搜索
WireShark教程Version1.2.5概述•Wireshark的原名是Ethereal,新名字是2006年起用的。当时Ethereal的主要开发者决定离开他原来供职的公司,并继续开发这个软件。但由于Ethereal这个名称的使用权已经被原来那个公司注册,Wireshark这个新名字也就应运而生了。•Wireshark的优势:安装方便。简单易用的界面。提供丰富的功能。软件简介•网络管理员使用Wireshark来检测网络问题,网络安全工程师使用Wireshark来检查资讯安全相关问题,开发者使用Wireshark来为新的通讯协定除错,普通使用者使用Wireshark来学习网络协定的相关知识当然,有的人也会“居心叵测”的用它来寻找一些敏感信息……•Wireshark不是入侵侦测软件(IntrusionDetectionSoftware,IDS)。对于网络上的异常流量行为,Wireshark不会产生警示或是任何提示。然而,仔细分析Wireshark截取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改,它只会反映出目前流通的封包资讯。Wireshark本身也不会送出封包至网络上。启动后的界面功能界面介绍MENUS(菜单)SHORTCUTS(快捷方式)DISPLAYFILTER(显示过滤器)PACKETLISTPANE(封包列表)PACKETDETAILSPANE(封包详细信息)DISSECTORPANE(16进制数据)MISCELLANOUS(杂项)•File(文件)打开或保存捕获的信息。•Edit(编辑)查找或标记封包。进行全局设置。•View(查看)设置Wireshark的视图。•Go(转到)跳转到捕获的数据。•Capture(捕获)设置捕捉过滤器并开始捕捉。•Analyze(分析)设置分析选项。•Statistics(统计)查看Wireshark的统计信息。•Help(帮助)查看本地或者在线支持。Help帮助ContentsWireshark使用手册SupportedProtocolsWireshark支持的协议清单ManualPages使用手册(HTML网页)WiresharkOnlineWireshark在线AboutWireshark关于WiresharkANSI按照美国国家标准协会的ANSI协议分析FaxT38Analysis...按照T38传真规范进行分析GSM全球移动通信系统GSM的数据H.225H.225协议的数据MTP3MTP3协议的数据RTP实时传输协议RTP的数据SCTP数据流控制传输协议SCTP的数据SIP...会话初始化协议SIP的数据VoIPCalls互联网IP电话的数据WAP-WSP无线应用协议WAP和WSP的数据BOOTP-DHCP引导协议和动态主机配置协议的数据Destinations…通信目的端FlowGraph…网络通信流向图HTTP超文本传输协议的数据IPaddress…互联网IP地址ISUPMessages…ISUP协议的报文MulticastStreams多播数据流ONC-RPCProgramsPacketLength数据包的长度PortType…传输层通信端口类型TCPStreamGraph传输控制协议TCP数据流波形图Statistics对已捕获的网络数据进行统计分析Summary已捕获数据文件的总统计概况ProtocolHierarchy数据中的协议类型和层次结构Conversations会话Endpoints定义统计分析的结束点IOGraphs输入/输出数据流量图ConversationList会话列表EndpointList统计分析结束点的列表ServiceResponseTime从客户端发出请求至收到服务器响应的时间间隔Analyze对已捕获的网络数据进行分析DisplayFilters…选择显示过滤器ApplyasFilter将其应用为过滤器PrepareaFilter设计一个过滤器FirewallACLRules防火墙ACL规则EnabledProtocols…已可以分析的协议列表DecodeAs…将网络数据按某协议规则解码UserSpecifiedDecodes…用户自定义的解码规则FollowTCPStream跟踪TCP传输控制协议的通信数据段,将分散传输的数据组装还原FollowSSLstream跟踪SSL安全套接层协议的通信数据流ExpertInfo专家分析信息ExpertInfoComposite构造专家分析信息Capture捕获网络数据Interfaces…选择本机的网络接口进行数据捕获Options…捕获参数选择Start开始捕获网络数据Stop停止捕获网络数据Restart重新开始捕获CaptureFilters…选择捕获过滤器Go运行Back向后运行Forward向前运行Gotopacket…转移到某数据包GotoCorrespondingPacket转到相应的数据包PreviousPacket前一个数据包NextPacket下一个数据包FirstPacket第一个数据包LastPacket最后一个数据包View视图MainToolbar主工具栏FilterToolbar过滤器工具栏WirelessToolbar无线工具栏Statusbar运行状况工具栏PacketList数据包列表PacketDetails数据包细节PacketBytes数据包字节TimeDisplayFormat时间显示格式Nameresolution名字解析(转换:域名/IP地址,厂商名/MAC地址,端口号/端口名)ColorizePacketList颜色标识的数据包列表AutoScrollinLiveCapture现场捕获时实时滚动ZoomIn放大显示ZoomOut缩小显示NormalSize正常大小ResizeAllColumns改变所有列大小ExpandSubtrees扩展开数据包内封装协议的子树结构ExpandAll全部扩展开CollapseAll全部折叠收缩ColoringRules…对不同类型的数据包用不同颜色标识的规则ShowPacketinNewWindow将数据包显示在一个新的窗口Reload将数据文件重新加Edit编辑FindPacket…搜索数据包FindNext搜索下一个FindPrevious搜索前一个MarkPacket(toggle)对数据包做标记(标定)FindNextMark搜索下一个标记的包FindPreviousMark搜索前一个标记的包MarkAllPackets对所有包做标记UnmarkAllPackets去除所有包的标记SetTimeReference(toggle)设置参考时间(标定)FindNextReference搜索下一个参考点FindPreviousReference搜索前一个参考点Preferences参数选择File打开文件Open打开文件OpenRecent打开近期访问过的文件Merge…将几个文件合并为一个文件Close关闭此文件SaveAs…保存为…FileSet文件属性Export文件输出Print…打印输出Quit关闭在菜单下面,是一些常用的快捷按钮。您可以将鼠标指针移动到某个图标上以获得其功能说明。显示过滤器用于查找捕捉记录中的内容。请不要将捕捉过滤器和显示过滤器的概念相混淆。请参考Wireshark过滤器中的详细内容。封包列表中显示所有已经捕获的封包。在这里您可以看到发送或接收方的MAC/IP地址,TCP/UDP端口号,协议或者封包的内容。如果捕获的是一个OSIlayer2的封包,在Source(来源)和Destination(目的地)列中看到的将是MAC地址,当然,此时Port(端口)列将会为空。如果捕获的是一个OSIlayer3或者更高层的封包,在Source(来源)和Destination(目的地)列中看到的将是IP地址。Port(端口)列仅会在这个封包属于第4或者更高层时才会显示。在Editmenu-Preferences下可以添加/删除列或者改变各列的颜色:这里显示的是在封包列表中被选中项目的详细信息。信息按照不同的OSIlayer进行了分组,可以展开每个项目查看。下面截图中展开的是HTTP信息。“解析器”在Wireshark中也被叫做“16进制数据查看面板”。这里显示的内容与“封包详细信息”中相同,只是改为以16进制的格式表述。在上面的例子里,我们在“封包详细信息”中选择查看TCP端口(80),其对应的16进制数据将自动显示在下面的面板中(0050)。-正在进行捕捉的网络设备。-捕捉是否已经开始或已经停止。-捕捉结果的保存位置。-已捕捉的数据量。-已捕捉封包的数量。(P)-显示的封包数量。(D)(经过显示过滤器过滤后仍然显示的封包)-被标记的封包数量。(M)运行Wireshark并开始分析网络是非常简单的。使用Wireshark时最常见的问题,是当您使用默认设置时,会得到大量冗余信息,以至于很难找到自己需要的部分。这就是为什么过滤器会如此重要。它们可以帮助我们在庞杂的结果中迅速找到我们需要的信息。捕捉过滤器:用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。显示过滤器:在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。两种过滤器的目的是不同的捕捉过滤器是数据经过的第一层过滤器,它用于控制捕捉数据的数量,以避免产生过大的日志文件。显示过滤器是一种更为强大(复杂)的过滤器。它允许您在日志文件中迅速准确地找到所需要的记录。1.捕捉过滤器2.显示过滤器点击showthecaptureoptions…一:选择本地的网络适配器二:设置捕捉过滤填写capturefilter栏或者点击capturefilter按钮为您的过滤器起一个名字并保存,以便在今后的捕捉中继续使用这个过滤器。Protocol(协议):可能的值:ether,fddi,ip,arp,rarp,decnet,lat,sca,moprc,mopdl,tcpandudp.如果没有特别指明是什么协议,则默认使用所有支持的协议。Direction(方向):可能的值:src,dst,srcanddst,srcordst如果没有特别指明来源或目的地,则默认使用srcordst作为关键字。例如,host10.2.2.2与srcordsthost10.2.2.2是一样的。Host(s):可能的值:net,port,host,portrange.如果没有指定此值,则默认使用host关键字。例如,src10.1.1.1与srchost10.1.1.1相同。LogicalOperations(逻辑运算):可能的值:not,and,or.否(“not”)具有最高的优先级。或(“or”)和与(“and”)具有相同的优先级,运算时从左至右进行。例如,nottcpport3128andtcpport23与(nottcpport3128)andtcpport23相同。nottcpport3128andtcpport23与not(tcpport3128andtcpport23)不同。例子tcpdstport3128显示目的TCP端口为3128的封包。ipsrchost10.1.1.1显示来源IP地址为10.1.1.1的封包。host10.1.2.3显示目的或来源IP地址为10.1.2.3的封包。srcportrange2000-2500显示来源为UDP或TCP,并且端口号在2000至2500范围内的封包。noticmp显示除了icmp以外的所有封包。(icmp通常被ping工具使用)srchost10.7.2.12andnotdstnet10.200.0.0/16显示来源IP地址为10.7.2.12,但目的地不是10.200.0.0/16的封包。(srchost10.4.1.12orsrcnet10.6.0.0/16)andtcpdstportrange200-10000anddstnet