【网络安全基础知识】什么是WireShark?有哪些作用?其抓包原理?

　　【网络安全基础知识】什么是WireShark?有哪些作用？其抓包原理有哪些？

　　什么是WireShark?

　　wireshark是非常流行的网络封包分析软件，功能十分强大。可以截取各种网络封包，显示网络封包的详细信息。常用来检测网络问题、攻击溯源、或者分析底层通信机制。

　　Wireshark可使用WinPCAP作为接口，直接与网卡进行数据报文交换。

　　有哪些作用？

　　Wireshark拦截流量并使其可被读取。这可以帮助您快速识别网络所经过的流量，特定跃点之间的频率，频率，频率和延迟。

　　尽管Wireshark支持超过2000种网络协议，其中许多都是奥术，奇数或过时的，但现代安全专业人员可以在分析IP数据包时找到最直接的工具。您网络中的大多数数据包通常是TCP，UDP和ICMP。

　　考虑到跨典型商业网络的高流量，Wireshark的工具对于帮助您过滤此流量特别有用。过滤器仅用于捕获您感兴趣的流量表，过滤器用于放大要检查的流量。网络协议分析器提供的搜索工具可让您快速找到要搜索的内容，包括正则表达式和颜色突出显示。

　　了解以上内容后，我们再来说说Wireshark的抓包原理：

　　其实，Wireshark使用的环境大致分为两种，一种是电脑直连互联网的单机环境，另外一种就是应用比较多的互联网环境，也就是连接交换机的情况。

　　「单机情况」下，Wireshark直接抓取本机网卡的网络流量；

　　「交换机情况」下，Wireshark通过端口镜像、ARP欺骗等方式获取局域网中的网络流量。

　　而端口镜像：就是利用交换机的接口，将局域网的网络流量转发到指定电脑的网卡上。ARP欺骗：则是交换机根据MAC地址转发数据，伪装其他终端的MAC地址，从而获取局域网的网络流量。