Wireshark 使用說明
目錄
目錄 (2)
Chapter 1:Introducing Wireshark (4)
1.1 Wireshark的發展歷史 (4)
1.2 什麼是Wireshark ? (4)
1.3 網路分析和Snif?ng是什麼? (4)
1.4 誰使用網路分析? (5)
1.4.1駭客如何使用sniffer ? (6)
1.5 檢查是否有sniffer在你的OS運作 (6)
Chapter 2:安裝Wireshark (8)
2.1 Wireshark支援的平台 (8)
2.2 取得Wireshark程式 (8)
2.3 在Windows上安裝Wireshark (8)
2.4 在Linux Windows上安裝Wireshark (10)
2.5 Capture Wireless Packets on Linux (11)
Chapter 3:Wireshark GUI (13)
3.1 Introduction (13)
3.2 Getting Started with Wireshark (13)
3.3 探討Main Window (13)
3.3.1 Summary Window (14)
3.3.2 Protocol Tree Window (14)
3.3.3 Data View Window (14)
3.4 Other Window Components (14)
3.4.1 Filter Bar (14)
3.4.2 Information Field (14)
3.4.3 Display Information Field (15)
Chapter 4:Wireshark Function (16)
4.1 File (16)
4.1.1 Open (16)
4.1.2 Save As (17)
4.1.3 Print (18)
4.1.4 Merge (20)
4.2 Edit (22)
4.2.1 Find Packet (22)
4.2.2 Mark Packet (23)
4.2.3 Set Time Reference (toggle) (24)
4.2.4 Preferences (24)
4.3 View (24)
4.3.1 Time Display Information (26)
4.3.2 Apply Color Filters (26)
4.3.3 Show Packet in New Window (27)
4.4 Go (27)
4.4.1 Go To Packet (28)
4.5 Capture (28)
4.5.1 Capture Options (28)
4.5.2 Capture Filter (30)
4.6 Analyze (30)
4.6.1 Display Filter (31)
4.6.2“Apply as Filter” 和“Prepare a Filter” (32)
4.6.3 Enabled Protocols (33)
4.6.4 Decode As (34)
4.6.5 Follow TCP Stream and Follow SSL Stream (35)
4.6.6 Expert Info (37)
4.6.7 Expert Info Composite (38)
4.7 Statistics (38)
4.7.1 Summary (38)
4.7.2 Protocol Hierarchy (39)
4.7.3 Flow Graph(流程圖) (40)
Chapter 5:Filter (42)
5.1Filter type (42)
5.2 擷取中過濾 (42)
5.3 檢視中過濾 (43)
5.3.1 檢視中過濾運算式 (43)
5.3.2 檢視中過濾 (44)
Chapter 1:Introducing Wireshark
1.1 Wireshark的發展歷史
1997年底,Gerald Combs需要一個能夠追蹤網路traffic的工具軟體作為其工作上的輔助。因此他開始撰寫Ethereal軟體。終於在1998年7月release其第一個版本Ethernel v0.2.0版。從此之後,Combs收到了來自全世界的修補程式、錯誤回報與鼓勵信件。Ethereal的發展就此開始。
不久之後,Gilbert Ramirez 看到了這套軟體的開發潛力並開始參予低階程式的開發。1998年10月,來自Network Appliance 公司的Guy Harris 在尋找一套比tcpview(另外一套網路封包擷取程式)更好的軟體。於是他也開始參與Ethereal的開發工作。1998年底,一位在教授TCP/IP 課程的講師Richard Sharpe,看到了這套軟體的發展潛力,而後開始參與開發與加入新協定的功能。在當時,新的通訊協定的制定並不複雜,因此他開始在Ethereal上新增的封包擷取功能,幾乎包含了當時所有通訊協定。
在這之後陸續有更多人加入參與開發Ethernel的工作,多半是因為希望能讓Ethereal擷取更多目前沒包含的protocol封包。後來Ethereal 的主要開發人員Gerald Combs 從NIS 跳槽到CACE,可是Ethereal 的商標是NIS 公司的,但是他們並沒有打算要放手。所以因為商標的問題,2006年6月Ethereal更名為Wireshark。
最初Wireshark是由Gerald Combs發展其架構,但現在進一步研發和維護則由Wireshark team負責。在我目前使用的1.0.4中,他已經有支援935個protocol,現在已經release到1.2.1版,所以已經超過935個protocol,他現在還在不斷的增加中。
1.2 什麼是Wireshark ?
?Wireshark是一個網路分析軟體。主要的功能是擷取網路封包和解碼,轉換到可以讀取的
格式
?Wireshark有多項強大的特色,像是支援多數的網路protocol、豐富的filter語言、易於查
看TCP session流程、架構等等。
?Wireshark使用pcap來擷取封包,所以它只能抓pcap所支援的封包
?它是免費的軟體
?開放原始碼(open source software)軟體,採用Gnu Public License (GPL)授權。
GNU通用公共許可證(GNU General Public License,英文通常以GNU GPL或是直接
簡短的以GPL表示),是一個廣泛被使用的自由軟體許可。GPL授權給程式「自由」權利,內容包含:
1. 以任何目的執行此程序的自由;
2. 再發行複製件的自由;
3. 自由的update程式並公開release。
1.3 網路分析和Snif?ng是什麼?
網路分析(也稱為流量分析,協議分析,Sniffer,分組分析法,監聽等),是擷取網路流量的過程,使用者可以透過它來仔細檢查在網路上發生的事情。網路分析進行解碼Public Protocol 的封包,並顯示可讀格式的網路流量。Sniffer是一種程序,可以監測網路的數據活動。未經授權的sniffers可視為網路威脅的一種,因為它們很難檢測,使它們成為駭客最喜愛的攻擊武器之一。
一個典型的網路分析器顯示三個視窗:如下:
?Summary:顯示一行獲取的摘要。內容包括日期,時間,源地址,目的地地址,名稱和資
料的最高層協議。
?Detail:以樹狀結構顯示擷取封包中每一層的資料。
?Data:此區塊顯示16進制和文字格式的原始採集的data。
Summary
Detail
Data
網路分析器的可區分為硬體和軟體,而主要的構成單元由底下五個基本部分組成:
?Hardware
大多數網絡分析器是based on軟體與標準作業系統(操作系統)和網卡(NIC)。一些硬體網路分析器提供了額外的好處,如硬體故障分析(例如,循環冗餘校
?Capture Driver
這是網路分析器的一部分,負責從cable收集原始網絡traffic。它會過濾掉traffic,保留並儲存你想要擷取的資料到buffer中。這是網路分析器的核心,沒有capture driver你就不能擷取資料。
?Buffer
主要是儲存capture data。資料可以存儲在緩衝區(Buffer)直到它滿,或使用循環式利用(例如,”遞回”),即最新的資料取代最舊的資料。常見的緩衝器為硬碟或記憶體。
?Real-time Analysis
此功能分析從cable中擷取來的資料,一些網路分析器使用它來找到網路效能問題,而網路入侵檢測系統(IDS)則利用它來尋找入侵者活動的跡象
?Decode
這部份顯示網路traffic的內容(描述) 量,它是可讀的,Decode是定義在每個protocol。
1.4 誰使用網路分析?
系統管理員,網絡工程師,安全工程師,系統操作員,程序員和所有使用網路分析器,對於診斷和排除網路問題這是非常寶貴的工具。
?網路管理員用他是檢查網路問題
?網路安全工程師用它來檢查資訊安全問題
?程式開發員能用它來除錯
?一般使用者可以用它來學習網路protocol相關協定
雖然網路系統和安全專業人士利用它進行故障排除和監測網路,入侵者使用網絡分析達到其攻擊目的。網路分析器是把雙面刃,端看使用者的目的為何。Sniffer主要功用為擷取網路資料進行分析。它並沒有底下的用途:
?它不是入侵偵測軟體(Intrusion Detection Software, IDS),對於網路上的異常流量行為,
不會產生警示或任何提示。然而,仔細分析擷取的封包能夠幫助使用者更瞭解網路行為。
?它不會對網路封包產生內容的修改,它只會反映出目前流通的封包資訊。本身也不會送出
封包到網路上。
?不是藉由擷取封包來偷窺別人在做什麼事。
網路分析器是用來:
?轉換為二進制封包到可讀格式
?檢修網路問題
?分析網路性能
?網路入侵檢測
?記錄網路流量
?分析應用的運轉
?發現錯誤的網路卡
?發現病毒爆發的來源或拒絕服務(DoS)攻擊
?偵測安裝在電腦上用於監視用戶活動的間諜軟件
?網路程式在發展階段的除錯
?檢測電腦
?驗證遵守公司政策
?學習protocol時,作為教材
1.4.1駭客如何使用sniffer ?
當被惡意的個體使用,對於網路的安全而言Sniffer可視為一個重大威脅。網路入侵者使用sniffer擷取機密信息,這可視為一種被動攻擊,因為它沒有直接產生攻擊行為,而是將擷取的資料傳送給攻擊者做為攻擊的參考。Sniffer也可能被安裝作為電腦某一部分進而在網路上使用主動攻擊。被動式的sniffer因其特性而導致很難偵測到它的存在。入侵者在網路上使用sniffer主要的目的有下列幾項:
?獲取明文用戶名和密碼
?發現使用者在網路上使用的模式
?損壞專有訊息
?捕獲和重播語音IP(VoIP)電話交談
?繪製網路配置圖
?被動操作系統指紋識別
1.5 檢查是否有sniffer在你的OS運作
如前所述,sniffer是一種被動形式的攻擊。他們不會與任何設備直接連接或傳輸任何信息,這使得它們很難被察覺。我們可以檢測sniffer是否有在OS上運作。最簡單的方法就是檢查你的網路卡,看看他們是否有混雜模式。在Linux系統上下ifconfig –a,看看是有沒有PROMISC
flag,如果有表示在你的OS下已被安裝Sniffer。如下:
Linux
如果ifconfig沒有檢測到sniffer,你可以嘗詴使用ip link的命令,下面的範列顯示了輸出的IP 的命令:
Windows
Step
1:首先要先到http://www.ntsecurity.nu/toolbox/promiscdetect/下載檢測軟體(for Windows NT 4.0 / 2000 / X P / 2003 / Vista)。
2:在cmd下執行,如果有Promiscuous表示已被安裝sniffer監視。
Chapter 2:安裝Wireshark
2.1 Wireshark支援的平台
Wireshark 適合大多數Linux/UNIX平台與Windows平台。以下平台皆可安裝與使用Wireshark:
?Apple Mac OS X
?Debian GNU/Linux
?FreeBSD
?Gentoo Linux
?HP-UX
?Mandriva Linux
?NetBSD
?OpenPKG
?Red Hat Fedora/Enterprise Linux
?rPath Linux
?Sun Solaris/i386
?Sun Solaris/Sparc
?Windows 2000, X P Home, X P Pro, X P T ablet PC, X P Media Center, Server 2003 or
Vista
2.2 取得Wireshark程式
?官方網站
https://www.doczj.com/doc/2912831622.html,/download.html
?Sourceforge
https://www.doczj.com/doc/2912831622.html,/project/showfiles.php?group_id=255&package_id=193847&r
elease_id=612679
2.3 在Windows上安裝Wireshark
1.
2.
4.
2.4 在Linux Windows 上安裝Wireshark
在這個安裝範例中,我Linux 的版本是Ubuntu 9.04。 Step :
1. 確定已經連線到網路
2. Applications →Add/Remove … → Click “ Reload ” 更新應用程式
3. 在Search 填入wireshark 尋找wireshark 程式
4. 尋找到wireshark 後選取必且點選”Apply Changes ”
2.5 Capture Wireless Packets on Linux
Step :
1. 安裝完後要在Application →Internet 下,選擇wireshark (as root)
2. 插入wireless 卡,開啟Wireshark 選擇Capture Options ,你會看到你wireless card 的type 是Ethernet ,這時候你要先改網卡改到monitor mode 才能抓到wireless 封包。
3. Applications →T erminal 進到root 下
4. 改完之後再重新開啟wireshark ,你的wireless card 的Type 就會改變到ieee802.11,這時候就可以抓wireless 封包了。
// 進到root 下
// 看wireless 的interface 名稱
// 停用網卡
// 將網卡改到monitor mode // 啟用網卡
Chapter 3:Wireshark GUI
3.1 Introduction
本章主要說明Wireshark 的圖形用戶界面(GUI)組成部分,其中包括:
? Main window ? Menu bar ? T ool bar
? Summary window ? Protocol Tree window ? Data View window ? Filter bar ? Information ?eld ? Display information
3.2 Getting Started with Wireshark
主要視窗:
3.3 探討 Main Window
1. Menu Ber(功能表):用於開始操作。
2. Tool Bar(主要工具欄):快速啟動功能表列中常用功能。
3. Filter Bar(過濾工具欄):在filter 欄位中輸入特定語法來過濾summary window 中的封包。
4. Summary Window :列出目前擷取到封包的一行摘要。
5. Protocol Tree Window :依summary window 中所選擇的封包而改變內容,會以樹狀結
構顯示每個Layers 。
6. Data View Window :依Summary Window 選擇封包的原始的資料。
7. Information Field :顯示目前檔案儲存的地方。
8. Display Information Field :更多擷取資料詳情。 Menu Bar → Tool Bar → Filter Bar →
Summary Window →
Protocol Tree
Window →
Data View Window →
Informati on ?eld
Display information
3.3.1 Summary Window
Summary 會顯示一行擷取的摘要。在這區域包括Packet number 、time 、來源地址,目的地地址,protocol 名稱和資料最高層協議資訊
3.3.2 Protocol Tree Window
將封包的欄位概念化為樹。每個Protocol 都有一個樹節點可展開,提供該Protocol 欄位的值。在Protocol Tree Window 的每一層protocol 堆疊中包含一行summary 。如下:
3.3.3 Data View Window
Data View Window 中包含每一列開始四位數字。封包的開始在每一列中第一個octet 是offset 。這個offset 是2個字元(16進制)。最後一個項目中的每一行16個ASCII 碼。並不是所有byte 都可顯示ASCII 。對於那些byte 就用一個句點(.)取代。
顯示內容和protocol tree window 相同,但以位元組的格式來顯示,通常是16進制,右側是相對應的ASCII 碼,當使用者選取Protocol Tree Window 中的協定欄位時,此處相對應的位元組會自動反白。在每一個的offset ,0040表示0x40 (16進制,或是在封包裡面的64bytes)。
3.4 Other Window Components
3.4.1 Filter Bar
Filter Bar 你可以輸入一個filter 字串,限制顯示在Summary window 的封包。只有符合filter 字串的封包才會被顯示在Summary window 。EX :ip.addr == 192.168.1.100 and DNS ,將所有封包IP 位址為10.15.162 的DNS 包顯示在Summary window 。當我們語法輸入錯誤時,欄位背景會呈現紅色,這種語法稱為顯示篩選器(display filter)。
3.4.2 Information Field
Information Field是顯示目前檔案儲存的地方或是在Protocol Tree window中選擇protocol欄位的資訊。
3.4.3 Display Information Field
Display Information欄位顯示,顯示封包數量或在summary window中filter的數量。
P:目前capture封包的數量
D:目前顯示封包的數量
M:標記幾個封包
Chapter 4:Wireshark Function
所有Wireshark可用功能都在Menu中。在這章節中,我們有系統地探討這些功能,並提供其使用的範例。
4.1 File
4.1.1 Open
open對話視窗中除了可以正常開啟檔是另外還提供了一個filter:可以從capture檔案中filter掉讀取封包,只把你要讀取的封包load進來。點擊"filter:"按鈕打開對話框中顯示過濾器。filter視窗只有在linux版本來有。在window版本只有filter欄位
4.1.2 Save As
透過File→Save As可將目前檔案保存為另外一個檔案。除了填入檔名及選擇存檔位置外,你可以選擇儲存保存多種不同集合的封包。可以儲存所有擷取到的封包、或是目前顯示的封包、或者是只有你mark的封包、或者是只儲存填入packet number的封包…等。下面有
二個範列來說明。
●All Packet:儲存所有的封包
●Select Packet:只儲存選擇的封包
●Marked packets:只保存mark的封包
●Range:填入要存檔package number
●Capture:儲存擷取到的所有封包
●Display:儲存顯示的所有封包
EX:All Packet_Display:儲存顯示的所有封包
EX 1:
1. Range 欄位是填入要存檔package number。用「,」分開,像這個範例,我只選擇儲存
4-5(ARP)、8、9(ICMP)到ex1。
2. 保存完後開啟ex1,就只留下剛剛只儲存的2個ARP和2個ICMP,如下:
EX 2:
1. 另外一種方式是使用mark的方式,這二種方式對於個儲存不同type的封包非常方便。
在range這邊把你要的封包按右鍵選擇”mark packet”,在存檔時再選marked Packets,如下:
4.1.3 Print
這個視窗可以讓你選擇你想列印的封包,Print對話視窗中幫助解答有關列印問題:
?應該如何去列印?
?哪些封包要列印?
?每個封包我要列印什麼樣的信息?
●Plain T ext:指定使用存文字列印
●PostScript:指定透過應該程式PostScript列印,產生更好的輸出
●Output to file:指定使用輸入檔案名稱和路徑將列印存成一個檔案,
●Packet summary line:顯示一行封包的摘要,就是"Summary Window"的內容
●Packet Details:匯出Packet Details樹狀結構,就是"Protocol Tree Window"的內
容,有三個型式:
1. All collapsed:以折疊所有分支方式顯示所有資訊
2. As displayed:顯示目前展開狀態下的資訊
3. All expanded:以展開所有分支狀態下的資訊
●Packet bytes:顯示位元組,就是"Data View Window"的內容
●Each Packet on a new page:每個封包單獨一頁(例如,如果保存/列印成text檔,
會在包之間加上分節符號)
EX1:
1.在這個範例中我只有選擇ping request一個檔案,我只要匯出一個檔案,在封包格式這
邊選擇:
●Output to file:指定使用輸入檔案名稱和路徑將列印存成一個檔案
●Packet summary line:匯出一行封包擷要,也是summary window顯示的資訊
●All collapsed:以折疊有分支方式顯示所有資訊
●Packet bytes:顯示位元組,就是“Data View Window”的內容
2. 按”列印”後,將已儲存的文字檔打開,如下:
4.1.4 Merge
利用這個功能可以將二個檔案合併成一個檔案。 EX 1:
1. M1-ICMP 是之前就儲存的檔案,如下:
2. 接下來我抓DNS 的封包,然後選擇File/Merge …,Wireshark 會先要求做存檔的動作,
Summary line
Packet details -All collapse Packet byte s
Wireshark教程带实例 第 1 章介绍 1.1. 什么是Wireshark Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包,并尝试显示包的尽可能详细的情况。 你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具,就好像使电工用来测量进入电信的电量的电度表一样。(当然比那个更高级) 过去的此类工具要么是过于昂贵,要么是属于某人私有,或者是二者兼顾。 Wireshark出现以后,这种现状得以改变。Wireshark可能算得上是今天能使用的最好的开元网络分析软件。 1.1.1. 主要应用 下面是Wireshark一些应用的举例: ?网络管理员用来解决网络问题 ?网络安全工程师用来检测安全隐患 ?开发人员用来测试协议执行情况 ?用来学习网络协议 除了上面提到的,Wireshark还可以用在其它许多场合。 1.1. 2. 特性 ?支持UNIX和Windows平台 ?在接口实时捕捉包 ?能详细显示包的详细协议信息 ?可以打开/保存捕捉的包 ?可以导入导出其他捕捉程序支持的包数据格式 ?可以通过多种方式过滤包 ?多种方式查找包 ?通过过滤以多种色彩显示包 ?创建多种统计分析 ?…还有许多 不管怎么说,要想真正了解它的强大,您还得使用它才行
