免费开源抓包工具Wireshark介绍

一、Wireshark 安装详解

Wireshark 是一款跨平台的网络协议分析器，支持 Windows、macOS 和 Linux 等操作系统。以下分别介绍在不同操作系统上的安装步骤，并详细解释安装过程中的选项。

1、Windows 平台安装

1.下载 Wireshark 安装包:

访问 Wireshark 官方网站：https://www.wireshark.org/
点击 "Download" 按钮，选择适合 Windows 系统的安装包（通常是 Windows 64-bit 或 Windows 32-bit，根据您的系统选择）。

2.运行安装程序:

双击下载的 .exe 安装包，启动 Wireshark 安装向导。

3.欢迎界面:

点击 "Next" 继续。

4.许可协议:

阅读许可协议，如果同意条款，选择 "I Agree" 并点击 "Next"。

5.选择组件 (Choose Components):

Wireshark: 核心程序，必须安装。
TShark: 命令行版本的 Wireshark，如果您需要在命令行下使用 Wireshark 功能（例如在服务器上），建议安装。
Qt5 and other libraries: Wireshark 图形界面所需的库文件，必须安装。
关联文件类型 (Associate File Extensions): 建议勾选，将 .pcap, .pcapng 等文件类型关联到 Wireshark，方便直接双击打开。
Add Wireshark to the system PATH: （可选）将 Wireshark 添加到系统环境变量 PATH 中，这样可以在命令行中直接运行 wireshark 命令。如果您不熟悉命令行，可以不勾选，之后可以通过 Wireshark 安装目录下的 wireshark.exe 启动。
Install Npcap packet capture library: 强烈建议勾选。 Npcap 是 Wireshark 在 Windows 平台上进行数据包捕获的核心组件。 如果您不安装 Npcap，Wireshark 可能无法捕获网络数据包，或者功能受限。
选项用途解释：
- Install Npcap packet capture library: 最重要的选项！ Npcap (Nmap Packet Capture) 是一个现代化的数据包捕获库，取代了旧的 WinPcap。 Npcap 提供了更好的性能、安全性和功能，例如支持最新的 Windows 版本，支持 USB 数据包捕获等。 不安装 Npcap 将导致 Wireshark 无法捕获网络流量。

6.Npcap 安装选项 (如果之前选择了安装 Npcap):

Npcap License: 阅读 Npcap 许可协议，选择 "I Agree"。
Choose Npcap Options:
- Install Npcap in WinPcap API-compatible Mode: （可选）如果某些旧的程序或工具依赖于 WinPcap API，可以勾选此选项以保持兼容性。 对于大多数 Wireshark 用户，通常不需要勾选此选项。 Npcap 已经足够强大，并且 Wireshark 本身就原生支持 Npcap。
- Support raw 802.11 traffic (and monitor mode) for wireless adapters: （可选）如果需要捕获 802.11 无线网卡的原始流量（包括 monitor mode），则需要勾选此选项。 通常只有在进行无线网络安全分析或高级无线网络调试时才需要勾选。 普通网络分析可以不勾选。
- Restrict Npcap driver access to Administrators only: （重要）强烈建议勾选。 勾选此选项后，只有管理员权限的用户才能使用 Npcap 驱动进行数据包捕获，增强系统安全性。 不勾选此选项可能会使普通用户也能进行数据包捕获，存在安全风险。
- 选项用途解释：
  - Install Npcap in WinPcap API-compatible Mode: 兼容旧的 WinPcap API。一般不需要勾选，除非有明确的旧程序依赖 WinPcap。
  - Support raw 802.11 traffic (and monitor mode) for wireless adapters: 支持无线网卡原始流量捕获和监听模式。一般网络分析不需要。
  - Restrict Npcap driver access to Administrators only: 强烈建议勾选，增强安全性，限制只有管理员才能抓包。

7.安装位置 (Installation Location):

选择 Wireshark 的安装目录，默认即可，点击 "Next"。

8.开始菜单文件夹 (Start Menu Folder):

选择开始菜单中的 Wireshark 快捷方式存放文件夹，默认即可，点击 "Next"。

9.安装进程:

点击 "Install" 开始安装。等待安装完成。

10.安装完成:

安装完成后，点击 "Next"。
可以选择是否立即运行 Wireshark，点击 "Finish" 完成安装。

2、macOS 平台安装

1.下载 Wireshark 安装包:

访问 Wireshark 官方网站：https://www.wireshark.org/
点击 "Download" 按钮，选择 macOS 的安装包 (.dmg 文件)。

2.打开 .dmg 文件:

双击下载的 .dmg 文件，会挂载一个磁盘镜像。

3.运行安装程序:

在打开的磁盘镜像中，找到 Wireshark 安装程序包 (.pkg 文件)，双击运行。

4.引导安装:

按照安装向导的提示，点击 "Continue" -> "Continue" -> "Agree" (许可协议) -> "Install"。

5.身份验证:

系统可能会要求输入管理员密码进行身份验证，输入密码并点击 "安装软件"。

6.安装完成:

安装完成后，点击 "Close"。

7.卸载磁盘镜像:

将 Wireshark 磁盘镜像拖动到废纸篓进行卸载。

3、Linux 平台安装

在 Linux 系统上，通常可以使用包管理器进行安装。不同的 Linux 发行版使用的包管理器可能不同。以下以几种常见的发行版为例：

Debian/Ubuntu 系统:
```
sudo apt update
sudo apt install wireshark
```
安装过程中可能会询问是否允许非管理员用户捕获数据包。 为了安全起见，建议选择 "No"，即只允许管理员用户抓包。 如果需要非管理员用户抓包，则需要进行额外的配置（例如将用户添加到 wireshark 用户组）。

Fedora/CentOS/RHEL 系统:

sudo yum install wireshark  # 或 dnf install wireshark (较新的 Fedora 版本)

Arch Linux 系统:

sudo pacman -S wireshark-gtk  # 安装带有图形界面的版本
sudo pacman -S wireshark-cli  # 安装命令行版本 (TShark)

安装过程中选项用途解释 (Linux):
- Allow non-superusers to capture packets? (Debian/Ubuntu): 是否允许非管理员用户抓包。 建议选择 "No" 以增强安全性。 如果选择 "Yes"，则需要配置用户组权限。

二、Wireshark 基本使用方法

1、启动 Wireshark:

