您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 项目/工程管理 > WireShark使用说明
WireShark使用说明编写人员:黄泽忠培训目的•通过本课程的学习,您将能够:–了解WireShark的界面组成–熟悉WireShark的基本操作•适用对象:测试、开发、网络工程人员概述–Wireshark是网络包分析工具。网络包分析工具的主要作用是在接口实时捕捉网络包,并详细显示包的详细协议信息。Wireshark可以捕捉多种网络接口类型的包,哪怕是无线局域网接口。Wireshark可以打开多种网络分析软件捕捉的包,可以支持许多协议的解码。我们可以用它来检测网络安全隐患、解决网络问题,也可以用它来学习网络协议、测试协议执行情况等。–Wireshark不会处理网络事务,它仅仅是“测量”(监视)网络。Wireshark不会发送网络包或做其它交互性的事情。安装注意事项•安装文件获取:\\172.16.0.2\softtool\toolsLib\抓包工具•在安装组件时候选择所有组件,界面风格建议选择Wireshark(GTK2userinterface)安装注意事项•勾选下图选项,以支持多种其他网络包分析工具支持的文件格式。安装注意事项•Wireshark安装文件自带WinPcap最新版本,选择安装。Wireshark的使用1、Wireshark的主窗口包序号菜单栏工具栏过滤器捕获时间源地址目的地址上层协议包内容提要包概况显示窗体协议树显示窗体数据显示窗体状态栏包的16进制代码区包的ASCII代码区Wireshark的使用2、网络数据流的监测接入点–在被监测计算机上直接捕获;–利用集线器将被检测端口的数据分为多路进行捕获;–利用交换机的端口数据映射功能进行捕获;Wireshark的使用3、实时捕获数据包–使用按钮”CaptureOptions”开始捕获取对话框,选择正确的NIC进行捕获;注意:windows平台下不支持环回接口捕获,即接口列表中的第一个接口选择网卡选定网卡的IP地址,如果不能解析,则显示为unknown设置缓存大小限制捕获包大小设置捕获过滤条件设置捕获包存储文件设置多文件连续存储显示设置名称解析设置Mac对应设备制造商解析IP地址对应的域名解析端口的对应服务名称解析设置停止捕获条件设置网卡是否为混杂捕获模式Wireshark的使用3、实时捕获数据包–设置捕获缓存大小(Buffersize)设置写入数据到磁盘前保留在核心缓存中捕捉数据的大小。如果你发现丢包,可尝试增大该值。–设置网卡是否为混杂捕获模式(Capturepacketsinpromiscuousmode)指定Wireshark捕捉包时,设置接口是否为混合接收模式。在非混杂模式下,Wireshark捕获满足以下条件的包:含本网卡地址单播包、具有多播地址且与本网卡地址配置相吻合的数据包、广播包。而在混杂模式下,Wireshark除捕获上述类型的数据包外,与本网卡地址配置不吻合的组播包也会被捕获下来。–设置捕获过滤规则Wireshark使用libpcap过滤语句进行捕捉过滤。过滤语句的形式为:[not]primitive[and|or[not]primitive...]Wireshark的使用•常用的基本单元(primitive)类型:•[src|dst]hosthost过滤主机ip地址或名称。通过指定src|dst关键词来确定所关注的是源地址还是目标地址。如果未指定,则指定的地址出现在源地址或目标地址中的包会被抓取。•ether[src|dst]hostehost过滤主机以太网地址。通过指定关键词src|dst来确定所关注的是源地址还是目标地址。如果未指定,则指定的地址出现在源地址或目标地址中的包会被抓取。•[tcp|udp][src|dst]portport]过滤tcp,udp及端口号。可以使用src|dst和tcp|udp关键词来确定来自源还是目标,tcp协议还是udp协议。tcp|udp必须出现在src|dst之前。•ip|etherprotoprotocol选择在以太网层或是ip层的指定协议的包例1.捕捉来自特定主机的telnet协议:tcpport23andhost10.0.0.5例2.捕捉所有不是来自10.0.0.5的telnet通信:tcpport23andnotsrchost10.0.0.5Wireshark的使用设置多文件连续存储•Usemultiplefiles•如果指定条件达到临界值,Wireshark将会自动生成一个新文件。•Nextfileeverynmegabyte(s)•如果捕捉文件容量达到指定值,将会生成切换到新文件•Nextfileeverynminutes(s)•如果捕捉文件持续时间达到指定值,将会切换到新文件。•Ringbufferwithnfiles•仅生成制定数目的文件。•Stopcaputureafternfile(s)•当生成指定数目文件时,停止捕捉。Wireshark的使用设置停止捕获规则•afternpacket(s)•在捕捉到指定数目数据包后停止捕捉;•afternmegabytes(s)•在捕捉到指定容量的数据后停止捕捉。如果使用usermultiplefiles,该选项将是灰色;•afternminute(s)•在达到指定时间后停止捕捉;选择开始按钮,进行捕获。选择停止按钮,停止捕获。Wireshark的使用4、处理已经捕获的包浏览已经捕获的包•在已经捕捉完成之后,或者打开先前保存的数据包文件时,通过点击包列表面版中的包,就可以在包详情面板看到关于这个数据包的树状结构以及字节面板。通过点击左侧“+”标记或者选择右键菜单“ExpandSubtrees”,展开数据包当前选择的子树。也可以通过右键选择“ExpandAll”展开数据包的所有子树。Wireshark的使用浏览过滤包•显示过滤可以隐藏一些你不感兴趣的包,让你可以集中注意力在你感兴趣的那些包上面。在包列表面板中选择所需要的包,右键菜单选择“ApplyasFilter”-〉“selected”即可过滤其他数据包。