图 1.1. Wireshark捕捉包并允许您检视其内 1.1.3. 捕捉多种网络接口 Wireshark 可以捕捉多种网络接口类型的包,哪怕是无线局域网接口。想了解支持的所有网络接口类型,可以在我们的网站上找到https://www.doczj.com/doc/2912831622.html,/CaptureSetup/NetworkMedia. 1.1.4. 支持多种其它程序捕捉的文件 Wireshark可以打开多种网络分析软件捕捉的包,详见??? 1.1.5. 支持多格式输出 Wieshark可以将捕捉文件输出为多种其他捕捉软件支持的格式,详见??? 1.1.6. 对多种协议解码提供支持 可以支持许多协议的解码(在Wireshark中可能被称为解剖)??? 1.1.7. 开源软件 Wireshark是开源软件项目,用GPL协议发行。您可以免费在任意数量的机器上使用它,不用担心授权和付费问题,所有的源代码在GPL框架下都可以免费使用。因为以上原因,人们可以很容易在Wireshark上添加新的协议,或者将其作为插件整合到您的程序里,这种应用十分广泛。 1.1.8. Wireshark不能做的事 Wireshark不能提供如下功能 ?Wireshark不是入侵检测系统。如果他/她在您的网络做了一些他/她们不被允许的奇怪的事情,Wireshark不会警告您。但是如果发生了奇怪的事情,Wireshark可能对察看发生了什么会有所帮助。[3]?Wireshark不会处理网络事务,它仅仅是“测量”(监视)网络。Wireshark不会发送网络包或做其它交互性的事情(名称解析除外,但您也可以禁止解析)。 1.2. 系通需求
实验六使用W i r e s h a r k分析U D P 一、实验目的 比较TCP和UDP协议的不同 二、实验环境 与因特网连接的计算机,操作系统为Windows,安装有Wireshark、IE等软件。 三、实验步骤 1、打开两次TCP流的有关跟踪记录,保存在中,并打开两次UDP流中的有关跟踪文件。如图所示: 图1:TCP 流跟踪记录 图2:UDP流跟踪记录 2、分析此数据包: (1)TCP传输的正常数据: 文件的分组1到13中显示了TCP连接。这个流中的大部分信息与前面的实验相同。我们在分组1到分组3中看到了打开连接的三次握手。分组10到分组13显示的则是连接的终止。我们看到分组10既是一个带有FIN标志的请求终止连接的分组,又是一个最后1080个字节的(序号是3921—5000)的重传。 TCP将应用程序写入合并到一个字节流中。它并不会尝试维持原有应用程序写人的边界值。我们注意到TCP并不会在单个分组中传送1000字节的应用程序写入。前1000个字节会在分组4种被发送,而分组5则包含了1460个字节的数据-----一些来自第二个缓冲区,而另一些来自第三个缓冲区。分组7中含有1460个字节而分组8中则包含剩余的1080个字节。(5000-0=1080) 我们注意到实际报告上的秒是从初始化连接的分组1开始到关闭连接的分组10结束。分组11—13未必要计入接收端应用程序的时间内,因为一旦接收到第一个FIN,TCP层便马上发送一个关闭连接的信号。分组11—13只可能由每台计算机操作系统得TCP层后台传输。 如果我们注意到第一个包含数据的分组4和最后一个分组8之间的时间,我们就大约计算出和由UDP接收端所报告的秒相同的时间。这样的话,增加TCP传输时间的主要原因就是分组10中的重传。公平的说,UDP是幸运的,因为它所有的分组都在第一时间被接受了。
杭州迪普科技有限公司wireshark抓包应用指导说明书
修订记录
目录 1 WIRESHARK介绍 (5) 2 功能介绍 (5) 3 图形界面抓报文 (5) 3.1 选择网卡抓报文 (5) 3.2 显示报文抓取时间 (7) 3.3 WIRESHARK界面布局 (8) 3.4 报文过滤条件 (9) 3.4.1 常用过滤条件 (10) 3.4.2 WIRESHARK EXPRESSION (11) 3.4.3 高级过滤条件 (11) 3.4.4 WIRESHARK CAPTURE FILTER (14) 4 命令行抓报文 (15) 4.1 选择网卡 (15) 4.2 命令行过滤条件 (17) 4.3 常用过滤条件 (17) 5 批量转换报文格式 (18)
1Wireshark介绍 Wireshark 是开源网络包分析工具,支持Windows/Linux/Unix环境。网络包分析工具的主要作用是尝试捕获网络包,并尝试显示包的尽可能详细的情况。可以从网站下载最新版本的Wireshark (https://www.doczj.com/doc/2912831622.html,/download.html 。Wireshark通常在4-8周内发布一次新版本 2功能介绍 Wireshark支持图形和命令行两种抓报文方式 3图形界面抓报文 3.1选择网卡抓报文 第一步打开wireshark抓包软件,点击“Capture-->Interfaces”,如图3-1
图3-1选择网卡 第二步选择抓包的网卡,点击”Strart“开始抓包,这样将抓取流经此网卡的所有报文,并临时保存在内存中。因此,如果持续抓包将消耗掉系统所有内存。如图3-2和图3-3 图3-2启动抓包
Wireshark的捕捉过滤器和显示过滤器 Wireshark两种过滤器使用的语法是完全不同的。我们将在接下来的几页中对它们进行介绍: 1. 捕捉过滤器 捕捉过滤器的语法与其它使用Lipcap(Linux)或者Winpcap(Windows)库开发的软件一样,比如著名的TCPdump。捕捉过滤器必须在开始捕捉前设置完毕,这一点跟显示过滤器是不同的。 设置捕捉过滤器的步骤是: - 选择capture -> options。 - 填写"capture filter"栏或者点击"capture filter"按钮为您的过滤器起一个名字并保存,以便 在今后的捕捉中继续使用这个过滤器。 - 点击开始(Start)进行捕捉。
语法: 例子:tcp dst 10.1.1.1 80 and tcp dst 10.2.2.2 3128 Protocol(协议): 可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 如果没有特别指明是什么协议,则默认使用所有支持的协议。 Direction(方向): 可能的值: src, dst, src and dst, src or dst 如果没有特别指明来源或目的地,则默认使用"src or dst" 作为关键字。 例如,"host 10.2.2.2"与"src or dst host 10.2.2.2"是一样的。Host(s): 可能的值:net, port, host, portrange. 如果没有指定此值,则默认使用"host"关键字。
利用wireshark分析HTTP协议实验报告 姓名:杨宝芹 学号:2012117270 班级:电子信息科学与技术 时间:2014.12.26
利用wireshark分析HTTP协议实验报告 一、实验目的 分析HTTP协议。 二、实验环境 连接Internet的计算机,操作系统为windows8.1; Wireshark,版本为1.10.7; Google Chrome,版本为39.0.2171.65.m; 三、实验步骤 1.清空缓存 在进行跟踪之前,我们首先清空Web 浏览器的高速缓存来确保Web网页是从网络中获取的,而不是从高速缓冲中取得的。之后,还要在客户端清空DNS 高速缓存,来确保Web服务器域名到IP地址的映射是从网络中请求。 2.启动wireshare 3.开始俘获 1)在菜单中选择capture-options,选择网络,打开start。如下图:
2)在浏览器地址栏中输入https://www.doczj.com/doc/2912831622.html,,然后结束俘获,得到如下结果: 3)在过滤器中选择HTTP,点击apply,得到如下结果:
在菜单中选择file-save,保存结果,以便分析。(结果另附) 四、分析数据 在协议框中选择“GET/HTTP/1.1”所在的分组会看到这个基本请求行后跟随 着一系列额外的请求首部。在首部后的“\r\n”表示一个回车和换行,以此将该 首部与下一个首部隔开。“Host”首部在HTTP1.1版本中是必须的,它描述了URL 中机器的域名,本实验中式https://www.doczj.com/doc/2912831622.html,。这就允许了一个Web服务器在同一 时间支持许多不同的域名。有了这个数不,Web服务器就可以区别客户试图连接 哪一个Web服务器,并对每个客户响应不同的内容,这就是HTTP1.0到1.1版本 的主要变化。User-Agent首部描述了提出请求的Web浏览器及客户机器。接下 来是一系列的Accpet首部,包括Accept(接受)、Accept-Language(接受语言)、 Accept-Encoding(接受编码)、Accept-Charset(接受字符集)。它们告诉Web
Wireshark图解教程(简介、抓包、过滤器)配置 Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的 数据,并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样,Wireshark也使用pcap network library来进行封包捕捉。可破解局域网内QQ、 邮箱、msn、账号等的密码!! Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样,Wireshark也使用pcap network library来进行封包捕捉。可破解局域网内QQ、邮箱、msn、账号等的密码!! wireshark的原名是Ethereal,新名字是2006年起用的。当时Ethereal的主要开发者决定离开他原来供职的公司,并继续开发这个软件。但由于Ethereal这个名称的使用权已经被原来那个公司注册,Wireshark这个新名字也就应运而生了。 在成功运行Wireshark之后,我们就可以进入下一步,更进一步了解这个强大的工具。下面是一张地址为192.168.1.2 的计算机正在访问“https://www.doczj.com/doc/2912831622.html,”网站时的截图。 1.MENUS(菜单) 2.SHORTCUTS(快捷方式) 3.DISPLAY FILTER(显示过滤器) 4.PACKET LIST PANE(封包列表) 5.PACKET DETAILS PANE(封包详细信息) 6.DISSECTOR PANE(16进制数据) 7.MISCELLANOUS(杂项)
1. MENUS(菜单) 程序上方的8个菜单项用于对Wireshark进行配置: -"File"(文件)-"Edit"(编辑)-"View"(查看)-"Go"(转到)-"Capture"(捕获)-"Analyze"(分析)-"Statistics"(统计) -"Help"(帮助)打开或保存捕获的信息。 查找或标记封包。进行全局设置。 设置Wireshark的视图。 跳转到捕获的数据。 设置捕捉过滤器并开始捕捉。 设置分析选项。 查看Wireshark的统计信息。 查看本地或者在线支持。 2. SHORTCUTS(快捷方式) 在菜单下面,是一些常用的快捷按钮。 您可以将鼠标指针移动到某个图标上以获得其功能说明。 3.DISPLAY FILTER(显示过滤器) 显示过滤器用于查找捕捉记录中的内容。 请不要将捕捉过滤器和显示过滤器的概念相混淆。请参考Wireshark过滤器中的详细内容。 返回页面顶部 4.PACKET LIST PANE(封包列表)
1 深圳大学实验报告 实验课程名称:计算机网络 实验项目名称:使用wireshark进行协议分析 学院:计算机与软件学院专业:计算机科学与技术 报告人:邓清津学号:2011150146 班级:2班同组人:无 指导教师:杜文峰 实验时间:2013/6/10 实验报告提交时间:2013/6/10 教务处制
一、实验目的与要求 学习使用网络数据抓包软件.学习使用网络数据抓包软件wireshark,并对一些协议进行分析。 二、实验仪器与材料 Wireshark抓包软件 三、实验内容 使用wireshark分析各层网络协议 1.HTTP协议 2.ARP协议,ICMP协议 3.IP协议 4.EthernetII层数据帧 为了分析这些协议,可以使用一些常见的网络命令。例如,ping等。 四、实验步骤 1、安装Wireshark,简单描述安装步骤: 2、打开wireshark,选择接口选项列表。或单击“Capture”,配置“option” 选项。
3.点击start后,进行分组捕获,所有由选定网卡发送和接收的分组都将被捕获。 4. 开始分组捕获后,会出现如图所示的分组捕获统计窗口。该窗口统计显示各类已捕获分组的数量。在该窗口中有一个“stop”按钮,可以停止分组的捕获。
一、分析HTTP协议 1.在浏览器地址栏中输入某网页的URL,如:https://www.doczj.com/doc/2912831622.html,。为显示该网页,浏览器需要连接https://www.doczj.com/doc/2912831622.html,的服务器,并与之交换HTTP消息,以下载该网页。包含这些HTTP消息的以太网帧(Frame)将被WireShark捕获。 2. 在显示筛选编辑框中输入“http”,单击“apply”,分组列表窗口将只显示HTTP消息。 3.点击其中一个http协议包
Wireshark教程 当前,互联网已经越来越成为人们生活中必不可少的组成部分。面对日益复杂的网络环境,网络管理员必须花费更很多的时间和精力,来了解网络设备的运作情况,以维持系统的正常运行。当网络趋于复杂,就必须借助于专业的工具了。因此,作为一个网络管理人员和网络从业者,熟练掌握和运用一套网络管理软件来对整个网络进行协议分析,是一个必不可少的技能。 当前较为流行的网络协议嗅探和分析软件—Wireshark 。通过使用抓包工具,来准确而快速地判断网络问题的所在,大大缩短寻找问题的时间。 网络管理人员的私人秘书—Wireshark 网络流量分析是指捕捉网络中流动的数据包,并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题,它是网络和系统管理人员进行网络故障和性能诊断的有效工具。通常,人们把网络分析总结为四种方式:基于流量镜像协议分析,基于 SNMP 的流量监测技术,基于网络探针( Probe )技术和基于流( flow )的流量分析。而我们下面要向大家介绍的 Wireshark 就是基于流量镜像协议分析。 流量镜像协议分析方式是把网络设备的某个端口(链路)流量镜像给协议分析仪,通过 7 层协议解码对网络流量进行监测。但该方法主要侧重于协议分析,而非用户流量访问统计和趋势分析,仅能在短时间内对流经接口的数据包进行分析,无法满足大流量、长期的抓包和趋势分析的要求。 Wireshark 的前身是著名的 Ethereal 。 Wireshark 是一款免费的网络协议检测程序。它具有设计完美的 GUI 和众多分类信息及过滤选项。下面是 Wireshark 的界面。 用户通过 Wireshark ,同时将网卡插入混合模式,可以用来监测所有在网络上被传送的包,并分析其内容。通过查看每一封包流向及其内容,用来检查网络的工作情况,或是用来发现网络程序的 bugs 。 Wireshark 是一个开放源码的网络分析系统,也是是目前最好的开放源码的网络协议分析器,支持 Unix Linux 和 Windows 平台。由于 Wireshark 是 Open Source ,更新快,支持的协议多,特别是数据包过滤功能灵活强大。 Wireshark 提供了对 TCP 、 UDP 、 SMB 、 telnet 和 ftp 等常用协议的支持。它在很多情况下可以代替价格昂贵的 Sniffer 。 安装好后,双击桌面上的 Wireshark 图标,运行软件。再捕捉数据包之前,首先要对捕获的条件进行设置。点击工具栏里的“Capture à Options”,(图一)或者直接点击快捷按钮(图二),打开选项设置页面(图三)。
第 1 章介绍 1.1. 什么是Wireshark Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包,并尝试显示包的尽可能详细的情况。 你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具,就好像使电工用来测量进入电信的电量的电度表一样。(当然比那个更高级) 过去的此类工具要么是过于昂贵,要么是属于某人私有,或者是二者兼顾。 Wireshark出现以后,这种现状得以改变。Wireshark可能算得上是今天能使用的最好的开元网络分析软件。 1.1.1. 主要应用 下面是Wireshark一些应用的举例: ?网络管理员用来解决网络问题 ?网络安全工程师用来检测安全隐患 ?开发人员用来测试协议执行情况 ?用来学习网络协议 除了上面提到的,Wireshark还可以用在其它许多场合。 1.1. 2. 特性 ?支持UNIX和Windows平台 ?在接口实时捕捉包 ?能详细显示包的详细协议信息 ?可以打开/保存捕捉的包 ?可以导入导出其他捕捉程序支持的包数据格式 ?可以通过多种方式过滤包 ?多种方式查找包 ?通过过滤以多种色彩显示包 ?创建多种统计分析 ?…还有许多 不管怎么说,要想真正了解它的强大,您还得使用它才行 图 1.1. Wireshark捕捉包并允许您检视其内
