Wireshark是世界上最流行的網(wǎng)絡分析工具。這個強大的工具可以捕捉網(wǎng)絡中的數(shù)據(jù)，并為用戶提供關于網(wǎng)絡和上層協(xié)議的各種信息。
與很多其他網(wǎng)絡工具一樣，Wireshark也使用pcap network library來進行封包捕捉。

Wireshark的優(yōu)勢：

- 安裝方便。

- 簡單易用的界面。

- 提供豐富的功能。

Wireshark的原名是Ethereal，新名字是2006年起用的。當時Ethereal的主要開發(fā)者決定離開他原來供職的公司，并繼續(xù)開發(fā)這個軟件。但由于Ethereal這個名稱的使用權已經(jīng)被原來那個公司注冊，Wireshark這個新名字也就應運而生了。

Wireshark目前世界上最受歡迎的協(xié)議分析軟件，利用它可將捕獲到的各種各樣協(xié)議的網(wǎng)絡二進制數(shù)據(jù)流翻譯為人們?nèi)菀鬃x懂和理解的文字和圖表等形式，極大地方便了對網(wǎng)絡活動的監(jiān)測分析和教學實驗。它有十分豐富和強大的統(tǒng)計分析功能，可在Windows，Linux 和UNIX等系統(tǒng)上運行。此軟件于1998年由美國Gerald Combs首創(chuàng)研發(fā)，原名Ethereal，至今世界各國已有100多位網(wǎng)絡專家和軟件人員正在共同參與此軟件的升級完善和維護。它的名稱于2006年5月由原Ethereal改為Wireshark。至今它的更新升級速度大約每2～3個月推出一個新的版本，2007年9月時的版本號為0.99.6。但是升級后軟件的主要功能和使用方法保持不變。它是一個開源代碼的免費軟件，任何人都可自由下載，也可參與共同開發(fā)。

    Wireshark網(wǎng)絡協(xié)議分析軟件可以十分方便直觀地應用于計算機網(wǎng)絡原理和網(wǎng)絡安全的教學實驗，網(wǎng)絡的日常安全監(jiān)測，網(wǎng)絡性能參數(shù)測試，網(wǎng)絡惡意代碼的捕獲分析，網(wǎng)絡用戶的行為監(jiān)測，黑客活動的追蹤等。因此它在世界范圍的網(wǎng)絡管理專家，信息安全專家，軟件和硬件開發(fā)人員中，以及美國的一些知名大學的網(wǎng)絡原理和信息安全技術的教學、科研和實驗工作中得到廣泛的應用。

    在安裝新舊版本軟件包和使用中，Ethereal與Wireshark的一些細微區(qū)別如下：

  （1）Ethereal軟件安裝包中包含的網(wǎng)絡數(shù)據(jù)采集軟件是winpcap 3.0的版本，保存捕獲數(shù)據(jù)時只能用英文的文件名，文件名默認后綴為 .cap

  （2）Wireshark軟件安裝包中，目前包含的網(wǎng)絡數(shù)據(jù)采集軟件是winpcap 4.0版本，保存捕獲數(shù)據(jù)時可以用中文的文件名，文件名默認后綴為 .pcap。另外，Wireshark可以翻譯解釋更多的網(wǎng)絡通信協(xié)議數(shù)據(jù)，對網(wǎng)絡數(shù)據(jù)流具有更好的統(tǒng)計分析功能，在網(wǎng)絡安全教學和日常網(wǎng)絡監(jiān)管工作中使用更方便，而基本使用方法仍然與Ethereal相同。

winpcap(windows packet capture)是windows平臺下一個免費，公共的網(wǎng)絡訪問系統(tǒng)。開發(fā)winpcap這個項目的目的在于為win32應用程序提供訪問網(wǎng)絡底層的能力。

在Linux下，當我們需要抓取網(wǎng)絡數(shù)據(jù)包分析時，通常是使用tcpdump抓取網(wǎng)絡raw數(shù)據(jù)包存到一個文件，然后下載到本地使用wireshark界面網(wǎng)絡分析工具進行網(wǎng)絡包分析。
最近才發(fā)現(xiàn)，原來wireshark也提供有Linux命令行工具-tshark。tshark不僅有抓包的功能，還帶了解析各種協(xié)議的能力。下面我們以兩個實例來介紹tshark工具。
1、安裝方法
CentOS: