Wireshark
Wireshark 是什么?
Wireshark开源的网络协议分析器,可实时捕获并解析数据包,用于故障排查、安全分析与教学。
Wireshark 是当前最主流的开源数据包分析器,由 Gerald Combs 于 1998 年以 Ethereal 之名创建,现由 Wireshark Foundation 旗下的全球开发者社区维护。它能从有线、无线、USB 等接口捕获实时流量,并解码数千种协议,涵盖 Ethernet、TCP/IP、工业控制以及加密通信协议。网络工程师、蓝队、恶意软件分析师与威胁猎手使用它来定位性能问题、验证防火墙规则、重构攻击时间线以及从 PCAP 中提取文件。在未经授权的网络上抓包可能违反窃听与隐私法律,因此必须事先取得书面许可。
● 示例
- 01
通过 http.request 过滤器排查疑似 Web 数据外泄。
- 02
跟踪 TCP 流以从已捕获会话中提取恶意载荷。
● 常见问题
Wireshark 是什么?
开源的网络协议分析器,可实时捕获并解析数据包,用于故障排查、安全分析与教学。 它属于网络安全的 防御与运营 分类。
Wireshark 是什么意思?
开源的网络协议分析器,可实时捕获并解析数据包,用于故障排查、安全分析与教学。
Wireshark 是如何工作的?
Wireshark 是当前最主流的开源数据包分析器,由 Gerald Combs 于 1998 年以 Ethereal 之名创建,现由 Wireshark Foundation 旗下的全球开发者社区维护。它能从有线、无线、USB 等接口捕获实时流量,并解码数千种协议,涵盖 Ethernet、TCP/IP、工业控制以及加密通信协议。网络工程师、蓝队、恶意软件分析师与威胁猎手使用它来定位性能问题、验证防火墙规则、重构攻击时间线以及从 PCAP 中提取文件。在未经授权的网络上抓包可能违反窃听与隐私法律,因此必须事先取得书面许可。
如何防御 Wireshark?
针对 Wireshark 的防御通常结合技术控制与运营实践,详见上方完整定义。
Wireshark 还有哪些其他名称?
常见的别称包括: Ethereal, tshark。
● 相关术语
- network-security№ 295
深度包检测(DPI)
一种不仅检查报头还分析数据包整个负载的检测技术,用于识别应用、内容和威胁。
- forensics-ir№ 722
网络取证
对网络流量与元数据进行采集、记录和分析,用于调查安全事件并重建攻击者行为。
- network-security№ 547
入侵检测系统(IDS)
一种被动的安全控制措施,监控网络或主机活动以发现恶意行为并触发告警,但不主动阻断流量。
- defense-ops№ 1261
Zeek
开源的网络安全监控工具(原名 Bro),将网络流量转换为面向协议、结构化的日志,并通过脚本进行威胁检测。
- defense-ops№ 1117
Suricata
由 Open Information Security Foundation(OISF)维护的高性能开源网络 IDS、IPS 与安全监控引擎。
- defense-ops№ 1147
威胁狩猎
基于假设的主动搜索,深入遥测数据,发现绕过现有检测的威胁。
● 参见
- № 577Kali Linux
- № 806PCAP
- № 719NetFlow
- № 686mitmproxy