1.1.3. 捕捉多种网络接口 Wireshark 可以捕捉多种网络接口类型的包,哪怕是无线局域网接口。想了解支持的所有网络接口类型,可以在我们的网站上找到https://www.doczj.com/doc/2912831622.html,/CaptureSetup/NetworkMedia. 1.1.4. 支持多种其它程序捕捉的文件 Wireshark可以打开多种网络分析软件捕捉的包,详见??? 1.1.5. 支持多格式输出 Wieshark可以将捕捉文件输出为多种其他捕捉软件支持的格式,详见??? 1.1.6. 对多种协议解码提供支持 可以支持许多协议的解码(在Wireshark中可能被称为解剖)??? 1.1.7. 开源软件 Wireshark是开源软件项目,用GPL协议发行。您可以免费在任意数量的机器上使用它,不用担心授权和付费问题,所有的源代码在GPL框架下都可以免费使用。因为以上原因,人们可以很容易在Wireshark上添加新的协议,或者将其作为插件整合到您的程序里,这种应用十分广泛。 1.1.8. Wireshark不能做的事 Wireshark不能提供如下功能 ?Wireshark不是入侵检测系统。如果他/她在您的网络做了一些他/她们不被允许的奇怪的事情,Wireshark不会警告您。但是如果发生了奇怪的事情,Wireshark可能对察看发生了什么会有所帮助。[3]?Wireshark不会处理网络事务,它仅仅是“测量”(监视)网络。Wireshark不会发送网络包或做其它交互性的事情(名称解析除外,但您也可以禁止解析)。 1.2. 系通需求 想要安装运行Wireshark需要具备的软硬件条件... 1.2.1. 一般说明 ?给出的值只是最小需求,在大多数网络中可以正常使用,但不排除某些情况下不能使用。[4] ?在繁忙的网络中捕捉包将很容塞满您的硬盘!举个简单的例子:在100MBIT/s全双工以太网中捕捉数据将会产生750MByties/min的数据!在此类网络中拥有高速的CPU,大量的内存和足够的磁盘空间是十分有必要的。 ?如果Wireshark运行时内存不足将会导致异常终止。可以在 https://www.doczj.com/doc/2912831622.html,/KnownBugs/OutOfMemory察看详细介绍以及解决办法。 ?Wireshark作为对处理器时间敏感任务,在多处理器/多线程系统环境工作不会比单独处理器有更快的速度,例如过滤包就是在一个处理器下线程运行,除了以下情况例外:在捕捉包时“实时更新包列表”,此时捕捉包将会运行在一个处理下,显示包将会运行在另一个处理器下。此时多处理或许会有所帮助。[5] 1.2.2. Microsoft Windows ?Windows 2000,XP Home版,XP Pro版,XP Tablet PC,XP Media Center, Server 2003 or Vista(推荐在XP下使用) ?32-bit奔腾处理器或同等规格的处理器(建议频率:400MHz或更高),64-bit处理器在WoW64仿真环境下-见一般说明 ?128MB系统内存(建议256Mbytes或更高) ?75MB可用磁盘空间(如果想保存捕捉文件,需要更多空间) 800*600(建议1280*1024或更高)分辨率最少65536(16bit)色,(256色旧设备安装时需要选择”legacy GTK1”) ?网卡需求: o以太网:windows支持的任何以太网卡都可以 o无线局域网卡:见MicroLogix support list, 不捕捉802.11包头和无数据桢。 o其它接口见:https://www.doczj.com/doc/2912831622.html,/CaptureSetup/NetworkMedia
第 3 章用户界面 . 须知 现在您已经安装好了Wireshark,几乎可以马上捕捉您的一个包。紧接着的这一节我们将会介绍:Wireshark的用户界面如何使用 如何捕捉包 如何查看包 如何过滤包 ……以及其他的一些工作。 . 启动Wireshark 你可以使用Shell命令行或者资源管理器启动Wireshark. 提示 开始Wireshark 时您可以指定适当的参数。参见 第节“从命令行启动Wireshark” 注意 在后面的章节中,将会出现大量的截图,因为Wireshark运行在多个平台,并且支持多个GUI Toolkit2x),您的屏幕上显示的界面可能与截图不尽吻合。但在功能上不会有实质性区别。尽管有这些区别,也不会导致理解上的困难。 . 主窗口 先来看看图“主窗口界面”,大多数打开捕捉包以后的界面都是这样子(如何捕捉/打开包文件随后提到)。 图 . 主窗口界面 和大多数图形界面程序一样,Wireshark主窗口由如下部分组成:
1.菜单(见第节“主菜单”)用于开始操作。 2. 主工具栏(见第节“"Main"工具栏”)提供快速访问菜单中经常用到的项目的功能。 3.Fiter toolbar/过滤工具栏(见第节“"Filter"工具栏”)提供处理当前显示过滤得方法。(见:”浏览时进行过滤”) 4.Packet List面板(见第节“"Pcaket List"面板”)显示打开文件的每个包的摘要。点击面板中的单独条目,包 的其他情况将会显示在另外两个面板中。 5.Packet detail面板(见第节“"Packet Details"面板”)显示您在Packet list面板中选择的包德更多详情。 6.Packet bytes面板(见第节“"Packet Byte"面板”)显示您在Packet list面板选择的包的数据,以及在Packet details 面板高亮显示的字段。 7.状态栏(见第节“状态栏”)显示当前程序状态以及捕捉数据的更多详情。 注意 主界面的三个面版以及各组成部分可以自定义组织方式。见第节“首选项” 3.3.1. 主窗口概述 Packet list和Detail 面版控制可以通过快捷键进行。表“导航快捷键”显示了相关的快捷键列表。表“"GO"菜单项”有关于快捷键的更多介绍 表 . 导航快捷键 快捷键描述 Tab,Shift+Tab在两个项目间移动,例如从一个包列表移动到下一个 Down移动到下一个包或者下一个详情 Up移动到上一个包或者上一个详情 Ctrl-Down,F8移动到下一个包,即使焦点不在Packet list面版 Ctrl-UP,F7移动到前一个报,即使焦点不在Packet list面版 Left在Pactect Detail面版,关闭被选择的详情树状分支。如果以关闭,则返回到父分支。 Right在Packet Detail面版,打开被选择的树状分支. Backspace Packet Detail面版,返回到被选择的节点的父节点 Return,Enter Packet Detail面版,固定被选择树项目。 另外,在主窗口键入任何字符都会填充到filter里面。 . 主菜单 Wireshark主菜单位于Wireshark窗口的最上方。图“主菜单”提供了菜单的基本界面。 图 . 主菜单 主菜单包括以下几个项目: File 包括打开、合并捕捉文件,save/保存,Print/打印,Export/导出捕捉文件的全部或部分。以及退出Wireshark项.见第节“"File"菜单” Edit 包括如下项目:查找包,时间参考,标记一个多个包,设置预设参数。(剪切,拷贝,粘贴不能立即执行。)见第节“"Edit"菜单” View 控制捕捉数据的显示方式,包括颜色,字体缩放,将包显示在分离的窗口,展开或收缩详情面版的地树状节点,……见第节“"View"菜单” GO 包含到指定包的功能。见第节“"Go"菜单”
