Давайте поговорим про базовый функционал Wireshark.
Когда компьютер подключается к сети, то он использует определенный драйвер, который зависит от сетевой карты. В случае, если компьютер работает как сниффер, то библиотеки «libpcap», и «WinPcap» используют дополнительный драйвер, который был создан, для того, чтобы получать доступ к необработанной информации в сети.
За запись информации отвечает «dumpcap – capture engine». Он захватывает пакеты, которые проходят через драйвера «libpcap», и «WinPcap». Если включены фильтры захвата, то пакеты будут выбраны до того, как они отправятся в «dumpcap». Основное назначение «dumpcap», состоит в том, чтобы добавлять условия остановки, когда необходимо остановить захват трафика. Движок захвата «dumpcap», отправляет пакеты в «Core Engine». Это ядро Wireshark, в котором находятся тысячи диссекторов, которые разбивают пакеты на слои и поля. Это помогает нам выполнить анализ, вместо того, чтобы шифровать шестнадцатеричный дамп трафика.
Библиотека «Wiretap», читает захваченные файлы с диска, а не из сети, и она поддерживает фактически любой доступный формат захваченного трафика. Затем она также обращается к «Core Engine».
Есть две версии Wireshark: графическая и консольная, которая называется «tshark». «Tshark» очень полезен, когда нам нужно выполнить некоторые автоматизированные задачи, которые выполняются в Linux.