wireshark功能块
Wireshark开发者文档和帮助文档的链接:
-
Wireshark User’s Guide:这是Wireshark的用户指南,提供了如何使用Wireshark的详细说明。
- 用户指南
-
Wireshark Developer’s Guide:这是Wireshark的开发者指南,提供了如何为Wireshark开发和贡献代码的信息。
- 开发者指南
-
Development - Wireshark Wiki:这是Wireshark的维基页面,包含了开发相关的信息和指南。
- 开发维基
这些资源将帮助您更好地了解和使用Wireshark。
这张图展示了Wireshark的功能块及其相互关系。以下是对每个功能块作用的详细解释:
Wireshark
这是整个系统的名称,表示网络流量分析器。
GUI (Qt / GTK)
- 作用:提供图形用户界面(Graphical User Interface),使用户能够通过可视化的方式操作Wireshark。它基于Qt或GTK库,允许用户方便地查看、分析和操作捕获的网络数据包。
- 关系:与Core模块相连,用于接收和显示数据。
Core
- 作用:是Wireshark的核心模块,负责协调和管理其他模块之间的交互。它处理数据包的捕获、分析和显示等核心功能。
- 关系:连接到GUI、Capture、Wiretap、Epan和Utilities等模块,起到中心枢纽的作用。
Capture
- 作用:负责从网络接口捕获数据包。它与底层的捕获引擎(如WinPcap或libpcap)交互,获取原始的网络流量数据。
- 关系:连接到Core和Dumpcap capture engine,接收和发送捕获的数据包。
Wiretap
- 作用:用于读取和写入捕获文件。它支持多种文件格式,允许Wireshark处理来自不同来源的数据包数据。
- 关系:与Core和Harddisk相连,用于文件的读写操作。
Epan
- 作用:是Wireshark的协议分析引擎(Enhanced Packet Analysis)。它包含Protocol - Tree(协议树)、Dissectors(解析器)、Dissector - Plugins(解析器插件)和Display - Filters(显示过滤器)等功能,用于解析和分析捕获的数据包。
- 关系:连接到Core,将分析结果发送到GUI进行显示。
Utilities
- 作用:提供各种实用工具和功能,辅助Wireshark的操作和分析。这些工具可能包括统计生成、报告生成等功能。
- 关系:与Core相连,提供辅助功能。
Dumpcap capture engine
- 作用:是Wireshark的捕获引擎,负责从网络接口获取数据包。它是一个独立的进程,可以在后台运行,减少对系统资源的占用。
- 关系:连接到Capture和Harddisk,用于数据包的捕获和存储。
Harddisk
- 作用:代表存储设备,用于存储捕获的数据包文件。这些文件可以通过Wiretap模块进行读写操作。
- 关系:连接到Dumpcap capture engine和Wiretap,用于数据存储。
WinPcap / libpcap
- 作用:是底层的网络捕获库,用于从网络接口捕获数据包。WinPcap用于Windows系统,libpcap用于Unix/Linux系统。
- 关系:连接到Dumpcap capture engine,提供捕获数据包的功能。
Capture - Filters
- 作用:用于设置捕获过滤器,决定哪些数据包应该被捕获。它基于特定的规则和条件,过滤不需要的数据包,提高捕获效率。
- 关系:连接到WinPcap / libpcap,用于设置捕获条件。
Network
- 作用:代表网络,是数据包的来源。
- 关系:通过Bus(总线)连接到WinPcap / libpcap,提供网络数据包。
Bus
- 作用:表示网络连接的总线,用于传输数据包。
- 关系:连接到Network和WinPcap / libpcap,传输网络数据包。
通过这些功能块的协同工作,Wireshark能够有效地捕获、分析和显示网络数据包,帮助用户进行网络故障排查、安全分析等工作。