wireshark 介绍

一、wireshark架构

wireshark可以被划分为四个主要模块：Capture Core，WireTap, Protocol Interpreter and Dissector和GUIintrerface。其中Core使用pcap（windows下为winpcap，linux下为libpcap）抓取网络数据包，获取数据包后，WireTap把它保存为二进制文件。

主要功能模块如下：

1，GTK 1/2：图形窗口工具，操控所有的用户输入/输出界面。

2，Core：将其它模块连接起来，起到综合调度的作用。

3，Epac：Wireshark协议解析器。

4，Capture：数据包捕包引擎，利用winPcap/libPcap库从底层抓取网络数据包，winPcap/libPcap提供聊通用的抓包接口，能从不同的网络接口获取数据包。

5，win-/libpcap：wireshark抓包时依赖的库文件。

6，wiretap：从磁盘读写数据包文件的引擎，从抓包文件中读取数据包，支持多种文件格式。

另外：

wireshark自己会创建两个进程，一个负责抓包，一个负责解析，抓包进程和解析进程会通过一个“pipe”通信，发送类似抓到包啦等信息。抓包进程会将报文缓存到临时文件，解析进程负责读取。