Windows: 从开始菜单找到 Wireshark 并运行。
macOS: 在 "应用程序" 文件夹中找到 Wireshark 并运行。
Linux (图形界面): 通常在应用程序菜单或桌面环境中可以找到 Wireshark 图标运行。
Linux (命令行): 在终端输入 wireshark 或 tshark 命令。

2、选择网络接口 (Choose Interface):

Wireshark 启动后，会显示可用的网络接口列表。
选择您要捕获流量的网络接口。 例如，如果您要分析通过以太网卡的流量，则选择对应的以太网卡接口（例如 "eth0", "en0" 或描述包含 "Ethernet" 的接口）。如果要分析 WiFi 流量，则选择无线网卡接口（例如 "wlan0", "en1" 或描述包含 "Wi-Fi" 的接口）。
不确定选择哪个接口？ 可以先观察各个接口的流量活动情况，通常选择流量活动较多的接口。或者可以使用 ipconfig /all (Windows) 或 ifconfig (macOS/Linux) 命令查看本地网络接口的详细信息，例如 IP 地址、MAC 地址等，帮助您识别正确的接口。

3、开始捕获 (Start Capture):

双击选定的网络接口，或者点击左上角的 蓝色鲨鱼鳍图标 (开始捕获按钮)。
Wireshark 开始实时捕获选定接口的网络数据包，并将数据包显示在主界面上。

4、停止捕获 (Stop Capture):

点击左上角的 红色方块图标 (停止捕获按钮)。
Wireshark 停止捕获，但已经捕获的数据包会保留在界面上供您分析。

5、分析数据包:

Wireshark 主界面分为三个主要区域：
- 数据包列表 (Packet List Pane - 上方): 显示捕获到的数据包列表，每一行代表一个数据包。包含序号 (No.)、时间戳 (Time)、源地址 (Source)、目标地址 (Destination)、协议 (Protocol)、长度 (Length)、信息 (Info) 等列。
- 数据包详细信息 (Packet Details Pane - 中间): 选中数据包列表中的一个数据包后，此区域会以协议分层结构的方式显示该数据包的详细信息。可以展开协议层级，查看各个协议字段的值。
- 数据包字节流 (Packet Bytes Pane - 下方): 以十六进制和 ASCII 码形式显示数据包的原始字节数据。

6、基本过滤 (Basic Filtering):

显示过滤器 (Display Filter - 主界面上方): 在显示过滤器输入框中输入过滤表达式，可以只显示符合条件的数据包。
常用过滤器示例:
- http - 只显示 HTTP 协议的数据包。
- tcp.port == 80 - 只显示 TCP 端口为 80 的数据包（通常是 HTTP）。
- ip.addr == 192.168.1.100 - 只显示源或目标 IP 地址为 192.168.1.100 的数据包。
- tcp.flags.syn == 1 - 只显示 TCP SYN 包（用于建立连接）。
更多过滤器语法和使用方法，请参考 Wireshark 官方文档或在线教程。

7、保存捕获结果 (Save Capture File):

点击菜单 "文件 (File)" -> "保存 (Save)" 或 "另存为 (Save As)"。
选择保存位置和文件名，Wireshark 默认保存为 .pcapng 格式，也可以选择其他格式例如 .pcap (兼容性更好)。
保存的捕获文件可以稍后重新打开进行分析，或与他人分享。

8、重要提示:

管理员权限: 在 Windows 和 Linux 上，通常需要管理员权限（或 root 权限）才能运行 Wireshark 并捕获网络数据包。macOS 上默认也需要管理员权限。
网络性能影响: 长时间或高流量的抓包可能会对网络性能产生一定影响，尤其是在资源有限的设备上。
隐私和安全: 网络数据包中可能包含敏感信息，例如密码、Cookie、用户数据等。在捕获和分析网络流量时，务必遵守法律法规和伦理规范，注意保护个人隐私和信息安全。
学习资源: Wireshark 功能非常强大，掌握所有功能需要时间和学习。建议参考 Wireshark 官方文档、在线教程、书籍等资源进行深入学习。

三、抓取http和https数据介绍

使用 Wireshark 这类抓包工具，对于 没有加密的 HTTP 传输，理论上是可以捕获到用户名和密码等敏感信息的明文的。这是因为 HTTP 协议在传输数据时默认不进行加密，所有数据都以明文形式在网络上传输。

但是，对于 HTTPS 传输，情况就完全不同了。HTTPS (HTTP Secure) 是在 HTTP 的基础上加入了 SSL/TLS 协议进行加密的。这意味着所有通过 HTTPS 传输的数据都会被加密，包括请求头、请求体、响应头、响应体等，自然也包括用户名和密码。

让我们详细解释一下这两种情况：

1、HTTP 传输的用户名和密码抓取

原理: 当网站使用 HTTP 协议传输用户登录信息时，例如用户在登录表单中输入用户名和密码，提交后，这些信息会以明文的形式包含在 HTTP 请求的数据包中，通过网络发送到服务器。
Wireshark 捕获过程:
1. 使用 Wireshark 启动抓包，并选择正确的网络接口来监听网络流量。
2. 在浏览器中访问 HTTP 网站并进行登录操作。
3. 停止 Wireshark 抓包。
4. 在 Wireshark 捕获的数据包列表中，使用过滤器（例如 http.request.method == POST 或者直接过滤 http 协议）找到 HTTP 请求包。
5. 追踪 HTTP 数据流 (例如右键点击数据包，选择 "追踪流" -> "HTTP 流")，或者查看数据包详细信息中的 "HTTP" 层，通常可以在请求体 (Request Body) 中找到以明文形式传输的用户名和密码。
风险: 由于 HTTP 的不安全性，任何在网络路径上的监听者（例如使用 Wireshark 的攻击者，或者在不安全的公共 Wi-Fi 网络中的恶意用户）都有可能捕获到这些敏感的明文信息，导致账号泄露。

