Wireshark

官網連結

1.基本介紹

Wireshark是一個協助使用者收取網路流量並進行分析的工具，他同時是資安專家也是駭客的好朋友，我們可以拿來做正當用途也能拿來做壞事，例如我們可以利用Wireshark來觀察流經自己電腦上特定網卡的封包，並從中觀察是不是有異常的行為出現，像是有些惡意程式會在電腦背景執行，並持續偷偷向外連線以得到指令，或是偷傳資料出去，而Wireshark本身也含有許多好用的圖形化工具及分析工具，可以幫助我們更快的發現網路中的異常狀況。同時，我們也可以把一段時間的網路封包存成一個封包檔，副檔名會是.pcap或.pcapng，以利證據保存或是後續的分析使用；同樣的，駭客也可以在執行攻擊時，例如中間人攻擊的時候，利用Wireshark來觀察他所竊取到的封包，並從中找到有價值或機敏的資訊。

2.操作介面

紅框：功能列 籃框：快速及常用功能列 綠框：下Filter的地方，可以在這邊寫一些過濾的規則，就可以更精準地篩選出要觀察或分析的封包，在這裡寫規則的時候要注意英文大小寫喔，如果大小寫錯誤軟體是會無法判斷的 咖啡框：你最近開過的Wireshark檔案紀錄，後面括號裡的是檔案大小，如果括號裡寫的是Not Found的話代表該檔案的路徑已經失效囉 粉紅框：目前機器中的所有網路介面，很像心跳圖的就是每個網路介面目前的網路狀態，起伏越多的就代表流經這個網路介面的網路流量封包越多 橘框：一些使用者手冊等參考資料，還有目前使用的Wireshark版本等。

3.使用心得

優點：

1.強大的封包分析功能：Wireshark 是一個功能強大的封包分析工具，它可以捕捉和分析網絡上的封包，讓你深入了解網絡流量、協議交互和網絡性能等方面的細節。

2.多平台支持：Wireshark 可以在多種操作系統上運行，包括 Windows、Mac 和 Linux，這使得它成為一個廣泛使用的工具，適用於不同的環境和用戶需求。

3.免費和開源：Wireshark 是一個自由軟體，你可以免費下載、使用和修改它。開源性質意味著它有一個活躍的社群，不斷更新和改進軟體功能，並提供各種插件和擴展功能。

4.支持多種協議：Wireshark 支持多種網絡協議的解析，包括常見的TCP/IP、HTTP、DNS、FTP、SSH 等，這使得它成為研究和故障排除不同類型網絡問題的理想選擇。

缺點： 1.學習曲線較陡峭：Wireshark 是一個功能豐富的工具，但也因此學習起來可能需要一些時間和努力。對於初學者來說，理解封包分析的概念和使用 Wireshark 的操作可能有一定的難度。 2.資源消耗較高：由於 Wireshark 需要捕捉和分析大量的網絡封包，它可能對系統資源（如處理器和內存）產生較高的需求。在較低配置的系統上運行時，可能會導致性能下降或系統變得緩慢。 3.需要權限和訪問權限：在某些情況下，使用 Wireshark 需要有相應的權限和訪問權限，例如在一些企業網絡中或受限的環境中，你可能無法輕易地安裝和使用 Wireshark。 4.資料隱私和安全風險：使用 Wireshark 時需要注意敏感數據的隱私和安全問題。封包