下载文档原格式
杭州迪普科技有限公司wireshark抓包应用指导说明书拟制雷振华日期2015.4.10 评审人日期签发日期修订记录日期修订版本描述作者2015.4.10 V1.0 初稿完成雷振华目录1 WIRESHARK介绍 (5)2 功能介绍 (5)3 图形界面抓报文 (5)3.1 选择网卡抓报文 (5)3.2 显示报文抓取时间 (7)3.3 WIRESHARK界面布局 (8)3.4 报文过滤条件 (9)3.4.1 常用过滤条件 (10)3.4.2 WIRESHARK EXPRESSION (11)3.4.3 高级过滤条件 (11)3.4.4 WIRESHARK CAPTURE FILTER (14)4 命令行抓报文 (15)4.1 选择网卡 (15)4.2 命令行过滤条件 (17)4.3 常用过滤条件 (17)5 批量转换报文格式 (18)1Wireshark介绍Wireshark 是开源网络包分析工具,支持Windows/Linux/Unix环境。
网络包分析工具的主要作用是尝试捕获网络包,并尝试显示包的尽可能详细的情况。
可以从网站下载最新版本的Wireshark (/download.html 。
Wireshark通常在4-8周内发布一次新版本2功能介绍Wireshark支持图形和命令行两种抓报文方式3图形界面抓报文3.1选择网卡抓报文第一步打开wireshark抓包软件,点击“Capture-->Interfaces”,如图3-1图3-1选择网卡第二步选择抓包的网卡,点击”Strart“开始抓包,这样将抓取流经此网卡的所有报文,并临时保存在内存中。
因此,如果持续抓包将消耗掉系统所有内存。
如图3-2和图3-3图3-2启动抓包图3-3抓包界面图标说明重新抓报文停止抓报文表1-13.2显示报文抓取时间打开wireshark抓包软件,点击“View-->TimeDisplay Format-->Date and Time of Day”,如图3-4和图3-5图3-4效果图:图3-53.3Wireshark界面布局Wireshark界面主要分为三部分(如图3-6),区域一显示抓取的报文,区域二显示选中报文的包头详细信息,区域三显示选中报文的详细信息,默认以十六进制显示。
Wireshar抓包图文教程(精)wireshark是一款抓包软件,比较易用,在平常可以利用它抓包,分析协议或者监控网络,是一个比较好的工具,因为最近在研究这个,所以就写一下教程,方便大家学习。
这里先说Wireshark的启动界面和抓包界面启动界面:抓包界面的启动是按file下的按钮之后会出现这个是网卡的显示,因为我有虚拟机所以会显示虚拟网卡,我们现在抓的是真实网卡上的包所以在以太网卡右边点击start 开始抓包这个就是抓包的界面了(也是主界面)Wireshark主窗口由如下部分组成:1. 菜单——用于开始操作。
2. 主工具栏——提供快速访问菜单中经常用到的项目的功能。
3. Fiter toolbar/过滤工具栏——提供处理当前显示过滤得方法。
4. Packet List面板——显示打开文件的每个包的摘要。
点击面板中的单独条目,包的其他情况将会显示在另外两个面板中。
5. Packet detail面板——显示您在Packet list面板中选择的包的更多详情。
6. Packet bytes面板——显示您在Packet list面板选择的包的数据,以及在Packet details面板高亮显示的字段。
7. 状态栏——显示当前程序状态以及捕捉数据的更多详情。
1.菜单栏主菜单包括以下几个项目:File ——包括打开、合并捕捉文件,save/保存,Print/打印,Export/导出捕捉文件的全部或部分。
以及退出Wireshark项.Edit ——包括如下项目:查找包,时间参考,标记一个多个包,设置预设参数。
(剪切,拷贝,粘贴不能立即执行。
)View ——控制捕捉数据的显示方式,包括颜色,字体缩放,将包显示在分离的窗口,展开或收缩详情面版的地树状节点GO ——包含到指定包的功能。
Analyze ——包含处理显示过滤,允许或禁止分析协议,配置用户指定解码和追踪TCP流等功能。
Statistics ——包括的菜单项用户显示多个统计窗口,包括关于捕捉包的摘要,协议层次统计等等。
以太帧和ARP包协议分析实验一、目的1、理解以太帧格式2、理解ARP协议格式和ARP 协议的工作原理二、实验类型验证类实验三、实验步骤一:运行wireshark开始捕获数据包,如图所示点击第二行的start开始捕获数据包。
启动界面:抓包界面的启动是按file下的按钮(或capture下的interfaces)之后会出现这个是网卡的显示,因为我有虚拟机所以会显示虚拟网卡,我们现在抓的是真实网卡上的包所以在以太网卡右边点击start 开始抓包。
(捕捉本地连接对应的网卡,可用ipconfig/all 查看)二:几分钟后就捕获到许多的数据包了,主界面如图所示:如上图所示,可看到很多捕获的数据。
第一列是捕获数据的编号;第二列是捕获数据的相对时间,从开始捕获算为0.000秒;第三列是源地址,第四列是目的地址;第五列是数据包的信息。
选中第一个数据帧,然后从整体上看看Wireshark的窗口,主要被分成三部分。
上面部分是所有数据帧的列表;中间部分是数据帧的描述信息;下面部分是帧里面的数据。
三:开始分析数据1.打开“命令提示符”窗口,使用“arp -a”命令查看本地计算机ARP高速缓存。
2.使用“arp -d”命令清除本地计算机ARP高速缓存,再使用“arp -a”命令查看。
此时,本地计算机ARP高速缓存为空。
3.在下图中Filter后面的编辑框中输入:arp(注意是小写),然后回车或者点击“Apply”按钮将计算机与数据设备相连(3928或路由器),参见静态路由配置。
3.此时,网络协议分析软件开始捕获数据,在“命令提示符”窗口中PING同一子网中的任意主机。
(计算机Aping计算机B)因为PING命令的参数为IP地址,因此使用PING命令前,需要使用ARP机制将IP地址转换为MAC地址,这个过程用户是无法感知的。
因为我们在使用PING命令前已经开始网络数据包捕获,因此,此时网络协议分析软件将捕获到ARP解析数据包。
以太帧和ARP包协议分析实验一、目的1、理解以太帧格式2、理解ARP协议格式和ARP 协议的工作原理二、实验类型验证类实验三、实验步骤一:运行wireshark开始捕获数据包,如图所示点击第二行的start开始捕获数据包。
启动界面:抓包界面的启动是按file下的按钮(或capture下的interfaces)之后会出现这个是网卡的显示,因为我有虚拟机所以会显示虚拟网卡,我们现在抓的是真实网卡上的包所以在以太网卡右边点击start 开始抓包。
(捕捉本地连接对应的网卡,可用ipconfig/all 查看)二:几分钟后就捕获到许多的数据包了,主界面如图所示:如上图所示,可看到很多捕获的数据。
第一列是捕获数据的编号;第二列是捕获数据的相对时间,从开始捕获算为0.000秒;第三列是源地址,第四列是目的地址;第五列是数据包的信息。
选中第一个数据帧,然后从整体上看看Wireshark的窗口,主要被分成三部分。
上面部分是所有数据帧的列表;中间部分是数据帧的描述信息;下面部分是帧里面的数据。
三:开始分析数据1.打开“命令提示符”窗口,使用“arp -a”命令查看本地计算机ARP高速缓存。
2.使用“arp -d”命令清除本地计算机ARP高速缓存,再使用“arp -a”命令查看。
此时,本地计算机ARP高速缓存为空。
3.在下图中Filter后面的编辑框中输入:arp(注意是小写),然后回车或者点击“Apply”按钮将计算机与数据设备相连(3928或路由器),参见静态路由配置。
3.此时,网络协议分析软件开始捕获数据,在“命令提示符”窗口中PING同一子网中的任意主机。
(计算机Aping计算机B)因为PING命令的参数为IP地址,因此使用PING命令前,需要使用ARP机制将IP地址转换为MAC地址,这个过程用户是无法感知的。
因为我们在使用PING命令前已经开始网络数据包捕获,因此,此时网络协议分析软件将捕获到ARP解析数据包。
机房侧第一步安装Wireshark抓包软件。
抓包通用IP:192.254.1.16 ,然后请产品负责人开启该基站的Debug口。
第二步修改IP为192.254.1.25、第三步连接成功以后做ping测试。
打开命令指示符:输入指令:Ping 192.254.1.16 –t若ping值正常,则可以打开Wireshark软件继续下一步操作;若ping值异常,则需要查找原因,直到ping值正常,可以确定已经成功连接基站时,则可以打开Wireshark软件继续下一步操作。
第四步打开Wireshark软件查看Packets,如果有数值则在那一行最前面点勾,然后单击Options,继续下一步。
将Buffer size更改为10,更改完点击OK即可。
核查更改后的Buffer数值是否跟更改的数值一致。
如果不一致需要重新设置。
更改Next file every 数值为200、或500均可。
(数值设置为200,软件运行会稳定些)。
依测试时间,测试基站的下载速率而定。
设置完成后点击Browse,选择保存位置。
更改保存位置,命名为基站小区名+抓包数据类型(上传或下载)+日期+时段+测试地点。
点击OK 后联系空口侧同事同时点击Start开始测试。
点击红色按钮结束此次测试。
点击File-Save as…保存到设置的文件夹里。
空口侧第一步连接设备打开CXT 寻找要测试基站小区下SINR较高的地点。