2、HTTPS 传输的用户名和密码抓取

原理: HTTPS 协议通过 SSL/TLS 协议对 HTTP 通信进行加密。在建立 HTTPS 连接时，客户端和服务器之间会进行密钥协商，并使用协商好的密钥对后续的所有 HTTP 数据进行加密。这意味着，即使 Wireshark 捕获到了 HTTPS 数据包，看到的数据也是经过加密的，是密文，而不是明文。
Wireshark 捕获 HTTPS 数据包的情况:
1. 使用 Wireshark 启动抓包，并选择正确的网络接口。
2. 在浏览器中访问 HTTPS 网站并进行登录操作。
3. 停止 Wireshark 抓包。
4. 在 Wireshark 捕获的数据包列表中，可以看到 HTTPS 或 TLS 协议的数据包。
5. 查看数据包详细信息，可以看到数据包是被加密的，无法直接看到明文的用户名和密码。
是否完全无法解密 HTTPS 流量？ 在通常情况下，是的。 HTTPS 的加密设计目的是为了保护数据传输的机密性和完整性，防止中间人窃听和篡改。在没有特殊条件的情况下，Wireshark 无法直接解密 HTTPS 流量，也就无法直接看到加密的用户名和密码等信息。

然而，在某些特殊情况下，HTTPS 流量 有可能 被解密和分析，但这通常需要一些前提条件和额外的操作，并且不代表 HTTPS 加密被轻易攻破。以下是一些可能的情况：

A. 使用 SSL/TLS 会话密钥或服务器私钥进行解密 (SSL/TLS Decryption)

原理: SSL/TLS 协议在握手阶段会协商出一个会话密钥 (Session Key) 或使用服务器的私钥进行加密。如果在 Wireshark 中提供了会话密钥或服务器私钥，Wireshark 就可以使用这些密钥来解密后续的 HTTPS 流量。
方法:
- SSLKEYLOGFILE 环境变量: 某些浏览器或应用程序支持将 SSL/TLS 会话密钥记录到文件中，通过设置 SSLKEYLOGFILE 环境变量可以启用此功能。然后在 Wireshark 的 "编辑" -> "首选项" -> "协议" -> "SSL" (或 "TLS") 中，指定这个密钥日志文件，Wireshark 就可以尝试使用日志中的密钥来解密相应的 HTTPS 会话。
- 服务器私钥: 如果拥有服务器的私钥，也可以在 Wireshark 中配置私钥文件来进行解密。但这通常只在您是服务器管理员或者拥有特殊权限的情况下才有可能。
限制和风险:
- 密钥获取困难: 获取会话密钥或服务器私钥通常非常困难，特别是在生产环境中，服务器私钥必须严格保密。 SSLKEYLOGFILE 环境变量通常只用于开发和调试环境，在生产环境启用会存在安全风险。
- 只解密特定会话: 使用会话密钥通常只能解密特定的 SSL/TLS 会话，而不是所有 HTTPS 流量。
- 前向安全 (Forward Secrecy): 现代 HTTPS 协议和密钥协商算法（例如使用 Diffie-Hellman Ephemeral (DHE) 或 Elliptic Curve Diffie-Hellman Ephemeral (ECDHE) 密钥交换）实现了前向安全。这意味着即使服务器的私钥泄露，历史的 HTTPS 会话也无法被解密（如果使用了 ephemeral 密钥交换）。使用 SSLKEYLOGFILE 方法可能对部分实现了前向安全的会话解密无效。
适用场景: 开发调试环境，或者在拥有特殊权限和密钥的情况下进行协议分析和故障排查。

B. 中间人攻击 (Man-in-the-Middle Attack - MITM) 的情景 (例如使用代理工具)

原理: 通过设置一个中间人代理 (例如 Fiddler, Charles Proxy, mitmproxy 等) 在客户端和服务器之间，代理服务器会作为中间人，与客户端建立 HTTPS 连接，并与服务器建立另一个 HTTPS 连接。客户端实际上是与代理服务器建立的 HTTPS 连接，而不是直接与目标服务器建立连接。代理服务器可以解密与客户端的 HTTPS 连接，并重新加密与服务器的连接。
Wireshark 捕获过程: 在这种情况下，Wireshark 实际上可以捕获到 客户端与代理服务器之间 的 解密后的 HTTP 流量，因为代理服务器已经完成了 HTTPS 解密。要捕获到这个解密后的流量，您需要确保 Wireshark 监听的是客户端与代理服务器通信的网络接口和端口。
条件:
- 客户端配置代理: 需要在客户端（例如浏览器或应用程序）中配置使用代理服务器。
- 信任代理证书: 为了避免客户端浏览器或应用程序因证书问题而拒绝连接，通常需要在客户端安装并信任代理服务器生成的 SSL 证书，以便代理服务器可以冒充目标网站进行 HTTPS 连接。
常用工具: Fiddler, Charles Proxy, mitmproxy 等 Web 调试代理工具通常都具备 MITM HTTPS 解密功能，并可以配合 Wireshark 进行更详细的网络分析。
MITM 代理工具 (例如 Fiddler 或 Charles Proxy) 配合 Wireshark 进行 HTTPS 解密分析客户端流量先经过代理工具解密，代理工具与服务器之间是加密的 HTTPS 连接，Wireshark 抓取客户端到代理工具之间的流量，可以看到解密后的内容
- 请注意： 这种方法实际上是通过引入一个中间人来进行解密，而不是直接破解 HTTPS 加密本身。在实际应用中，如果客户端没有被配置使用代理，或者没有信任中间人证书，MITM 攻击通常无法成功。

3、总结

对于 HTTP 传输: Wireshark 可以直接捕获并分析出明文的用户名和密码等敏感信息，非常不安全，强烈不建议使用 HTTP 传输敏感数据。
对于 HTTPS 传输: 在正常情况下，Wireshark 无法直接解密 HTTPS 流量，也无法直接看到加密的用户名和密码。 HTTPS 提供了有效的加密保护，防止了网络监听和窃听。
特殊情况下的 HTTPS 解密: 在一些特殊情况下（例如拥有密钥、使用 MITM 代理），HTTPS 流量可能被解密和分析，但这通常需要满足特定的前提条件，并且不代表 HTTPS 加密被轻易破解。
安全建议: 为了保护用户敏感信息，所有涉及用户名、密码、个人信息等敏感数据的网站和服务，都应该强制使用 HTTPS 协议进行加密传输。 用户也应该养成安全上网的习惯，避免在 HTTP 网站上输入敏感信息，并注意检查网站是否使用了 HTTPS 加密。

