本头条号每天坚持更新原创干货技术文章,欢迎关注本头条号"Linux学习教程",公众号名称“Linux入门学习教程"。
如需学习视频,请复制以下信息到手机浏览器或电脑浏览器上:
zcwyou.com
1. 前言
本文主要讲解Wireshark 3.6.0的新特性。
最近,Wireshark发布了其免费开源的报文分析器的新版本Wireshark 3.6.0,该版本包含了所有新的特性和协议。
最初被称为Ethereal, Wireshark已经发展成为最可靠的网络协议分析器之一。它实时捕获数据包,并以人类可读的格式显示它们。
Wireshark是绝对安全的。政府机构、公司、非营利组织和教育机构使用Wireshark进行故障诊断和教学。可能没有比在Wireshark查看流量更好的方法来学习网络了。
另一方面,由于Wireshark是一个强大的报文嗅探器,它的合法性也受到了质疑。它捕获本地网络上的网络流量,并存储这些数据以供离线分析。因此,只能在有权限检查网络数据包的网络上使用Wireshark。
现在Wireshark 3.6.0稳定版本已经发布,让我们来看看有什么新内容。
2. Wireshark 3.6.0新特性
在最新的Wireshark版本中,对display filter(就是大家平时用的搜索栏)语法做了一些修改。现在可以使用语法a ~= b或a any_ne b来恢复之前的(inconsistent with ==)不等值逻辑。此外,现在的表达式a != b总是与!(a == b)具有相同的含义。
这意味着带有多值字段(的过滤表达式,如ip.addr != 1.1.1.1将按照预期工作(执行结果与ip.src != 1.1.1.1 and ip.dst != 1.1.1.1相同)。这避免了具有矛盾逻辑的表达式(比如:a == b and a != b)是真的。
此外,现在可以使用原始字符串语法指定字符串变量,这与Python编程语言中的原始字符串相同。这可以用来避免在正则表达式中使用两层字符转义的复杂性。
Wireshark 3.6.0中的TCP会话现在支持一个完整性标准,它可以方便地识别TCP流中有任何打开或关闭握手(有效载荷)的任何组合。可以使用新的过滤器tcp.completeness访问它。
需要注意的是,Wireshark现在支持读取Windows的事件跟踪(Event Tracing for Windows-简写为ETW)。创建了一个新的名为ETW的extcap阅读器,它现在可以打开etl文件,将文件中的所有事件转换为DLT_ETW报文并写入指定的FIFO(先进先出)目的地。
在其他值得注意的变化中,Wireshark 3.6.0增加了对许多新协议的支持。
3. Ubuntu 20.04系统上安装wireshark
sudo apt install wireshark
根据提示选择是否让普通权限的用户使用抓包功能。
4. 总结
Wireshark是世界上最先进、应用最广泛的网络协议分析器。它可以让您通过协议解析模块看到网络上正在发生的事情,并且正在被许多商业和非营利企业、教育机构使用。Wireshark的发展得益于全球网络专家的自愿贡献,它是由Gerald Combs在1998年开发的一个项目。
如果喜欢本文,欢迎转发。本文已同步至博客站,尊重原创,转载时请在正文中附带以下链接:
https://www.linuxrumen.com/rmxx/2078.html
内容来源网络,如有侵权,联系删除,本文地址:https://www.230890.com/zhan/132341.html