分组嗅探器的结构 要深入理解网络协议，需要仔细观察协议实体之间交换的报文序列。为探究协议操作细节，可使协议实体执行某些动作，观察这些动作及其影响。这些任务可以在仿真环境下或在如因特网这样的真实网络环境中完成。观察在正在运行协议实体间交换报文的基本工具被称为分组嗅探器（packetsniffer）。顾名思义，一个分组嗅探器俘获（嗅探）计算机发送和接收的报文。一般情况下，分组嗅探器将存储和显示出被俘获报文的各协议头部字段的内容。图1为一个分组嗅探器的结构。 图1右边是计算机上正常运行的协议（在这里是因特网协议）和应用程序（如：web浏览器和ftp客户端）。分组嗅探器（虚线框中的部分）是附加计算机普通软件上的，主要有两部分组成。分组俘获库（packetcapturelibrary）接收计算机发送和接收的每一个链路层帧的拷贝。高层协议（如：HTTP、FTP、TCP、UDP、DNS、IP等）交换的报文都被封装在链路层帧中，并沿着物理媒体（如以太网的电缆）传输。图1假设所使用的物理媒体是以太网，上层协议的报文最终封装在以太网帧中。 分组嗅探器的第二个组成部分是分析器。分析器用来显示协议报文所有字段的内容。为此，分析器必须能够理解协议所交换的所有报文的结构。例如：我们要显示图1中HTTP协议所交换的报文的各个字段。分组分析器理解以太网帧格式，能够识别包含在帧中的IP数据报。分组分析器也要理解IP数据报的格式，并能从IP数据报中提取出TCP报文段。然后，它需要理解TCP报文段，并能够从中提取出HTTP消息。最后，它需要理解HTTP消息。 Wireshark（Ethereal）是一种可以运行在Windows,UNIX,Linux等操作系统上的分组分析器。Wireshark（Ethereal）是免费的，可以从Http://www.ethereal.com得到。 网络协议分析软件Wireshark与Ethereal的关系 Wireshark（原名Ethereal）是目前世界上最受欢迎的协议分析软件，利用它可将捕获到的各种各样协议的网络二进制数据流翻译为人们容易读懂和理解的文字和图表等形式，极大地方便了对网络活动的监测分析和教学实验。它有十分丰富和强大的统计分析功能，可在Windows，Linux和UNIX等系统上运行。此软件于1998年由美国GeraldCombs首创研发，原名Ethereal，至今世界各国已有100多位网络专家和软件人员正在共同参与此软件的升级完善和维护。它的名称于2006年5月由原Ethereal改为Wireshark。至今它的更新升级速度大约每2～3个月推出一个新的版本，2007年9月时的版本号为0.99.6。但是升级后软件的主要功能和使用方法保持不变。它是一个开源代码的免费软件，任何人都可自由下载，也可参与共同开发。 Wireshark网络协议分析软件可以十分方便直观地应用于计算机网络原理和网络安全的教学实验，网络的日常安全监测，网络性能参数测试，网络恶意代码的捕获分析，网络用户的行为监测，黑客活动的追踪等。因此它在世界范围的网络管理专家，信息安全专家，软件和硬件开发人员中，以及美国的一些知名大学的网络原理和信息安全技术的教学、科研和实验工作中得到广泛的应用。 在安装新旧版本软件包和使用中，Ethereal与Wireshark的一些细微区别如下： （1）Ethereal软件安装包中包含的网络数据采集软件是winpcap3.0的版本，保存捕获数据时只能用英文的文件名，文件名默认后缀为.cap （2）Wireshark软件安装包中，目前包含的网络数据采集软件是winpcap4.0版本，保存捕获数据时可以用中文的文件名，文件名默认后缀为.pcap。另外，Wireshark可以翻译解释更多的网络通信协议数据，对网络数据流具有更好的统计分析功能，在网络安全教学和日常网络监管工作中使用更方便，而基本使用方法仍然与Ethereal相同。 说明：为了帮助大家轻松掌握Wireshark十分强大的网络原理实验、网络数据分析统计和图表功能，现将Wireshark主操作界面上的菜单译为中英对照，供参考。 Wireshark主界面的操作菜单 File打开文件Open打开文件OpenRecent打开近期访问过的文件Merge…将几个文件合并为一个文件Close关闭此文件SaveAs…保存为…FileSet文件属性Export文件输出Print…打印输出Quit关闭 Edit编辑FindPacket…搜索数据包FindNext搜索下一个FindPrevious搜索前一个MarkPacket(toggle)对数据包做标记（标定）FindNextMark搜索下一个标记的包FindPreviousMark搜索前一个标记的包MarkAllPackets