四、可抓取的数据范围

安装 Wireshark 之后，它的功能 不仅仅 局限于抓取您当前电脑自身的数据包，在特定条件下，它可以抓取到网络中其他设备之间传输的数据包。

更准确地说，Wireshark 主要抓取的是 网络接口 接收和发送的数据包。而网络接口所能“看到”的数据包范围，取决于您的网络环境和网络接口的工作模式。

为了更清晰地解释，我们来细分几种情况：

1、默认情况下：抓取本地电脑网络接口的数据包

最常见的情况： 当您直接启动 Wireshark 并选择一个网络接口（例如以太网卡或 Wi-Fi 网卡）开始抓包时，Wireshark 默认会抓取 通过您电脑的这个网络接口进出的所有数据包。
这意味着：
- 您肯定能抓取到 所有目标地址或源地址是您电脑自身 IP 地址的数据包。这些数据包是您电脑上运行的应用程序（例如浏览器、聊天软件等）发送和接收的网络流量。
- 您也能抓取到 广播数据包 和 多播数据包。这类数据包会被发送到网络中的所有设备或一组设备，您的电脑的网络接口也会接收到这些数据包。
但默认情况下，您可能无法抓取到网络中其他两台电脑之间直接通信的数据包，如果这些数据包的源地址和目标地址都不是您的电脑。 这是因为在现代交换式网络环境中，交换机会智能地将数据包只转发到目标设备的端口，而不是广播到所有端口。

2、在特定网络环境或配置下：抓取网络中更多的数据包

在某些特定的网络环境或配置下，Wireshark 确实可以抓取到超出您自身电脑的数据包，甚至可能监听到网络中其他设备之间的通信。主要有以下几种情况：

a) 集线器 (Hub) 网络环境 (非常罕见，几乎已淘汰)
- 原理： 在早期的集线器 (Hub) 网络中，所有连接到集线器的设备都共享同一个冲突域。当一个设备发送数据包时，集线器会将数据包广播到所有端口。这意味着连接到同一个集线器的所有设备都能接收到所有的数据包，无论数据包的目标地址是不是自己。
- Wireshark 抓包： 在这种环境下，如果您将运行 Wireshark 的电脑连接到集线器上，您的 Wireshark 很可能可以抓取到网络中所有设备之间传输的数据包，包括不是发给您电脑的数据包。
- 现代网络的演进： 现在几乎已经完全淘汰了集线器，取而代之的是 交换机 (Switch)。交换机解决了集线器的广播冲突问题，提高了网络效率和安全性。
b) 网络接口设置为 "混杂模式 (Promiscuous Mode)"
- 原理： 正常情况下，网卡只会接收目标 MAC 地址是自身网卡 MAC 地址的数据包。 混杂模式 是一种网卡的工作模式，当网卡设置为混杂模式后，它会 接收网络中所有经过的数据包，无论数据包的目标 MAC 地址是不是自身网卡的 MAC 地址。
- Wireshark 抓包： Wireshark 在启动抓包时，通常会自动尝试将网络接口设置为混杂模式（如果操作系统和网卡驱动支持）。如果您的网络环境允许网卡工作在混杂模式，并且您所在的网络段可以“看到”其他设备的数据包（例如在集线器网络、或者通过交换机端口镜像配置），那么 Wireshark 就能抓取到更多的数据包，甚至包括不是发给您电脑的数据包。
- 交换机和混杂模式： 即使网卡设置为混杂模式，在现代 交换式网络 中，交换机通常仍然会限制数据包的转发范围，只将数据包发送到目标端口，而不是广播到所有端口。因此，即使您的网卡处于混杂模式，在交换机环境下，您通常也 无法直接抓取到其他端口的数据包 (除非使用了端口镜像等特殊配置)。
- 如何开启混杂模式 (通常 Wireshark 自动处理): Wireshark 自身通常会尝试在抓包开始时启用混杂模式。在某些操作系统或网络环境下，可能需要手动配置或确保用户具有足够的权限才能启用混杂模式。
c) 交换机配置了 "端口镜像 (Port Mirroring)" 或 "SPAN 端口 (Switched Port Analyzer)"
- 原理： 端口镜像 (Port Mirroring) 或 SPAN 端口是交换机的一种高级功能，管理员可以将交换机上 一个或多个端口的流量复制一份，并发送到指定的镜像端口 (Mirror Port 或 SPAN Port)。连接到镜像端口的设备就可以接收到被镜像端口的流量副本。
- Wireshark 抓包： 如果网络管理员在交换机上配置了端口镜像，将 其他端口 (例如连接到其他电脑的端口) 的流量镜像到您电脑所连接的端口，那么即使在交换式网络中，您的 Wireshark 也能抓取到被镜像端口的流量，也就是 其他电脑的网络数据包。
- 管理员权限： 端口镜像通常需要网络管理员在交换机上进行配置，普通用户无法自行设置。这种方式常用于网络监控、安全审计、故障排查等目的。

d) 网络分路器 (Network TAP)
- 原理： 网络分路器 (Network TAP) 是一种 硬件设备，它可以 物理地分割网络链路，并将网络流量复制一份，分别发送到两个或多个输出端口，而不会影响原始的网络通信。它是完全 被动式 的，不会对网络流量进行任何修改。
- Wireshark 抓包： 将网络分路器插入到网络链路中 (例如，服务器和交换机之间)，然后将您的电脑连接到分路器的 镜像端口，您的 Wireshark 就能 被动地捕获到经过该网络链路的所有流量，包括服务器和交换机之间的数据包。
- 硬件设备： 网络分路器是独立的硬件设备，需要物理部署在网络链路上。它可以提供非常精确和可靠的网络流量捕获，常用于高性能网络监控和安全分析。
e) 无线网络 (Wi-Fi) 环境下的 “监听模式 (Monitor Mode)”
- 原理： 对于无线网卡，如果网卡和驱动支持 监听模式 (Monitor Mode)，并且 Wireshark 启用了监听模式，无线网卡可以 监听空中传播的 Wi-Fi 数据包，无论这些数据包的目标 MAC 地址是不是您的无线网卡。 这类似于有线网络中的混杂模式，但更强大，因为它可以捕获空中接口的所有 Wi-Fi 流量，包括控制帧、管理帧和数据帧。
- Wireshark 抓包： 在 Wi-Fi 环境下，如果您的无线网卡支持监听模式，并且您在 Wireshark 中选择了正确的无线接口并启用了监听模式 (通常 Wireshark 会提示您选择监听模式)，您 可以抓取到周围空中传播的 Wi-Fi 数据包，即使这些数据包不是发给您的设备，例如邻居 Wi-Fi 网络的数据包（当然，前提是您在信号覆盖范围内）。
- 加密的 Wi-Fi 网络： 对于使用了 WEP 或 WPA/WPA2 加密 的 Wi-Fi 网络，即使抓取到加密的数据包，您也 无法直接解密查看数据包的内容，除非您拥有 Wi-Fi 网络的 PSK 密码 (预共享密钥) 并在 Wireshark 中配置了解密密钥。对于 WPA3 加密 的 Wi-Fi 网络，解密难度更高，通常更难被破解。

