内部公开1/24内部文件,请勿扩散杭州迪普科技有限公司wireshark抓包应用指导说明书拟制雷振华日期2015.4.10评审人日期签发日期内部公开2/24内部文件,请勿扩散内部公开3/24内部文件,请勿扩散修订记录日期修订版本描述作者2015.4.10V1.0初稿完成雷振华内部公开4/24内部文件,请勿扩散目录1WIRESHARK介绍...............................................................................................................................................52功能介绍..........................................................................................................................................................53图形界面抓报文...............................................................................................................................................53.1选择网卡抓报文.............................................................................................................................................53.2显示报文抓取时间.........................................................................................................................................73.3WIRESHARK界面布局......................................................................................................................................83.4报文过滤条件.................................................................................................................................................93.4.1常用过滤条件.......................................................................................................................................103.4.2WIRESHARKEXPRESSION........................................................................................................................113.4.3高级过滤条件.......................................................................................................................................113.4.4WIRESHARKCAPTUREFILTER.................................................................................................................144命令行抓报文................................................................................................................................................154.1选择网卡.......................................................................................................................................................154.2命令行过滤条件...........................................................................................................................................174.3常用过滤条件...............................................................................................................................................175批量转换报文格式.........................................................................................................................................18内部公开5/24内部文件,请勿扩散1Wireshark介绍Wireshark是开源网络包分析工具,支持Windows/Linux/Unix环境。网络包分析工具的主要作用是尝试捕获网络包,并尝试显示包的尽可能详细的情况。可以从网站下载最新版本的Wireshark(。Wireshark通常在4-8周内发布一次新版本2功能介绍Wireshark支持图形和命令行两种抓报文方式3图形界面抓报文3.1选择网卡抓报文第一步打开wireshark抓包软件,点击“Capture--Interfaces”,如图3-1内部公开6/24内部文件,请勿扩散图3-1选择网卡第二步选择抓包的网卡,点击”Strart“开始抓包,这样将抓取流经此网卡的所有报文,并临时保存在内存中。因此,如果持续抓包将消耗掉系统所有内存。如图3-2和图3-3图3-2启动抓包内部公开7/24内部文件,请勿扩散图3-3抓包界面图标说明重新抓报文停止抓报文表1-13.2显示报文抓取时间打开wireshark抓包软件,点击“View--TimeDisplayFormat--DateandTimeofDay”,如图3-4和图3-5内部公开8/24内部文件,请勿扩散图3-4效果图:图3-53.3Wireshark界面布局Wireshark界面主要分为三部分(如图3-6),区域一显示抓取的报文,区域二显示选中报文的包头详细信息,区域三显示选中报文的详细信息,默认以十六进制显示。内部公开9/24内部文件,请勿扩散图3-6功能说明区域一显示抓取的报文区域二显示选中报文的包头详细信息区域三显示选中报文的详细信息,默认以十六进制显示Packets抓取的所有报文计数Displayed满足过滤条件的报文计数表1-23.4报文过滤条件Wireshark能够根据应用的需要设置灵活方便的过滤条件,迅速筛选出符合条件的报文。内部公开10/24内部文件,请勿扩散Wireshark的Filter过滤能够自动检测语法合法性,如果过滤条件设置正确,则Filter输入框为绿色,如果过滤条件设置错误,则Filter输入框为红色。如图3-7图3-73.4.1常用过滤条件功能说明ip.addr==10.23.7.113源IP地址或目的IP地址是10.23.7.113的报文ip.src==10.23.7.113源IP地址是10.23.7.113ip.dst==10.23.7.113目的IP地址是10.23.7.113ip.src==10.23.7.113andip.dst==10.23.7.113报文源IP地址是10.23.7.113且目的IP地址是106.28.142.181IPipudp/tcp.port==80过滤udp或tcp源端口或目的端口是80的报文udp/tcp.srcport==40004过滤udp或tcp源端口是40004的报文udp/tcp.dstport==80过滤udp或tcp目的端口是80的报文tcp.srcport==40004andtcp.dstport==80过滤tcp协议源端口是40004且目的端口是80的报文tcp/udp/http过滤tcp/udp/http报文tcp.flags.syn==0x02抓tcpsyn报文ip.id==0xadcd过滤ip报文id是0xadcd的报文表1-3内部公开11/24内部文件,请勿扩散3.4.2Wiresharkexpression当然,如果你对Filter过滤规则不熟悉或者不知道如何怎么写时,可以使用wireshark的Expression,这里列出了wireshark所支持的所有过滤协议以及过滤方式图3-83.4.3高级过滤条件上述的过滤条件都是wireshark内置的,主要是根据已知的包头字段内容过滤。同时wireshark也支持根据报文负载内部过滤。项目说明tcp/udp[offset:n]从tcp或udp偏移指定字节后,命中指定n个字节的内容tcp[20:8]表示从20开始,取8个字节内部公开12/24内部文件,请勿扩散表1-4根据负载单字节过滤,如图3-9图3-9根据udp负载过滤双字节,如图3-10udp[8:3]表示从8开始,取3个字节udp[8:3]==81:60:03不可以写为udp[8:3]==816003内部公开13/24内部文件,请勿扩散图3-10根据tcp包头后3字节内容,如图3-11图3-11内部公开14/24内部文件,请勿扩散3.4.4Wiresharkcapturefilter根据3.1抓报文,wireshark默认抓取所选网卡的所有报文,并且保存在内存中。如果忘记停止抓报文,会耗尽系统内存。我们完全可以设置wireshark只抓取满足过滤条件的报文。图3-12点击图中的“Options”选择,进入图3-13图3-13设置好过滤条件后,点击”Start“,wireshark就只抓取符合过滤条件的报文。内部公开15/24内部文件,请勿扩散在”CaptureFilter“输入框内输入过滤条件。语法正确,输入框背景显示为绿色,语法错误,输入框背景显示为红色。请注意,此处的语法与3.4.1不相同。常用过滤条件:表1-54命令行抓报文命令行抓包可以让抓取的报文直接保存在硬盘上,这样既不用担心wireshark抓大流量报文时(例如笔记本抓1Gbps速率的报文)崩溃,又不用担心迅速耗尽系统内存的风险。4.1选择网卡使用cmd进入wireshark的安装目录,如图4-1图4-1功能说明Host10.23.7.113源IP地址或目的IP地址是10.23.7.113的报文host10.23.7.113andtcpport4444源IP地址或目的IP地址是10.23.7.113的报文