Wireshark的使用•另外,也可以构建过滤表达式,来过滤那些不感兴趣的数据包。Wireshark提供了简单而强大的过滤语法,你可以用它们建立复杂的过滤表达式。包详情面板的每个字段都可以作为比较值,通过在许多不同的比较操作建立比较过滤。应用这些作为过滤将会仅显示包含该字段的包。例如:过滤字符串:TCP将会显示所有包含TCP协议的包。表1显示过滤比较操作符EnglishC-linke范例eq==ip.addr==10.0.0.5ne!=ip.addr!=10.0.0.5gtframe.pkt_len10ltframe.pkt_len128ge=frame.pkt_lenge0x100le=frame.pkt_len=0x20也可以用逻辑操作符将过滤表达式组合在一起使用。表2显示过滤逻辑操作符EnglishC-linke范例and&&ip.src==192.168.0.0/16andip.dst==192.168.0.0/16or||ip.addr==10.0.0.5oricmpxor^^ip.addr==10.0.0.5xorip.addr==192.1.1.1not!nottcp•查找目标包•选择菜单”EditFindPacket…”在对话框中输入要查找包的关键字或表达式就可以了,用户可以选择是针对过滤的包进行查找还是通过16进制值进行查找,或是通过字符串进行查找;•查找到目标包以后可以通过ctrl+n组合键继续查找下一个;ctrl+b查找上一个Wireshark的使用•标记包•为了方便查找与操作,我们可以将感兴趣的包做上标记以便迅速找到,选中某个包,然后点击右键菜单,选择”Markpacket”就可以了,Wireshark的使用•标记包•除了标记单个包,可以选择”EditMarkallpacket”对所有包进行标记Wireshark的使用•反标记包•被标记的包都会变成黑色;同样可以选择”EditUnMarkallpacket”对所有包进行还原(反标记)Wireshark的使用•Wireshark常用快捷键介绍•从可用网络接口列表开始抓包,点击”工具栏”左边第一个按钮Wireshark的使用•Wireshark常用快捷键介绍•从网络接口列表中选择一个网卡,点击”Start”开始抓包Wireshark的使用•Wireshark常用快捷键介绍•点击”工具栏”左边第二个按钮Wireshark的使用•Wireshark常用快捷键介绍•以下是抓包的选项设置,可以对抓包规则进行详细设定Wireshark的使用•Wireshark常用快捷键介绍•点击”工具栏”左边第三个按钮,可以进行实时抓包Wireshark的使用•Wireshark常用快捷键介绍•点击”工具栏”左边第4个按钮,停止抓包Wireshark的使用Wireshark的使用•常见错误:在组合表达式中使用!=操作符,像eth.addr,ip.addr,tcp.port,udp.port等元素可能会产生非预期效果。•例如要构造表达式来排除ip地址为1.2.3.4的包,正确的表达式应该是!(ip.addr==1.2.3.4)而不是ip.addr!=1.2.3.4。Wireshark的使用按指定协议解析数据包•在包列表面板选中包,右键选择DecodeAs,在DecodeAs对话框选择协议,按指定的协议解析数据包。Wireshark的使用5、文件输入输出打开已捕获的数据包文件•Wireshark可以读取以前保存的文件。想读取这些文件,只需选择菜单或工具栏的:“File/Open”。Wireshark将会弹出打开文件对话框。你可以在打开文件后修改显示过滤器和名称解析设置。但在一些大文件中进行这些操作将会占用大量的时间。在这种情况下建议在打开文件之前就进行相关过滤、解析设置。另外,也可以直接从文件管理器拖动你想要打开的文件到Wireshark主窗口。Wireshark的使用保存已捕获的数据包•通过File-SaveAs...菜单保存已捕获的数据包。•在保存时可以选择保存哪些包,以什么格式保存:•输入指定的文件名。•选择保存的目录。•选择保存包的范围。•通过点击“保存类型”下拉列表指定保存文件的格式。•可以将Wireshark捕获的包保存为其默认格式文件(libpcap),也可以保存为其他格式供其他工具进行读取分析。比如保存文件时候选择格式NASniffer(Windows)2.00x(*.cap)以便Sniffer进行读取分析。•点击保存(S)按钮保存。Wireshark的使用合并数据包文件•有时候你需要将多个捕捉文件合并到一起。例如:如果你对多个接口同时进行捕捉,合并就非常有用。可以使用如下方法合并捕捉文件:1、从File-Merge…,打开合并对话框。通过该对话框可以选择需要合并的文件,与当前打开的数据包文件进行合并。可以通过以下三种方式合并:将包插入已存在文件前、按时间顺序合并文件、追加包到当前文件。2、使用拖放功能,将多个文件同时拖放到主窗口。Wireshark会创建一个临时文件尝试对拖放的文件按时间顺序进行合并。如果你只拖放一个文件,Wireshark只是简单地替换已经打开的文件。Wireshark的使用文件集•在进行捕捉时如果设置MultipleFiles/多文件选项,捕捉数据会分割为多个文件,称为文件集合。大量文件手动管理十分困难,Wirreshark的文件集合特性可以让文件管理变得方便一点。•使用File菜单项的子菜单FileSet可以对文件集合集合进行很方便的控制。如下图:•单击单选钮,当前文件会被关闭,同时载入对应的文件。•注意:前提是你目前打开的文件为文件集中的某个文件才能使”FileSet”命令有效Wireshark的使用导出数据Wireshark支持多种方法,多种格式导出包数据。从“File-Export-File”,打开导出数据对话框:•指定导出包数据的文件名。•选择文件保存路径。•选择文件保存类型。•导出包数据为文本文件,
本文标题:WireShark使用说明
链接地址:https://www.777doc.com/doc-5063419 .html