编辑c4pr1c3.github.io 3、总结：Wireshark 的抓包范围取决于网络环境和配置

默认情况 (交换式网络，普通模式): Wireshark 主要抓取本地电脑网络接口的数据包。
特殊情况 (集线器网络，混杂模式，端口镜像，网络分路器，无线监听模式): Wireshark 可以抓取到更多的数据包，甚至包括网络中其他设备之间的通信。

重要提示和伦理道德

未经授权的网络监听是违法和不道德的： 在没有得到明确授权的情况下， 监听和捕获网络中不属于您的流量，通常是违法行为，并且严重侵犯他人隐私。 请务必遵守当地法律法规和伦理道德规范，只在您拥有合法权限的网络环境下进行网络分析和抓包操作。
安全风险： 如果您在不安全的网络环境 (例如公共 Wi-Fi) 下使用 Wireshark 抓包，也需要注意自身安全。您捕获的数据包中可能包含敏感信息，需要妥善保管，防止泄露。

总而言之，Wireshark 的功能非常强大，它可以抓取的网络数据包范围取决于您的网络环境、配置以及您的操作方式。理解这些不同的情况，可以帮助您更有效地使用 Wireshark 进行网络分析和故障排查，但同时也需要您牢记网络安全和伦理道德的重要性。

五、Wireshark与网络行为检测设备的相似之处

很多网络行为检测设备，是基于 Wireshark 的原理，甚至在某些情况下，会集成 Wireshark 或其核心组件，并进行深度定制，以满足特定的检测需求。

为了更清晰地解释，我们来详细展开这个话题：

1、网络行为检测设备的核心原理与 Wireshark 的共通之处

数据包捕获 (Packet Capture): 无论是 Wireshark 还是网络行为检测设备，其最基础和核心的功能都是 捕获网络数据包。这是所有网络分析和检测的基石。网络行为检测设备需要实时地、持续地监控网络流量，才能发现异常或恶意的行为。 Wireshark 依赖于如 libpcap (Linux/macOS) 或 Npcap (Windows) 这样的库来完成高效的数据包捕获，而很多网络行为检测设备也会使用类似的底层库或技术来实现高效的数据包捕获能力。
协议解析 (Protocol Dissection): Wireshark 的强大之处在于它能够 解析数百种网络协议，将原始的二进制数据包解析成易于理解的协议字段和信息。网络行为检测设备也需要具备强大的协议解析能力，才能理解网络通信的内容，并根据协议特性进行分析和判断。例如，识别 HTTP 请求的方法 (GET, POST)，分析 DNS 查询的域名，解析 SMTP 邮件的头部信息等等。 Wireshark 使用的协议解析器是开源的，并且被广泛研究和验证，因此很多商业和开源的网络安全产品都会 借鉴甚至直接使用 Wireshark 的协议解析器 或其解析原理。
流量分析和模式识别 (Traffic Analysis and Pattern Recognition): Wireshark 提供了强大的 过滤器 (Filter) 功能，允许用户根据各种条件（协议、IP 地址、端口、协议字段等）来筛选和分析数据包。网络行为检测设备的核心任务就是 分析网络流量，识别异常行为，并根据预定义的规则或机器学习模型进行判断。 虽然网络行为检测设备通常会使用更复杂的分析引擎和算法，但其基础仍然是 对网络流量进行深入的分析和模式识别，这与 Wireshark 的基本分析思路是一致的。

