Wireshark:网络封包分析软件-中文百科频道

软件介绍

网络封包分析软件的功能可想像成"电工技师使用电表来量测电流、电压、电阻"的工作-只是将场景移植到网络上，并将电线替换成网络线。在过去，网络封包分析软件是非常昂贵，或是专门属于营利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。Ethereal是目前全世界最广泛的网络封包分析软件之一。

Wireshark的前世今生

PeimanLin2013-7-11上午1:42

故事要从上世纪90年代开始说起。那时的IT业欣欣向荣：摩托罗拉正野心勃勃地实施铱星计划；Google的两位创始人还在房东的车库里研究搜索引擎；最受国人关注的王安电脑也找到了一位靠谱的CEO。而故事的主人公GeraldCombs当时还默默无闻。和那个时代的很多IT青年一样，Gerald热情、上进、动手能力极强。那时他在一家小型网络提供商就职，时常需要分析软件来辅助工作。可惜这样的软件极少，而且一个license就价值80,000美金。

Gerald没有下载盗版软件，而是决定自己写一个。他单枪匹马奋战了几个月的时间，专业人士都能想见其中的艰辛。但是Gerald至今还是轻描淡写,”Ispentseveralmonthsdoingresearchandmakingnotes.”终于在1998年7月，第一版Ethereal面世了。Gerald拥有代码的版权，而Ethereal商标属于他所在的公司NIS(NetworkIntegrationServices)。由于Ethereal是以GNUGPL开源许可证发布的，世界各地的开发者纷纷参与到这个项目中。没过多久，它就涵盖了世界上大多数通信协议，成为广受欢迎的网络分析软件。如果它当年进入中国，也许会被用来盗取QQ（当时的QQ密码还是明文的）。当然它的真正用途是在企业环境里诊断各种问题，从网络到WindowsDomain，再到各种网络应用都用得上。而且它是完全免费的，每个愿意学习的工程师都可以受益。颇具喜感的是，eBay上居然有人在销售，还真的卖出去了。

世界的变化总是超乎我们的想象，尤其是在IT业里。没过几年，铱星计划彻底破产；Google成了最大的网络公司；而王安电脑也卖了个好价钱。只有Gerald没有变化，一直在兢兢业业地为Ethereal添加新协议。中间仅仅发生过一个小插曲。2006年他离开NIS，加入了CACETechnologies。由于和老东家在Ethereal的商标问题上无法达成一致，Gerald把项目改名为Wireshark，从此代码都更新到Wirenshark里。Ethereal这个风靡多年的项目停止了，只留下www.ethereal.com域名。至今还能访问它，但是会被重定向到一家叫AOS的公司。为什么不是重定向到NIS呢？因为NIS在2011年被AOS合并了。AOS的一项业务就是实施EMC和Vmware解决方案，而这两家IT巨头的董事会主席叫JoeTucci，他就是王安电脑在90年代的CEO。

Wireshark延续着Ethereal的成功，2011年在SecTools排行第一，2012年被Insecure.org评为”No.1PacketSniffers”。美国的技术作家们开始为它着书立说，中国的出版社也在引进。值得一提的是，CACE后来被Riverbed收购了。很多中国工程师可能觉得Riverbed名不见经传，但说到Linux里常用的tcpdump命令就不会陌生了。Tcpdump的开发者之一就是Riverbed的CTOSteveMcCannE。而Wincap的开发者LorisDegioanni也在Riverbed服务，似乎冥冥之中自有天意。

Gerald不久前在Twitter上宣布，“Wiresharkis,andwillalwaysbeopensource。”其实在我眼里，就算走向商业化也无妨。开源当然高尚，商业也不是罪恶。一个IT人的成功，可以像Joe一样带领一个出色的公司；也可以向Gerald一样，创造一个传世的作品。

应用

Wireshark使用目的

以下是一些使用Wireshark目的的例子：

网络管理员使用Wireshark来检测网络问题，网络安全工程师使用Wireshark来检查资讯安全相关问题，开发者使用Wireshark来为新的通讯协定除错，普通使用者使用Wireshark来学习网络协定的相关知识。当然，有的人也会“居心叵测”的用它来寻找一些敏感信息……

Wireshark不是入侵侦测系统（IntrusionDetectionSystem,IDS）。对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。然而，仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改，它只会反映出目前流通的封包资讯。Wireshark本身也不会送出封包至网络上。

发展历程

1997年底，GeraldCombs需要一个能够追踪网络流量的工具软件作为其工作上的辅助。因此他开始撰写Ethereal软件。Ethereal在经过几次中断开发的事件过后，终于在1998年7月释出其第一个版本v0.2.0。自此之后，Combs收到了来自全世界的修补程式、错误回报与鼓励信件。Ethereal的发展就此开始。不久之后，GilbertRamirez看到了这套软件的开发潜力并开始参予低阶程式的开发。

1998年10月，来自NetworkAppliance公司的GuyHarris在寻找一套比tcpview（另外一套网络封包撷取程式）更好的软件。于是他也开始参与Ethereal的开发工作。1998年底，一位在教授TCP/IP课程的讲师RichardSharpe，看到了这套软件的发展潜力，而后开始参与开发与加入新协定的功能。在当时，新的通讯协定的制定并不复杂，因此他开始在Ethereal上新增的封包撷取功能，几乎包含了当时所有通讯协定。

自此之后，数以千计的人开始参与Ethereal的开发，多半是因为希望能让Ethereal撷取特定的，尚未包含在Ethereal默认的网络协定的封包而参予新的开发。2006年6月，因为商标的问题，Ethereal更名为Wireshark。