WireShark
       WireShark是一个基于开源的免费的具有商业品质的高性能网络分析软件,它的前身就是非常著名的网络分析软件Ethereal。你可以使用它来解决网络疑难问题,进行网络协议分析,以及作为软件或通信协议的开发参考,同时也可以用来作为学习各种网络协议的教学工具等等。WireShark支持现已经出现了绝大多数的以太网适配器,以及主流的无线适配器。
具有的特点
(1)     、支持多种操作系统平台,可以运行于 Windows Linux OS X Solaris FreeBSD
等操作系统上。
(2)     、支持超过上千种的网络协议,并且会不断的增加新的协议支持;
(3)     、支持实时捕捉,然后可在离线状态下进行分析;
(4)     、支持VOIP分析;
(5)     、在它的图形界面中,使用标准的三个显示框来分别显示实时信息、高层协议信息和二进信息,它还有一个支持字符模式的版本“TShark”;
(6)     、支持对通过 IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP, and
WPA/WPA2 等协议加密了的数据包解密
(7)     、可以实时获取来自 Ethernet IEEE 802.11 PPP/HDLC ATM Bluetooth USB Token Ring Frame Relay FDDI 等网络中的数据包
(8)     、支持读取和保存许多其它网络嗅探软件保存的文件格式。包括TcpdumpSniffer proEtherPeekMicrosoft Network MonitorCISCO Secure IDS IPLOG等软件;
(9)     、支持以各种过滤条件进行捕捉,支持通过设置显示过滤来显示指定的内容,并能以不同的颜色来显示过滤后的报文;
(10)  、具有网络报文数据统计功能;
(11)  、可以将它捕捉到的数据导出为 XML PostScript CSV 及普通文本文件的格式。
     需求的文件
         现在它的最终版本是WireShark0.99.8,你可以在www.wireshark.org/download/上下载它。当要将WireSharkWindows系统下运行时,还需要Winpcap驱动库。现在它稳定版本是WinPcap 4.0.2,最新的测试版本是WinPcap 4.1 beta3,你可以从http://www.winpcap.org上下载。如果是在Linux系统下使用时,就应当使用Libpcap驱动库,它现在的版本是 Libpcap0.9.8 ,你可以从www.tcpdump.org上下载。
        WireSharkWindowsLinux系统下安装之前,首先你得保证系统上已经安装了WinpcapLinpcap。下图2.1就是WireSharkWindows系统下运行时的主界