2、网络行为检测设备对 Wireshark 原理的深度定制和增强

虽然网络行为检测设备在原理上与 Wireshark 有共通之处，但为了满足专业的网络安全检测需求，它们通常会在以下方面进行深度定制和增强：

a) 高性能数据包捕获和处理能力 (High-Performance Packet Capture and Processing)
- 需求: 网络行为检测设备需要 实时、高速、稳定地处理大量的网络流量，尤其是在高速网络环境中 (例如 10Gbps, 40Gbps, 100Gbps 甚至更高)。这对数据包捕获和处理性能提出了极高的要求。
- 定制和增强:
  - 硬件加速: 很多高性能网络行为检测设备会使用 专用硬件 (例如 FPGA, ASIC) 进行数据包捕获和协议解析的硬件加速，以提高处理速度和效率。这超越了 Wireshark 软件本身的能力。
  - 多核并行处理: 充分利用多核 CPU 的并行处理能力，将数据包捕获、协议解析、分析检测等任务 并行化处理，以提升吞吐量。
  - 内核旁路技术 (Kernel Bypass): 绕过操作系统的内核网络协议栈， 直接从网卡接收数据包到用户空间 进行处理，减少内核协议栈的开销，例如使用 DPDK (Data Plane Development Kit) 等技术。 Wireshark 通常运行在操作系统用户空间，性能会受到内核协议栈的限制，而高性能检测设备会进行更底层的优化。
  - 零拷贝技术 (Zero-Copy): 在数据包从网卡到应用程序内存的传输过程中， 尽量减少数据拷贝的次数，提高数据传输效率，例如使用 mmap, io_uring 等技术。
b) 专业的检测引擎和规则库 (Specialized Detection Engines and Rule Sets)
- 需求: 网络行为检测设备的核心价值在于其 专业的检测能力，能够准确、及时地 检测出各种网络安全威胁和异常行为，例如入侵攻击、恶意软件通信、异常流量、数据泄露等。
- 定制和增强:
  - 入侵检测系统 (IDS) 规则: 集成大量的 入侵检测规则 (例如 Snort 规则、Suricata 规则)，用于检测已知的攻击模式和漏洞利用行为。这些规则通常由安全专家团队持续更新和维护。
  - 异常检测 (Anomaly Detection): 使用 机器学习 (Machine Learning) 和行为分析 (Behavioral Analysis) 技术，建立正常网络行为的基线模型，然后检测偏离基线的异常流量和行为。这可以发现未知的、新型的攻击。
  - 威胁情报 (Threat Intelligence) 集成: 集成 实时的威胁情报数据 (例如恶意 IP 地址、域名、恶意软件 Hash 等)，用于识别已知的恶意实体和活动。
  - 深度包检测 (Deep Packet Inspection - DPI): 对数据包的 应用层内容进行深度检测，例如识别应用协议类型、分析 HTTP 请求头、检测 SQL 注入攻击、分析文件传输内容等等。这超越了 Wireshark 基础的协议解析，需要更复杂的模式匹配和内容分析技术。
  - 状态化检测 (Stateful Inspection): 跟踪网络连接的状态 (例如 TCP 连接的建立、数据传输、关闭过程)，并基于连接状态进行检测，例如检测 TCP 状态攻击、会话劫持等。 Wireshark 主要关注单个数据包的分析，而状态化检测设备需要维护连接上下文信息。
c) 实时告警和响应机制 (Real-time Alerting and Response Mechanisms)
- 需求: 网络行为检测设备需要 实时地发出告警 (Alert)，当检测到可疑或恶意行为时，及时通知安全管理员，以便快速响应和处理。一些高级的设备还具备 自动响应 (Automatic Response) 能力，例如自动阻断恶意流量、隔离受感染的主机等。
- 定制和增强:
  - 实时告警系统: 建立 高效的告警生成和分发系统，能够根据检测结果生成告警事件，并通过多种方式通知管理员 (例如邮件、短信、Syslog、SNMP Trap、安全信息和事件管理系统 (SIEM) 集成)。
  - 告警优先级和关联分析: 对告警事件进行 优先级划分和关联分析，减少误报，帮助管理员快速定位和处理真正的安全威胁。
  - 自动响应和阻断 (Automated Response and Blocking): 集成 流量阻断 (Traffic Blocking) 和 隔离 (Quarantine) 功能，当检测到高危威胁时，能够自动采取措施，例如阻断恶意 IP 地址的流量、隔离受感染的主机，以减少损失。
d) 集中管理和可视化界面 (Centralized Management and Visualization Interface)
- 需求: 在大型网络环境中，可能部署 多个网络行为检测设备，需要 集中管理和监控 这些设备，并 可视化地展示 网络安全态势、告警信息、流量分析结果等。
- 定制和增强:
  - 集中管理平台: 提供 统一的管理平台，用于配置和管理多个检测设备，收集和汇总告警信息，进行策略部署和更新等。
  - 可视化仪表盘 (Dashboard): 提供 直观的可视化仪表盘，展示网络安全态势、流量统计、告警趋势、威胁地图等信息，帮助管理员快速了解网络安全状况。
  - 报表生成 (Reporting): 支持生成各种 安全报表，例如安全事件报告、威胁趋势分析报告、合规性报告等，用于安全审计和管理。

3、Wireshark 组件的集成和定制

开源组件的利用: Wireshark 是一个 开源项目，其核心组件，例如协议解析器 (dissectors)、数据包捕获库 (libpcap/Npcap) 等，都是开源的，并且可以被其他项目和产品 免费使用和集成。因此，很多网络行为检测设备厂商会 直接使用或借鉴 Wireshark 的开源组件，例如：
- 协议解析库 (Dissectors): 复用 Wireshark 的协议解析代码，以快速支持各种网络协议的解析，并保持协议解析的准确性和及时更新。
- 数据包捕获库 (libpcap/Npcap): 使用 libpcap 或 Npcap 作为底层的数据包捕获引擎，以实现高效的数据包捕获能力。
商业产品的定制和包装: 一些商业网络行为检测设备，可能会 在 Wireshark 开源组件的基础上进行深度定制和开发，例如：
- 重新设计用户界面: 为了满足商业产品的需求，可能会开发 全新的、更专业的用户界面，而不是直接使用 Wireshark 的原始 GUI。
- 集成商业化的检测引擎和规则库: 在开源组件的基础上，集成 厂商自研的、商业化的检测引擎和规则库，以提供更高级、更专业的安全检测能力。
- 硬件加速和性能优化: 结合 专用硬件和底层优化技术，大幅提升性能，以满足高性能网络环境的需求。
- 提供商业支持和服务: 作为商业产品，提供 专业的技术支持、售后服务和持续更新维护。

4、总结：原理共通，但检测设备更专业和强大

结论: 您的理解是正确的，很多网络行为检测设备确实是基于 Wireshark 的原理发展而来，甚至可能会集成 Wireshark 或其核心组件。
关键区别: 虽然原理共通，但 网络行为检测设备是更加专业化、商业化的产品，它们在 性能、检测能力、实时性、管理性、可靠性 等方面都进行了深度定制和增强，以满足企业级网络安全检测的严苛需求。而 Wireshark 更侧重于通用性的网络协议分析和故障排查工具，虽然功能强大，但在某些专业领域 (例如高性能入侵检测、实时威胁响应) 可能有所不足。
关系: 可以理解为 Wireshark 是 基础工具和技术的 “开源基石”，而网络行为检测设备是 基于这个基石之上构建起来的 “专业化、商业化的高楼大厦”。

六、Wireshark与IBM ISVA对比

IBM Security Verify Access (ISVA) 也具有类似 Wireshark 的网络数据包分析和流量检测能力，但它的主要定位和应用场景与 Wireshark 有着显著的区别。 ISVA 的核心侧重于面向服务器区域的安全手段，特别是 Web 应用和 API 的安全防护、身份管理与访问控制。

为了更清晰地解释，我们来详细对比一下 IBM ISVA 和 Wireshark 在这方面的异同：

1、IBM Security Verify Access (ISVA) 的网络分析能力：

作为安全功能的一部分: ISVA 的网络数据包分析能力 不是独立的功能，而是作为其 核心安全功能 的支撑。 ISVA 需要深入检测和分析网络流量，才能实现其 Web 应用防火墙 (WAF)、API 安全、高级威胁防御等安全特性。
协议解析与深度包检测 (DPI): ISVA 也具备 协议解析能力和深度包检测 (DPI) 技术，可以解析 HTTP、HTTPS、DNS、SSL/TLS 等多种网络协议。 这使其能够理解网络流量的应用层内容，而不仅仅是传输层和网络层信息。这与 Wireshark 的协议解析能力在原理上是相似的。
流量监控与日志记录: ISVA 可以 持续监控进出服务器区域的网络流量，并 记录详细的流量日志。这些日志包含了网络连接信息、请求内容、响应内容、安全事件等，类似于 Wireshark 捕获的数据包信息，但 ISVA 的日志更侧重于安全事件和访问控制相关的记录。
异常流量检测与分析: ISVA 也具备 异常流量检测能力，可以识别出与正常模式不同的网络流量，例如 DDoS 攻击、SQL 注入攻击、跨站脚本攻击 (XSS) 等 Web 应用攻击流量。 这需要 ISVA 对流量进行实时的分析和模式识别，类似于 Wireshark 用户手动分析数据包以发现异常。
威胁情报集成: ISVA 通常会集成 威胁情报订阅源，可以根据 已知的恶意 IP 地址、域名、URL 特征等，识别和阻断恶意的网络请求。这增强了 ISVA 检测恶意流量的能力。

