Wireshark(Ethereal)安装使用

ubuntuer

                     Wireshark的前身就是大名鼎鼎的Ethereal，很黄很暴力的开源的网络协议分析工具.
   1.install

#wegt http://www.wireshark.org/download/src/wireshark-0.99.4.tar.gz

# cd Wireshark-0.10.12

# ./configure

# make ；# make install
     对于ubuntu users可以直接使用sudo apt-get install wireshark来安装wireshark
   2.use
    当编译并安装好Wireshark后，就可以执行“Wireshark”命令来启动Wireshark。在用Wireshark截获数据包之前，应该为其
设置相应的过滤规则，可以只捕获感兴趣的数据包。Wireshark使用与Tcpdump相似的过滤规则，并且可以很方便地存储已经设置好的过滤规则.有于是GUI界面,这个没什么好说的自己慢慢体会,多DIY
  
   3.分析
   看看Wireshark对于互联网数据的分析。Wireshark和其它的图形化嗅探器使用基本类似的界面，整个窗口被分
成三个部分：最上面为数据包列表，用来显示截获的每个数据包的总结性信息；中间为协议树，用来显示选定的数据包所属的协议信息；最下边是以十六进制形式表
示的数据包内容，用来显示数据包在物理层上传输时的最终形式。
使用Wireshark可以很方便地对截获的数据包进行分析，包括该数据包的源地址、目的地址、所属协议等。图1是在Wireshark中对一个HTTP
数据包进行分析时的情形。在图最上边的数据包列表中，显示了被截获的数据包的基本信息。

图1用Wireshark分析互联网数据包内容
   
图1中间是协议树，通过协议树可以得到被截获的数据包的更多信息，如主机的MAC地址(Ethernet II)、IP地址(Internet
Protocol)、TCP端口号(Transmission Control Protocol)，以及HTTP协议的具体内容(Hypertext
Trnasfer
Protocol)。通过扩展协议树中的相应节点，可以得到该数据包中携带的更详尽的信息。最下边是以十六制显示的数据包的具体内容，这是被
截获的数据包在物理媒体上传输时的最终形式，当在协议树中选中某行时，与其对应的十六进制代码同样会被选中，这样就可以很方便地对各种协议的数据包进行分析.
   图2 是一个详细封包分析。是点击该封包选择“Mark Pactet”。

图2一个封包分析
   
从图中可以看出，当前选中数据包的源地址是221.217.132.33，目的地址为202.106.124.50，该数据包所属的协议是超文本传输协议
(HTTP)。要获取更加详细信息可以是点击该封包选择“Follow TCP stearm ”。如图18-16。

图3使用Follow TCP stearm 查看详细信息
    更详细的信息表明该数据包中含有一个HTTP的GET命令，访问的网站是：
www.it168.com
。客户端使用的Firefox浏览器，操纵系统Linux.
    就这么多了慢慢体会，有兴趣的交流下,下篇日志就是wireshark+iptables强强组合了.先开吼一声，这是个工程阿！
   
       
                                               
               
               
               
               
               

本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u2/76292/showart_1133341.html