attack - MITM):

[*]监听和窃取通信内容: 在中央人攻击场景中，黑客可以将自己置于通信两边之间 (比方，通过 ARP 欺骗、DNS 欺骗等本领)，拦截客户端和服务器之间的所有网络流量。然后使用 Wireshark 及时监听和分析这些流量，窃取通信内容，包罗账号暗码、敏感数据、会话信息等。
[*]篡改和注入数据: 更高级的中央人攻击不但限于监听，还可以篡改或注入数据包，比方，修改网页内容、注入恶意代码、挟制用户会话、篡改生意业务数据等。虽然 Wireshark 自己不具备篡改数据包的功能，但它可以配合其他工具 (比方 Ettercap, mitmproxy) 举行中央人攻击，并用于分析和验证攻击效果。
3、协议分析和毛病挖掘 (Protocol Analysis and Vulnerability Discovery):

[*]深入明白协议毛病: 黑客可以利用 Wireshark 深入研究各种网络协议的细节，比方 TCP/IP 协议族、HTTP 协议、DNS 协议、SMTP 协议、SSL/TLS 协议等。通过分析协议的规范、实现和交互过程，黑客大概发现协议自己或协议实现中的毛病。
[*]开辟毛病利用工具: 一旦发现协议毛病，黑客可以利用 Wireshark 验证毛病的存在性，并开辟毛病利用工具 (Exploit)，用于攻击存在毛病的系统或服务。比方，针对特定协议毛病构造恶意数据包，然后使用 Wireshark 验证目标系统是否受到毛病影响。
[*]逆向工程和恶意软件分析: 黑客可以使用 Wireshark 分析恶意软件的网络通信行为，比方，恶意软件与 C&C 服务器的通信协议、数据传输格式、加密方式等。这有助于逆向工程恶意软件，相识其工作原理，并开辟检测和防御方法。
4、拒绝服务攻击 (Denial-of-Service Attack - DoS) 和分布式拒绝服务攻击 (DDoS) 分析:

[*]分析攻击流量特性: 当目标系统遭受 DoS/DDoS 攻击时，黑客可以使用 Wireshark 捕捉和分析攻击流量，识别攻击流量的特性 (比方，源 IP 地址、协议范例、端口号、数据包大小、频率等)。这有助于明白攻击范例，比方 SYN Flood 攻击、UDP Flood 攻击、HTTP Flood 攻击等。
[*]优化攻击策略: 通太过析攻击流量，黑客可以优化攻击策略，比方，调整攻击流量的参数、选择更有效的攻击方法，以提高攻击效果，绕过防御机制。
[*]事后分析和溯源: 在 DoS/DDoS 攻击发生后，可以使用 Wireshark 分析历史捕捉的数据包，举行攻击溯源，比方，追踪攻击源 IP 地址、分析攻击流量的路径，以便定位攻击泉源，并采取防御和反制措施。
5、渗透测试和安全审计 (Penetration Testing and Security Auditing):

[*]验证安全毛病: 在渗透测试过程中，渗透测试人员 (有时也包罗恶意黑客) 可以使用 Wireshark 验证已发现的安全毛病是否真实存在，以及毛病的可利用程度。比方，在尝试举行 SQL 注入攻击后，可以使用 Wireshark 分析服务器的响应，验证注入是否成功，是否可以或许获取敏感数据。
[*]评估安全防御机制: 渗透测试人员可以使用 Wireshark 评估目标系统的安全防御机制是否有效。比方，测试防火墙规则是否可以或许阻止特定的攻击流量，IDS/IPS 是否可以或许检测到特定的攻击行为，WAF 是否可以或许防御 Web 应用攻击。
[*]天生渗透测试陈诉: 在渗透测试竣事后，可以使用 Wireshark 捕捉的数据包作为渗透测试陈诉的证据，比方，展示成功利用毛病的攻击流量、绕过安全防御机制的过程等。
6、必要强调的几点：

[*] Wireshark 是通用的网络分析工具，而非专门的黑客工具: 虽然黑客会使用 Wireshark 举行恶意运动，但这并非 Wireshark 的原始计划目的。 Wireshark 的主要计划目的是为网络管理员、安全工程师、开辟人员、研究人员提供一个强盛、机动、通用的网络协议分析平台，用于网络故障排查、性能优化、协议学习、安全分析等各种正当的用途。
[*] Wireshark 是被动式监听工具，自身不具备攻击性: Wireshark 的主要功能是捕捉和分析网络流量，它自己不能自动发起网络攻击，也不能直接利用毛病。黑客通常必要配合其他攻击工具 (比方 Metasploit, Nmap, Ettercap, SQLmap 等) 才能完成完备的攻击过程，而 Wireshark 在此中扮演的脚色主要是辅助侦查、分析和验证。
[*] 正当与非法的界限在于使用目的和授权环境: 是否正当使用 Wireshark ，关键在于使用目的和是否得到授权。在得到网络所有者或管理者的明确授权的环境下，安全专业人员可以使用 Wireshark 举行渗透测试、安全审计、毛病评估、网络故障排查等正当运动。然而，在未经授权的环境下，使用 Wireshark 监听、捕捉和分析非自身网络的流量，则属于违法行为，而且大概构成网络犯罪。
[*] 安全防御者也依赖 Wireshark: 网络安全防御者 (比方安全工程师、网络管理员、安全分析师) 也广泛使用 Wireshark。他们使用 Wireshark 举行安全监控、威胁检测、事故响应、入侵分析、恶意软件分析、安全策略验证等各种防御性工作。 Wireshark 是他们不可或缺的日常工具之一。
Wireshark 的确是黑客常用的工具，由于它强盛的网络数据包捕捉和分析能力，可以被用于网络侦查、中央人攻击、毛病挖掘、DoS/DDoS 分析、渗透测试等各种恶意运动。然而，Wireshark 自己是一个双刃剑，它也是网络安全防御者的重要工具。 Wireshark 的正当与否，取决于使用者的目的和授权环境。重要的是要正当、合规、伦理地使用 Wireshark ，将其应用于积极的、建设性的网络安全领域。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

页: [1]

IT评测·应用市场-qidao123.com技术社区's Archiver

免费开源抓包工具Wireshark先容