第二步确定终端连接电脑正常打开Wireshark。
具体操作请看机房侧,第四步软件操作说明。
开始之前打开服务器做数据业务(上传Or下载)。
注意事项:1、测试一般在3分钟左右/次。
2、测试上传和下载业务各3次,或3次以上,确保其中有LOG可以正常使用。
3、测试时可以实时看文件大小,如果文件大小正常增长,则正常,如果文件大小没有变化,则此次测试失败,重新测试。
4、结束后将测试的LOG保存到网盘内(标注好基站名、时间)、,方便解析人员查找LOG。
wireshark抓取手机app与服务器传输数据方法
1.环境搭建:电脑上开启随身wifi热点,可使用360免费wifi,手机连接该热点,配置代理
(电脑无线ip:使用cmd命令ipconfig查看)
打开wireshark,选择无线wlan,点击start
2.过滤细则:过滤源ip、目的ip。
在wireshark的过滤规则框Filter中输入过滤条件。
如查找
目的地址为192.168.101.8的包,ip.dst==192.168.101.8;查找源地址为ip.src==1.1.1.1;
端口过滤。
如过滤80端口,在Filter中输入,tcp.port==80,这条规则是把源端口和目的端口为80的都过滤出来。
使用tcp.dstport==80只过滤目的端口为80的,tcp.srcport==80只过滤源端口为80的包;
协议过滤比较简单,直接在Filter框中直接输入协议名即可,如过滤HTTP的协议;
http模式过滤。
如过滤get包,http.request.method=="GET",过滤post包,
http.request.method=="POST";
连接符and的使用。
过滤两种条件时,使用and连接,如过滤ip为192.168.101.8并且为http协议的,ip.src==192.168.101.8 and http。
3.数据拷贝:
选中某条数据包,右键copy-》bypes-》offset hex text,
粘贴到文本中。
为能够让各位分公司专家能够快速上手Wiresgark软件,能够快速应对紧张的集客测试工作。
在此我对Wrieshark的抓包操作进行简单讲解。
首先打开Wrieshark软件
我们会发现在工具栏中的开始按钮等信息是不可按的
我们选择现连接外网的连接方式
选择上后,工具栏中的开始按钮将显示为绿色。
点击绿色鲨鱼鳍状的开始按钮就开始抓包了。
地址为10.213.11.29。
抓取完毕后我们点击工具栏中红色方块状的停止按钮。
抓取完毕后点击菜单栏File 下面的Save As…进行数据包的保存。
在我们的保存目录中可找到我们保存的pcapng的文件,抓包完成。
如需分析抓取的数据包,在安装Wireshark的电脑上双击pcapng文件即可打开数据包。
1.打开Wireshark:单击开始\所有程序\Wireshark。
2.启动抓包:(1)Capture\Interfaces…图1. 接口(2)选择有分组传送的网络接口。
如图2所示,选中小方框后框内出现“√”。
点击“Start”开始抓包。
图2. Start3.协议过滤:现在使用SIP终端打电话,Wireshark会抓取SIP报文。
这里,我们可以看到多种协议的IP报文,如图3所示。
图3. 抓取的多种报文此时可以采用过滤功能,只显示自己关心的报文。
在Filter:处输入sip,点击右面的“Apply”,结果如图4所示。
这就是从本计算机网口上跟踪到的SIP消息,除了会话建立、释放的消息,还有其他夹杂在其中的其他SIP消息。
图4. SIP消息4.查看消息详细内容双击图4中的某条消息,可以看到这条消息的详细解释。
消息是分层解释的,点击每层前面的“+”号可展开具体内容。
在这里可以仔细分析每条消息及其各字段的含义。
如图5所示。
图5. 查看消息详细解释5.绘制消息流程图选择“Statistics\Flow Graph…”可以绘出跟踪到消息的流程图。
注意:查看一下绘制的消息流程,是不是一次完整的呼叫过程。
SIP消息抓包应该是一次完整的SIP呼叫流程,从INVITE开始,到最后BYE-200OK。
设置方法如图6所示,绘制图形如图7所示。
图6.1 选择绘图功能图6.2 绘图选项图7. 绘制的流程图6.保存和打开流程图在图7中,点击“Save as”按钮,可以保存SIP消息流程图,自己定义文件存放的路径和名称。
之后要打开该流程文件,可以使用“记事本”,以文本文件方式打开。
7.退出Wireshark首先停止跟踪,即Capture\Stop。
如图8所示。
图8. 停止抓包然后退出Wireshark,即File\Quit。
如图9所示。
图9. 退出Wireshark。
wireshark怎么抓包、wireshark抓包详细图文教程