实验三使用Wireshark分析IP协议 一、实验目的 1、分析IP协议 2、分析IP数据报分片 二、实验环境 与因特网连接的计算机,操作系统为Windows,安装有Wireshark、IE等软件。 三、实验步骤 IP协议是因特网上的中枢。它定义了独立的网络之间以什么样的方式协同工作从而形成一个全球户联网。因特网内的每台主机都有IP地址。数据被称作数据报的分组形式从一台主机发送到另一台。每个数据报标有源IP地址和目的IP地址,然后被发送到网络中。如果源主机和目的主机不在同一个网络中,那么一个被称为路由器的中间机器将接收被传送的数据报,并且将其发送到距离目的端最近的下一个路由器。这个过程就是分组交换。 IP允许数据报从源端途经不同的网络到达目的端。每个网络有它自己的规则和协定。IP能够使数据报适应于其途径的每个网络。例如,每个网络规定的最大传输单元各有不同。IP允许将数据报分片并在目的端重组来满足不同网络的规定。 表 DHCP报文
者续借租用 DHCP-ACK DHCP服务器通知客户端可以使用分配的IP地址和配置参 数 DHCP-NAK DHCP服务器通知客户端地址请求不正确或者租期已过期, 续租失败 DHCP-RELEASE DHCP客户端主动向DHCP服务器发送,告知服务器该客户 端不再需要分配的IP地址 DHCP-DECLINE DHCP客户端发现地址冲突或者由于其它原因导致地址不 能使用,则发送DHCP-DECLINE报文,通知服务器所分配的 IP地址不可用 DHCP-INFORM DHCP客户端已有IP地址,用它来向服务器请求其它配置 参数 图 DHCP报文 1、使用DHCP获取IP地址
Wireshark使用教程 第 1 章介绍 1.1. 什么是Wireshark Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包,并尝试显示包的尽可能详细的情况。 你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具,就好像使电工用来测量进入电信的电量的电度表一样。(当然比那个更高级) 过去的此类工具要么是过于昂贵,要么是属于某人私有,或者是二者兼顾。 Wireshark出现以后,这种现状得以改变。Wireshark可能算得上是今天能使用的最好的开元网络分析软件。 1.1.1. 主要应用 下面是Wireshark一些应用的举例: ?网络管理员用来解决网络问题 ?网络安全工程师用来检测安全隐患 ?开发人员用来测试协议执行情况 ?用来学习网络协议 除了上面提到的,Wireshark还可以用在其它许多场合。 1.1. 2. 特性 ?支持UNIX和Windows平台 ?在接口实时捕捉包 ?能详细显示包的详细协议信息 ?可以打开/保存捕捉的包 ?可以导入导出其他捕捉程序支持的包数据格式 ?可以通过多种方式过滤包 ?多种方式查找包 ?通过过滤以多种色彩显示包 ?创建多种统计分析 ?…还有许多 不管怎么说,要想真正了解它的强大,您还得使用它才行
图 1.1. Wireshark捕捉包并允许您检视其内 1.1.3. 捕捉多种网络接口 Wireshark 可以捕捉多种网络接口类型的包,哪怕是无线局域网接口。想了解支持的所有网络接口类型,可以在我们的网站上找到https://www.doczj.com/doc/2912831622.html,/CaptureSetup/NetworkMedia. 1.1.4. 支持多种其它程序捕捉的文件 Wireshark可以打开多种网络分析软件捕捉的包,详见??? 1.1.5. 支持多格式输出 Wieshark可以将捕捉文件输出为多种其他捕捉软件支持的格式,详见??? 1.1.6. 对多种协议解码提供支持 可以支持许多协议的解码(在Wireshark中可能被称为解剖)??? 1.1.7. 开源软件 Wireshark是开源软件项目,用GPL协议发行。您可以免费在任意数量的机器上使用它,不用担心授权和付费问题,所有的源代码在GPL框架下都可以免费使用。因为以上原因,人们可以很容易在Wireshark上添加新的协议,或者将其作为插件整合到您的程序里,这种应用十分广泛。 1.1.8. Wireshark不能做的事 Wireshark不能提供如下功能 ?Wireshark不是入侵检测系统。如果他/她在您的网络做了一些他/她们不被允许的奇怪的事情,Wireshark不会警告您。但是如果发生了奇怪的事情,Wireshark可能对察看发生了什么会有所帮助。[3]?Wireshark不会处理网络事务,它仅仅是“测量”(监视)网络。Wireshark不会发送网络包或做其它交互性的事情(名称解析除外,但您也可以禁止解析)。 1.2. 系通需求
Wireshark中文使用说明 Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样,Wireshark也使用pcap network library来进行封包捕捉。可破解局域网内QQ、邮箱、msn、账号等的密码!!wireshark的原名是Ethereal,新名字是2006年起用的。当时Ethereal的主要开发者决定离开他原来供职的公司,并继续开发这个软件。但由于Ethereal这个名称的使用权已经被原来那个公司注册,Wireshark这个新名字也就应运而生了。 在成功运行Wireshark之后,我们就可以进入下一步,更进一步了解这个强大的工具。下面是一张地址为192.168.1.2的计算机正在访问“https://www.doczj.com/doc/2912831622.html,”网站时的截图。 1. MENUS(菜单) 2. SHORTCUTS(快捷方式) 3. DISPLAY FILTER(显示过滤器) 4. PACKET LIST PANE(封包列表) 5. PACKET DETAILS PANE(封包详细信息) 6. DISSECTOR PANE(16进制数据) 7. MISCELLANOUS(杂项) 1. MENUS(菜单) 程序上方的8个菜单项用于对Wireshark进行配置: - "File"(文件) - "Edit" (编辑) - "View"(查看) - "Go" (转到) - "Capture"(捕获) - "Analyze"(分析)
- "Statistics" (统计) - "Help" (帮助)打开或保存捕获的信息。 查找或标记封包。进行全局设置。 设置Wireshark的视图。 跳转到捕获的数据。 设置捕捉过滤器并开始捕捉。 设置分析选项。 查看Wireshark的统计信息。 查看本地或者在线支持。 2. SHORTCUTS(快捷方式) 在菜单下面,是一些常用的快捷按钮。 您可以将鼠标指针移动到某个图标上以获得其功能说明。 3. DISPLAY FILTER(显示过滤器) 显示过滤器用于查找捕捉记录中的内容。 请不要将捕捉过滤器和显示过滤器的概念相混淆。请参考Wireshark过滤器中的详细内容。 返回页面顶部 4. PACKET LIST PANE(封包列表) 封包列表中显示所有已经捕获的封包。在这里您可以看到发送或接收方的MAC/IP地址,TCP/UDP端口号,协议或者封包的内容。 如果捕获的是一个OSI layer 2的封包,您在Source(来源)和Destination(目的地)列中看到的将是MAC地址,当然,此时Port(端口)列将会为空。 如果捕获的是一个OSI layer 3或者更高层的封包,您在Source(来源)和Destination(目的地)列中看到的将是IP地址。Port(端口)列仅会在这个封包属于第4或者更高层时才会显示。 您可以在这里添加/删除列或者改变各列的颜色:Edit menu -> Preferences 5. PACKET DETAILS PANE(封包详细信息) 这里显示的是在封包列表中被选中项目的详细信息。 信息按照不同的OSI layer进行了分组,您可以展开每个项目查看。下面截图中展开的是
