那些年你用过的工具--网络工具Wireshark经验谈（获奖名单已公布2013-5-6）

send_linux

获奖名单已公布，详情请看：http://bbs.chinaunix.net/thread-4079863-1-1.html

自从网络出现以来，网络故障就没有停止过。如何快速、准确地定位网络故障和维持网络的稳定运行一直是人们追求的目标。为了分析网络故障的原因，专业的网络分析软件便产生了。网络分析软件充当了网络程序错误的检修工具， 开发人员使用它发现协议开发中的 BUG，很多人使用它监听网络数据，同时也可以作为检查安全类软件的辅助工具。

网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。在这个软件大类中，大家都知道Wireshark（前称Ethereal）是一个好用的开源抓包工具， 用来获取网络数据封包，包括http,TCP,UDP，等网络协议包。Wireshark的用途很广，网络管理员会使用wireshark来检查网络问题；测试工程师可以使用wireshark抓包，来分析自己测试软件的网络行为。从事socket编程的系统/网络软件工程师会用wireshark来调试他们的程序。

网络封包分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作 - 只是将场景移植到网络上，并将电线替换成网络线。在过去，网络封包分析软件是非常昂贵，或是专门属于营利用的软件，比如sniffer Pro、Omnipeek等。Ethereal的出现改变了这一切。在GNU GPL协议的保障范围底下，使用者可以以免费的代价取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。Ethereal是目前全世界最广泛的网络封包分析软件之一。

2006年6月，因为商标的问题，Ethereal更名为Wireshark。

【讨论话题】
1、在以前的网络抓包分析工作中，您是用什么工具，使用感觉如何？
2、Wireshark的哪些功能是你所看重的，和商业的网络封包分析软件相比，Wireshark优缺点如何？

【活动时间】
2013年4月8日 ~ 2013年4月23日

【邀请嘉宾】
ChinaUnix社区资深版主：platinum
ChinaUnix社区数据安全版版主：Godbach

【活动奖励】
优秀参与话题讨论奖5名，奖励《Wireshark数据包分析实战》(第2版)图书一本

图书简介：

《wireshark数据包分析实战(第2版)》从网络嗅探与数据包分析的基础知识开始，渐进地介绍wireshark的基本使用方法及其数据包分析功能特性，同时还介绍了针对不同协议层与无线网络的具体实践技术与经验技巧。在此过程中，作者结合一些简单易懂的实际网络案例，图文并茂地演示使用wireshark进行数据包分析的技术方法，使读者能够顺着本书思路逐步地掌握网络数据包嗅探与分析技能。

样章选读：
内容提要.DOC (25 KB, 下载次数: 152)

2013-04-07 14:43 上传

点击文件名下载附件

目录.DOC (45 KB, 下载次数: 138)

2013-04-07 14:43 上传

点击文件名下载附件

第1章.DOC (3.92 MB, 下载次数: 400)

2013-04-07 14:43 上传

点击文件名下载附件

第5章.DOC (1.16 MB, 下载次数: 462)

2013-04-07 14:43 上传

点击文件名下载附件

第11章.DOC (4.73 MB, 下载次数: 655)

2013-04-07 14:43 上传

点击文件名下载附件

gnah

用过nirsoft的小工具smartsniff ... 简单,呵呵

沙发让spam给占了

wenhq

1、在以前的网络抓包分析工作中，您是用什么工具，使用感觉如何？
linux 里面的ethereal/tcpdump,solaris里的 snoop 和windows的tshark。
其实wireshark在UNIX/Linux,Windows上都可以用。
整体感觉其实现的原理都一样，语法都差不多,功能比较强大。
2、Wireshark的哪些功能是你所看重的，和商业的网络封包分析软件相比，Wireshark优缺点如何？
看重的功能：
1). wireshark可以自己定义包rotate的大小和序列。
2).tshark命令有很多参数可以选。而且可以选择抓包的IP段,协议和端口。
3).还可以看报文的header等信息，还可以检查网络故障。如:TCP 各种状态比如SYN_SEND/RECV,FIN_WAIT1/2,CLOSE_WAIT
4).还可以抓取GRE/Tunnel,VLAN的包等。
5).抓的包还可以做数据分析，比如GPRS流量分析，趋势分析等。
6).还可以看各层的包头等信息。


跟商业软件相比：
特点是免费的。
商业抓包软件

wenhq

回复 1# send_linux

弱弱的问下，有哪些商业软件呢？

   

craaazy123

1、在以前的网络抓包分析工作中，您是用什么工具，使用感觉如何？
  sniffer,wireshark(现在还在用)，感觉都还不错，wireshark的功能要比sniffer的多些
2、Wireshark的哪些功能是你所看重的，和商业的网络封包分析软件相比，Wireshark优缺点如何？
  我就用其分析公司应用程序IP报文的数据部分，还有就是扫描局域网中的主机和其开放的端口    没有和商用的比过，我用着就已经觉得很强大了

hellioncu

很早以前使用tcpdump，windows下的盗版的Sniffer pro。
后来用Ethereal/Wireshark，跨平台，分析功能强大，还可以自己写插件分析自定义的应用层协议，一旦拥有，别无所求

send_linux

gnah 发表于 2013-04-07 16:20
用过nirsoft的小工具smartsniff ... 简单,呵呵

沙发让spam给占了

发广告的太牛逼了。。。

seesea2517

1、在以前的网络抓包分析工作中，您是用什么工具，使用感觉如何？
linux 下用 tcpdump，win 下用“Ethereal”即Wireshark，原来都改名了呀。
没用过 linux 下的 Ethereal，在命令行下使用 tcpdump 抓包，保存的文件取到 win 下用 Ethereal 读取来做分析。tcpdump 命令行操作可以用脚本自动控制， Ethereal 图形化界面方便分析操作。

2、Wireshark的哪些功能是你所看重的，和商业的网络封包分析软件相比，Wireshark优缺点如何？
没用过很多的软件，没法比了。不过 win 下的 Ethereal 的图形界面很方便分析，使用不同的颜色来标识不同的包；并且可以对抓包结果再次过滤；有摘要窗口显示主要信息，需要的时候点击查看详细信息。这些功能都对分析工作很有帮助。

Godbach

回复 1# send_linux
好活动，欢迎大家积极参与。


   

Godbach

回复 1# send_linux

最早开始用的就是 Ethereal（wireshark 的前身）。当时充分用这个工具学习了各个协议层的组成，一个字节一个字节的对照着书本看，还手动的计算过校验和。真的很易用。

Sniffer 多少用过一些，当时主要是是用来发包。现在主要就是 tcpdump 和 wireshark 了。