wireshark是非常流行的网络封包分析软件,功能十分强大。
可以截取各种网络封包,显示网络封包的详细信息。
使用wireshark的人必须了解网络协议,否则就看不懂wireshark 了。
为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。
wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容,总结,如果是处理HTTP,HTTPS 还是用Fiddler,其他协议比如TCP,UDP 就用wireshark.
wireshark 开始抓包
开始界面
wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。
点击Caputre->Interfaces.. 出现下面对话框,选择正确的网卡。
然后点击"Start"按钮, 开始抓包
Wireshark 窗口介绍
WireShark 主要分为这几个界面
1. Display Filter(显示过滤器),用于过滤
2. Packet List Pane(封包列表),显示捕获到的封包,有源地址和目标地址,端口号。
颜色不同,代表
3. Packet Details Pane(封包详细信息), 显示封包中的字段
4. Dissector Pane(16进制数据)
5. Miscellanous(地址栏,杂项)
使用过滤是非常重要的,初学者使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分。
搞得晕头转向。
过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。
过滤器有两种,
一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录
一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录。
在Capture -> Capture Filters 中设置
保存过滤
在Filter栏上,填好Filter的表达式后,点击Save按钮,取个名字。
比如"Filter 102",
Filter栏上就多了个"Filter 102" 的按钮。
过滤表达式的规则
表达式规则
1. 协议过滤
比如TCP,只显示TCP协议。
2. IP 过滤
比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102,
ip.dst==192.168.1.102, 目标地址为192.168.1.102
3. 端口过滤
tcp.port ==80, 端口为80的
tcp.srcport == 80, 只显示TCP协议的愿端口为80的。
4. Http模式过滤
http.request.method=="GET", 只显示HTTP GET方法的。
5. 逻辑运算符为 AND/ OR
常用的过滤表达式
过滤表达式用途
你也可以修改这些显示颜色的规则, View ->Coloring Rules.
Transmission Control Protocol: 传输层T的数据段头部信息,此处是TCP Hypertext Transfer Protocol: 应用层的信息,此处是HTTP协议
TCP包的具体内容
从下图可以看到wireshark捕获到的TCP包中的每个字段。
看到这,基本上对wireshak有了初步了解,现在我们看一个TCP三次握手的实例三次握手过程为
这图我都看过很多遍了,这次我们用wireshark实际分析下三次握手的过程。
打开wireshark, 打开浏览器输入
在wireshark中输入http过滤,然后选中GET /tankxiao HTTP/1.1的那条记录,右键然后点击"Follow TCP Stream",
这样做的目的是为了得到与浏览器打开网站相关的数据包,将得到如下图
图中可以看到wireshark截获到了三次握手的三个数据包。
第四个包才是HTTP的,这说明HTTP的确是使用TCP建立连接的。
第一次握手数据包
客户端发送一个TCP,标志位为SYN,序列号为0,代表客户端请求建立连接。
如下图
第二次握手的数据包
服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1, 如下图
第三次握手的数据包
客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK 的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图:
就这样通过了TCP三次握手,建立了连接。