2、IBM ISVA 与 Wireshark 的关键区别：

特性	Wireshark	IBM Security Verify Access (ISVA)
主要目的	通用网络协议分析器，网络故障排查，安全分析工具	专业网络安全设备，Web 应用与 API 安全防护，身份管理与访问控制
功能侧重点	数据包捕获、协议解析、流量分析 (被动式)	Web 应用防火墙 (WAF), API 安全, 身份认证, 授权, 访问控制 (主动式防护)
部署位置	任何网络节点 (客户端、服务器、网络链路的监控点)	主要部署在服务器区域 (数据中心、云环境) 的网络入口点
实时性	实时数据包捕获与分析，但主要依赖人工分析	实时流量检测与告警，具备自动阻断和响应能力
自动化程度	低，主要依赖人工配置过滤器和手动分析	高，自动化检测、告警、响应，策略驱动
安全防护能力	无主动安全防护功能，仅用于事后分析	提供主动安全防护功能，例如入侵防御、Web 应用防火墙、API 安全保护
管理性	单机工具，无集中管理功能	集中管理平台，可管理多台 ISVA 设备，提供可视化报表
应用场景	网络协议分析、故障排查、安全分析、学习研究	保护 Web 应用、API、移动应用后端服务，企业级身份与访问管理
定位	通用型网络分析工具	专用型网络安全设备

3、为什么 ISVA 主要面向服务器区域的安全手段？

保护核心资产: 服务器区域通常是企业 核心应用和数据资产 存放的地方，例如 Web 应用服务器、数据库服务器、API 网关等。这些区域的安全至关重要，一旦被攻破，可能导致数据泄露、业务中断、品牌声誉受损等严重后果。 ISVA 的设计目标就是 重点保护这些核心资产免受来自外部和内部的威胁。
Web 应用和 API 安全需求: 现代应用架构越来越依赖 Web 应用和 API 进行交互。 Web 应用和 API 也成为主要的攻击入口点。 ISVA 作为 Web 应用防火墙 (WAF) 和 API 安全网关，专门针对 Web 应用和 API 的常见安全漏洞 (例如 OWASP Top 10) 和攻击手段 (例如 SQL 注入、XSS、API 滥用) 提供防护。 这些安全需求在服务器区域尤为突出。
身份管理与访问控制需求: 服务器区域通常需要 严格的身份认证和访问控制机制，确保只有授权用户才能访问特定的资源，并根据用户的角色和权限进行细粒度的访问控制。 ISVA 集成了 身份管理 (Identity Management) 和访问管理 (Access Management) 功能，可以实现 集中式的用户身份管理、多因素认证 (MFA)、单点登录 (SSO)、基于角色的访问控制 (RBAC)、OAuth 2.0, OpenID Connect 等现代身份认证和授权协议的支持。这些功能对于保护服务器区域的资源至关重要。
部署位置决定功能侧重: ISVA 通常 部署在数据中心或云环境的网络入口处，充当服务器区域的“安全卫士”，负责 拦截和过滤进出服务器区域的网络流量，识别和阻断恶意请求，控制用户对服务器资源的访问。其部署位置决定了其功能侧重于 服务器端的安全防护和访问控制。

4、总结：

ISVA 和 Wireshark 都具备网络数据包分析能力，但目的和应用场景截然不同。
Wireshark 是通用的网络分析工具，用于各种网络分析任务，包括安全分析、故障排查、协议学习等，但 不提供主动安全防护 功能。
IBM ISVA 是专业的网络安全设备，专注于 服务器区域的 Web 应用和 API 安全防护、身份管理与访问控制，提供 主动的、 自动化的 安全检测、告警和响应能力。其网络分析能力是服务于其核心安全功能的。
小企业如果需要网络入口的安全防护，更应该考虑部署 NGFW、UTM 或使用 MSSP 服务，而不是仅仅依赖 Wireshark。 如果需要保护 Web 应用和 API ，并进行身份管理与访问控制，IBM ISVA 这类专业的安全设备是更合适的选择。 Wireshark 则可以作为辅助工具，用于更深入的分析和故障排查。

七、黑客使用Wireshark的主要目的和场景

Wireshark 是黑客常用的工具之一。 由于 Wireshark 强大的网络数据包捕获和分析能力，它在各种网络攻击和渗透测试场景中都扮演着重要的角色。然而，需要强调的是，Wireshark 本身是一个 双刃剑 工具，它既可以被用于 防御性 的网络安全分析，也可以被用于 攻击性 的网络恶意活动。

为了更全面地理解 Wireshark 在黑客活动中的应用，我们来详细展开讨论黑客使用 Wireshark 的主要目的和场景：

1、网络侦查和信息收集 (Network Reconnaissance and Information Gathering):

探测目标网络拓扑结构: 黑客可以使用 Wireshark 被动地监听目标网络的流量，分析捕获的数据包，绘制出目标网络的拓扑结构，例如，识别网络中的主机数量、IP 地址范围、网段划分、使用的网络协议、运行的服务端口等。这些信息对于后续的攻击规划至关重要。
识别目标系统和应用: 通过分析网络流量，黑客可以 识别目标系统使用的操作系统类型、运行的网络服务 (例如 Web 服务器、邮件服务器、数据库服务器)、应用程序类型和版本。例如，分析 HTTP 请求的 User-Agent 字段、Server 响应头、特定协议的指纹信息等。这些信息可以帮助黑客 寻找已知的漏洞，以便进行更有针对性的攻击。

