网络剖析系列之五 Wireshark介绍与优缺点剖析

　　网络剖析系列之五 Wireshark介绍与优缺点剖析

　　作为全球使用与开发维护人数最多的数据包剖析软件，Wireshark受到广大合同剖析爱好者、网络运维工程师及科研人员的偏爱。从本节开始，将逐渐深入介绍Wireshark的相关内容，包括产品安装、配置和使用等信息。

　　Wireshark简史

　　Wireshark的作者Gerald Combs，于1998年因为在校项目需求而开发，早期名为Ethereal。Wireshark是世界上最重要和最广泛使用的网路合同剖析仪。它可以使您在微观层面上见到网路上发生的事情，并且是许多商业和非营利企业，政府机构和教育机构的事实上（通常是法律上的）标准。由于全球网路专家的志愿者贡献，Wireshark的发展蓬勃发展，并且是Gerald Combs在1998年启动的项目的延续。

　　Ethereal和Wireshark之间有个小插曲。在发布了Ethereal 8年以后, Combs离职另谋高就,但是在哪个时侯他的雇主公司把握着Ethereal的商标权,而Combs也没能和其雇主就取得 Ethereal商标达成协议。于是Combs和整个开发团队在2006年中的时侯将这个项目重新命名为Wireshark。Wireshark随即迅速地取得了大众的喜爱,而其合作开发团队人数也达到500人以上,然而之前的Ethereal项目却止步不前。

　　

　　Wireshark优缺点

　　在好多地方，只见到有人介绍Wireshark的优点。但在现代企业级环境中快速采集和剖析数据包，尤其动辄跟业务、应用及用户性能问题的智能告警和关联分析，使用Wireshark通过传统的方法进行剖析和故障定位，效率低下不说，有些功能则未能实现。

　　Wireshark优点

　　Wireshark在日常应用中具有许多优点,无论你是初学者还是数据包剖析专家, Wireshark都能通过丰富的功能来满足你的须要。

　　支持的合同

　　Wireshark在支持合同的数目方面是出类拔萃的，目前已提供了超过上千种种合同的支持。这些合同包括从最基础的IP协议和DHCP合同到中级的专用合同例如Appletalk和Bittorrente等。由于Wireshark在开源模式下进行开发,每次更新还会降低一些对新合同的支持。

　　当然，在一些特殊情况下,Wireshark可能并不支持你所要的合同,你还可以通过目己编撰代码提供相应的支持,并提供给Wireshark的开发者,以便于让之能被收录在以后版本中。

　　用户友好度

　　Wireshark的界面是数据包嗅探工具中最容易理解的工具之一。基于GUI,并提供了清晰的菜单栏和简明的布局。为了提高实用性,它还提供了不同合同的彩色高亮,以及通过图形展示原创数据细节等不同功能。与 tcpdump使用复杂命令行的这些数据包嗅探工具相比, Wireshark的图形化界面对于这些数据包剖析的初学者而言,是非常便捷的。

　　价格

　　由于Wireshark是开源的,它在价钱里面是无以抗衡的，Wireshark是依循GPL协议发布的自由软件,任何人无论出于私人还是商业目的,都可以下载而且使用 Wireshark。

　　程序支持

　　一个软件的胜败一般取決于其程序支持的优劣。虽然象Wireshark这样的自由分发软件极少会有即将的程序支持,而是依赖于开源社区的用户群,但是辛运的是, Wireshark社区是最活跃的开源项目社区之ー。Wireshark网页上给出了许多种程序支持的相关链接,包括在线文档、支持与开发wiki、FAQ,并可以注册Wireshark开发者都关注的电邮列表。

　　支持的操作系统

　　Wireshark对主流的操作系统都提供了支持,其中包括Windows、Mac OS X以及基于Linux的系统。你可以在Wireshark的主页上查询所有 Wireshark支持的操作系统列表。

　　Wireshark缺点

　　在讲完Wireshark优点后，再瞧瞧Wireshark的缺点。尤其说说在现代企业网路环境中使用的话，其存在的不足。

　　数据采集能力弱

　　在现代企业网路大流量传输环境下，以*敏*感*词*工具采集流量，无论对采集系统硬件的要求，还是数据保存采集灵活性和存储能力，Wireshark就会碰到各类困局。

　　举个事例，200Mbps环境下，如果要采集60秒的数据包，则这个数据包大小为1.2G，而数据包个数超过百万级，这对快速剖析问题存在挑战。

　　图形界面不够直观

　　在Wireshark中，缺乏形象直观的图形诠释，如饼状图、柱状图等等灵活的诠释方法。

　　智能剖析不够

　　Wireshark对合同底层解码能力太强，但要剖析应用层，或应用层多个指标关联分析，则须要耗费大量的时间和精力去完成。

　　专业性要求高

　　Wireshark似乎具备详尽的剖析能力，但剖析结果常常因人而异。对网路知识、协议知识的把握程度，决定了是否就能快速精确的剖析出问题根本诱因。

　　以剖析某个应用的响应响应速率为例，Wireshark须要过滤出独立的会话信息，标记各类时间信息，然后在文本界面得出相对精确的推论。而这个过程绝对是对使用者技术能力的考验。

　　下图是网深科技NetInside网路流量剖析系统对响应时间的剖析结果，通过这些直观的剖析，系统对客户端访问服务器过程中能形成的所有时间信息，如联接构建的时间、服务器响应时间、数据传输时间，重传时间等等。通过图形形式，一目了然。

　　

　　续更（下一节《Wireshark安装》）

　　更多请点击了解