【实用技巧】wireshark过滤抓包与过滤查看在分析网络数据和判断网络故障问题中,都离不开网络协议分析软件(或叫网络嗅探器、抓包软件等等)这个“利器”,通过网络协议分析软件我们可以捕获网络中正常传输哪些数据包,通过分析这些数据包,我们就可以准确地判断网络故障环节出在哪。网络协议分析软件众多,比如ethereal(wireshark的前身),wireshark,omnipeek,sniffer,科来网络分析仪(被誉为国产版sniffer,符合我们的使用习惯)等等,本人水平有限,都是初步玩玩而已,先谈谈个人对这几款软件使用感受,wireshark(ethereal)在对数据包的解码上,可以说是相当的专业,能够深入到协议的细节上,用它们来对数据包深入分析相当不错,更重要的是它们还是免费得,但是用wireshark(ethereal)来分析大量数据包并在大量数据包中快速判断问题所在,比较费时间,不能直观的反应出来,而且操作较为复杂。像omnipeek,sniffer,科来网络分析仪这些软件是专业级网络分析软件,不仅仅能解码(不过有些解码还是没有wireshark专业),还能直观形象的反应出数据情况,这些软件会对数据包进行统计,并生成各种各样的报表日志,便于我们查看和分析,能直观的看到问题所在,但这类软件是收费,如果想感受这类专业级的软件,我推荐玩科来网络分析仪技术交流版,免费注册激活,但是只能对50个点进行分析。废话不多说,下面介绍几个wireshark使用小技巧,说的不好,还请各位多指点批评。 目前wireshark最新版本是1.7的,先简单对比下wireshark的1.6和1.7版本。 下面是wireshark的1.6版本的界面图:
用wireshark分析Http 和Dns 报文 一、http请求报文和响应报文 wireshark所抓的一个含有http请求报文的帧: 1、帧的解释 链路层的信息上是以帧的形式进行传输的,帧封装了应用层、传输层、网络层的数据。而wireshark抓到的就是链 路层的一帧。 图中解释: Frame 18:所抓帧的序号是11,大小是409字节 Ethernet :以太网,有线局域网技术,属链路层 Inernet Protocol:即IP协议,也称网际协议,属网络层 Transmisson Control Protocol:即TCP协议,也称传输控 制协议。属传输层 Hypertext transfer protocol:即http协议,也称超文本传 输协议。属应用层 图形下面的数据是对上面数据的16进制表示。
2、分析上图中的http请求报文 报文分析: 请求行: GET /img/2009people_index/images/hot_key.gif HTTP/1.1 方法字段/ URL字段/http协议的版本 我们发现,报文里有对请求行字段的相关解释。该报文请求的是一个对象,该对象是图像。 首部行: Accept: */* Referer: https://www.doczj.com/doc/2912831622.html,/这是网站网址 Accept-Language: zh-cn 语言中文 Accept-Encoding: gzip, deflate 可接受编码,文件格式User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Window s NT 5.1; SV1; CIBA; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30; 360SE) 用户代理,浏览器的类型是Netscape浏览器;括号内 是相关解释 Host: https://www.doczj.com/doc/2912831622.html,目标所在的主机 Connection: Keep-Alive 激活连接 在抓包分析的过程中还发现了另外一些http请求报文中所特有的首部字段名,比如下面http请求报文中橙黄色首部字段名:
Wireshark 1.4.3 Release Notes ------------------------------------------------------------------ What is Wireshark? Wireshark is the world's most popular network protocol analyzer. It is used for troubleshooting, analysis, development and education. What's New Bug Fixes The following vulnerabilities have been fixed. See the security advisory for details and a workaround. o FRAsse discovered that the MAC-LTE dissector could overflow a buffer. (Bug 5530) Versions affected: 1.2.0 to 1.2.13 and 1.4.0 to 1.4.2. o FRAsse discovered that the ENTTEC dissector could overflow a buffer. (Bug 5539) Versions affected: 1.2.0 to 1.2.13 and 1.4.0 to 1.4.2. CVE-2010-4538 o The ASN.1 BER dissector could assert and make Wireshark exit prematurely. (Bug 5537) Versions affected: 1.4.0 to 1.4.2. The following bugs have been fixed: o AMQP failed assertion. (Bug 4048) o Reassemble.c leaks memory for GLIB > 2.8. (Bug 4141) o Fuzz testing reports possible dissector bug: TCP. (Bug 4211) o Wrong length calculation in new_octet_aligned_subset_bits() (PER dissector). (Bug 5393)
关于Wireshark的基础使用说明 (仅供内部使用)
修订记录
目录 1案例描述 (2) 2案例分析 (2) 3解决过程 (2) 4解决结果 (25)
关键词: Wireshark、显示过滤、捕获过滤、抓包文件保存、音视频动态载荷、QoS设置确认 摘要: 本文简要说明了Wireshark的基本使用方法,如捕获过滤条件的设置、显示过滤条件的设置以及根据显示内容保存抓包文件的方法,并列举了一些我们目前常用的过滤条件的描述方法,同时还简单说明了一些通过抓包文件我们可以了解的一些内容。
1 案例描述 由于目前关于抓包工具的说明只有一些比较深入的,相对比较适合研发人员学习使用的文档,对于新入职的测试人员查看这类文档会感觉无从入手。 2 案例分析 新入职的测试人员原来对视频会议系统本身就了解不深,再加上对网络协议也只是一些表面上的学习、了解,而以前可能从未使用过此类工具,因此,他们首先需要了解的是此工具的基本使用,而不是对码流的深入分析,只有了解了此工具的基本使用方法,才可以使其在使用的过程中深入学习、了解该工具的使用。 3 解决过程 基于上述考虑我将针对Wireshark的基本使用在此进行说明,方便初次使用Wireshark的人员进行学习。 鉴于大家都是学计算机的我相信对于此软件的安装都是没有问题的,只需双击安装包即可,安装完成后,直接打开Wireshark,界面如下:
选择“Capture Options…”就会弹出抓包的选项如下: 在此需要选择要使用的网卡,例如我的是“Broadcom NetLink(TM)Giabit Ethernet Driver (Microsoft’s Packet Scheduler)”,然后点击“Start”就开始抓包,点击“Stop”就停止抓包。