收集敏感信息: 对于 没有加密的 HTTP 协议 或其他 不安全协议 传输的流量，黑客可以使用 Wireshark 直接捕获并分析出明文的敏感信息，例如 用户名、密码、Cookie、会话令牌、未加密的邮件内容、文件传输内容 等。这些信息可以直接被用于账号盗取、身份冒用、数据泄露等恶意活动。

2、中间人攻击 (Man-in-the-Middle Attack - MITM):

监听和窃取通信内容: 在中间人攻击场景中，黑客可以将自己置于通信双方之间 (例如，通过 ARP 欺骗、DNS 欺骗等手段)， 拦截客户端和服务器之间的所有网络流量。 然后使用 Wireshark 实时监听和分析这些流量，窃取通信内容，包括 账号密码、敏感数据、会话信息 等。
篡改和注入数据: 更高级的中间人攻击不仅限于监听，还可以 篡改或注入数据包，例如， 修改网页内容、注入恶意代码、劫持用户会话、篡改交易数据 等。虽然 Wireshark 本身不具备篡改数据包的功能，但它可以 配合其他工具 (例如 Ettercap, mitmproxy) 进行中间人攻击，并用于分析和验证攻击效果。

3、协议分析和漏洞挖掘 (Protocol Analysis and Vulnerability Discovery):

深入理解协议漏洞: 黑客可以利用 Wireshark 深入研究各种网络协议的细节，例如 TCP/IP 协议族、HTTP 协议、DNS 协议、SMTP 协议、SSL/TLS 协议等。通过 分析协议的规范、实现和交互过程，黑客可能 发现协议本身或协议实现中的漏洞。
开发漏洞利用工具: 一旦发现协议漏洞，黑客可以 利用 Wireshark 验证漏洞的存在性，并 开发漏洞利用工具 (Exploit)，用于攻击存在漏洞的系统或服务。例如，针对特定协议漏洞构造恶意数据包，然后使用 Wireshark 验证目标系统是否受到漏洞影响。
逆向工程和恶意软件分析: 黑客可以使用 Wireshark 分析恶意软件的网络通信行为，例如，恶意软件与 C&C 服务器的通信协议、数据传输格式、加密方式等。这有助于 逆向工程恶意软件，了解其工作原理，并 开发检测和防御方法。

4、拒绝服务攻击 (Denial-of-Service Attack - DoS) 和分布式拒绝服务攻击 (DDoS) 分析:

分析攻击流量特征: 当目标系统遭受 DoS/DDoS 攻击时，黑客可以使用 Wireshark 捕获和分析攻击流量，识别攻击流量的特征 (例如，源 IP 地址、协议类型、端口号、数据包大小、频率等)。这有助于 理解攻击类型，例如 SYN Flood 攻击、UDP Flood 攻击、HTTP Flood 攻击等。
优化攻击策略: 通过分析攻击流量，黑客可以 优化攻击策略，例如，调整攻击流量的参数、选择更有效的攻击方法，以 提高攻击效果，绕过防御机制。
事后分析和溯源: 在 DoS/DDoS 攻击发生后，可以使用 Wireshark 分析历史捕获的数据包，进行攻击溯源，例如，追踪攻击源 IP 地址、分析攻击流量的路径，以便 定位攻击来源，并采取防御和反制措施。

5、渗透测试和安全审计 (Penetration Testing and Security Auditing):

验证安全漏洞: 在渗透测试过程中，渗透测试人员 (有时也包括恶意黑客) 可以使用 Wireshark 验证已发现的安全漏洞是否真实存在，以及漏洞的可利用程度。例如，在尝试进行 SQL 注入攻击后，可以使用 Wireshark 分析服务器的响应，验证注入是否成功，是否能够获取敏感数据。
评估安全防御机制: 渗透测试人员可以使用 Wireshark 评估目标系统的安全防御机制是否有效。例如，测试防火墙规则是否能够阻止特定的攻击流量，IDS/IPS 是否能够检测到特定的攻击行为，WAF 是否能够防御 Web 应用攻击。
生成渗透测试报告: 在渗透测试结束后，可以使用 Wireshark 捕获的数据包作为 渗透测试报告的证据，例如，展示成功利用漏洞的攻击流量、绕过安全防御机制的过程等。

6、需要强调的几点：

Wireshark 是 通用的网络分析工具，而非 专门的黑客工具: 虽然黑客会使用 Wireshark 进行恶意活动，但这 并非 Wireshark 的原始设计目的。 Wireshark 的主要设计目的是为 网络管理员、安全工程师、开发人员、研究人员 提供一个 强大、灵活、通用的网络协议分析平台，用于 网络故障排查、性能优化、协议学习、安全分析 等各种合法的用途。
Wireshark 是 被动式监听工具，自身 不具备攻击性: Wireshark 的主要功能是 捕获和分析网络流量，它 本身不能主动发起网络攻击，也不能直接利用漏洞。 黑客通常需要 配合其他攻击工具 (例如 Metasploit, Nmap, Ettercap, SQLmap 等) 才能完成完整的攻击过程，而 Wireshark 在其中扮演的角色主要是 辅助侦查、分析和验证。
合法与非法的边界在于 使用目的 和 授权情况: 是否合法使用 Wireshark ，关键在于 使用目的 和 是否获得授权。 在 获得网络所有者或管理者的明确授权 的情况下，安全专业人员可以使用 Wireshark 进行 渗透测试、安全审计、漏洞评估、网络故障排查 等合法活动。然而，在 未经授权 的情况下，使用 Wireshark 监听、捕获和分析 非自身网络 的流量，则属于 违法行为，并且可能构成 网络犯罪。
安全防御者也依赖 Wireshark: 网络安全防御者 (例如安全工程师、网络管理员、安全分析师) 也 广泛使用 Wireshark。 他们使用 Wireshark 进行 安全监控、威胁检测、事件响应、入侵分析、恶意软件分析、安全策略验证 等各种防御性工作。 Wireshark 是他们 不可或缺的 日常工具 之一。

Wireshark 的确是黑客常用的工具，因为它强大的网络数据包捕获和分析能力，可以被用于网络侦查、中间人攻击、漏洞挖掘、DoS/DDoS 分析、渗透测试等各种恶意活动。然而，Wireshark 本身是一个 双刃剑，它也是网络安全防御者的重要工具。 Wireshark 的合法与否，取决于使用者的目的和 授权情况。重要的是要 合法、合规、伦理地使用 Wireshark ，将其应用于 积极的、建设性的网络安全领域。