实验四wireshark教程

1、Wireshark 教程当前，互联网已经越来越成为人们生活中必不可少的组成部分。面对日益复杂的网络环境，网络管理员必须花费更很多的时间和精力，来了解网络设备的运作情况，以维持系统的正常运行。 当网络趋于复杂，就必须借助于专业的工具了。因此，作为一个网络管理人员和网络从业者， 熟练掌握和运用一套网络管理软件来对整个网络进行协议分析，是一个必不可少的技能。当前较为流行的网络协议嗅探和分析软件 Wireshark 。通过使用抓包工具，来准确而快速地判断网络问题的所在，大大缩短寻找问题的时间。网络管理人员的私人秘书 Wireshark网络流量分析是指捕捉网络中流动的数据包，并通过查看包内部数据以及进行

2、相关的协议、 流量分析、统计等来发现网络运行过程中出现的问题，它是网络和系统管理人员进行网络故障和性能诊断的有效工具。通常， 人们把网络分析总结为四种方式：基于流量镜像协议分析，基于SNMP 的流量监测技术，基于网络探针（Probe ）技术和基于流（flow ）的流量分析。而我们下面要向大家介绍的Wireshark 就是基于流量镜像协议分析。流量镜像协议分析方式是把网络设备的某个端口（链路） 流量镜像给协议分析仪，通过7 层协议解码对网络流量进行监测。但该方法主要侧重于协议分析，而非用户流量访问统计和趋势分析，仅能在短时间内对流经接口的数据包进行分析，无法满足大流量、长期的抓包和趋势分析的要求

3、。Wireshark 的前身是著名的Ethereal 。 Wireshark 是一款免费的网络协议检测程序。它具有设计完美的GUI 和众多分类信息及过滤选项。下面是Wireshark 的界面。用户通过Wireshark ， 同时将网卡插入混合模式，可以用来监测所有在网络上被传送的包，并分析其内容。通过查看每一封包流向及其内容，用来检查网络的工作情况，或是用来发现网络程序的bugs 。 Wireshark 是一个开放源码的网络分析系统，也是是目前最好的开放源码的网络协议分析器，支持Unix Linux 和 Windows 平台。由于Wireshark 是 OpenSource ， 更新快，支持的

4、协议多，特别是数据包过滤功能灵活强大。Wireshark 提供了对TCP 、 UDP 、 SMB 、 telnet 和 ftp 等常用协议的支持。它在很多情况下可以代替价格 昂贵的 Sniffer 。安装好后，双击桌面上的Wireshark 图标， 运行软件。再捕捉数据包之前，首先要对捕获的条件进行设置。点击工具栏里的“Capture a Options ”，（图一）或者直接点击 快捷按钮（图二），打开选项设置页面（图三）。首先，我们要在Interface里选择正确的捕获接口，即要进行报文捕获的网卡。Wireshark支持无线 WLAN的相关协议，具体设置如下：下面是一些常用设置项的解释：In

5、terface :选择捕获接口Capture packets in promiscuous mode:表示是否打开混杂模式，打开即捕获所有的报文Limit each packet :表示限制每个报文的大小，缺省情况不限制。Capture Filter :过滤器，只抓取满足过滤规则的包。（可暂时略过）Capture files :即捕获数据包的保存的文件名以及保存位置。其他的选项按照图三的设置即可。 Capture Option确认选择后，点击ok就开始进行抓包。下面的界面会以协议的不同，统计捕获到报文各占的百分比，此时，点击stop即可以停止抓包。的设置，我们也有C Capture 和 Nam

6、e Resolution ”里预先做好网当然，如果不想每次打开Wireshark 都重复上述Capture Option很好的办法。在 Edit a Preferences卡和其他选项的设置做好预设之后，在每次打开Wireshark,直接点击工具栏的开始按钮,就可以开始抓包了。本期向大家介绍了 Wireshark的简单原理，软件特色，Wireshark 的安装和使用设置。通过本期的介绍，大家已经可以使用 Wireshark 捕获数据包了。在下期，我们将向大家介 绍Wireshark 最有特色并且强大的数据包过滤功能，通过过滤，从而有的放矢的得到我们 希望得到的数据包.Wireshark下面的语

7、句首先打开软件开始抓包，步骤都不多说了，菜单栏里面有一个 Statistics ,下拉菜单 里面有个 Summary和一个lOGraphs ,如图：图一（Statistics 菜单-Wireshark ）Summary里面用数据说明抓到的平均流量是多少，而lOGraphs用图形表示了你抓数据的流量：图二（Summary-Wireshark ）图三（IOGraphs-Wireshark ）Summary里面有两个filter , 一个是捕捉的，一个是显示的，建议你在查看流量的时候 先定义capture Filter ,这样显示出来的就是你需要抓的流量的汇总信息。需要注意的是， 这个地方无法实时更

8、新，也就是说，如果你抓包没停下的话，每次打开Summary得到的数据都不一样。IO Graphs里面可以实时显示你抓的流量的图形，你也可以自己定义一些参数，用这个 的话，可以不定义 capture Filter ,而直接在图形里面选择Filter ,或者直接将过滤表达式写到Filter 后面那一栏里面，也可以显示你需要的流量。不过缺点是，只有图，鼠标放 上去没有数字显示，也就是说，你没有办法知道具体某个时间点的流量。图四（file 定义窗口 -Wireshark ）用 WireShark观察网络流量Capture Option 对话框1、Interface （接口）和 Link-layer h

9、eader type（链路层头部）类型选项2、Limit each packet to N bytes（ 将每个分组限制在 N个字节以内）3、 Capture packets in promiscuous mode（在混杂模式下捕获分组）4、Filter（过滤器）5、Capture files（捕获文件）6、Display Options（显示选项）7、Stop Capture （停止捕获）8、Name resolution（名字解析）帧层（Frame）在帧层（Frame） , Wireshark记录真实的捕获时间、第一个分组与前一个分组的相对时间 增量、帧序号、分组长度以及捕获长度。以太网帧

10、层以太网的首部占用14字节，6字节目的地址和 6字节源地址，2字节表示类型。例如：以太网的类型为（08 00 ）。IP层传输层TCP头部是20个字节。2个字节源端口和目的端口。4字节的序列号，4字节确认号。1个字节的数据偏移和标记。2个字节的窗口大小，2个字节的校验和，2个字节的紧急指针。源端口：指定了发送端的端口目的端口：指定了接受端的端口号序号：指明了段在即将传输的段序列中的位置确认号：规定成功收到段的序列号，确认序号包含发送确认的一端所期望收到的下一个序号TCP偏移量：指定了段头的长度。段头的长度取决与段头选项字段中设置的选项保留：指定了一个保留字段，以备将来使用标志：SYN ACK P

11、SH RST URG FINSYN 表示同步ACK 表不确认PSH 表示尽快的将数据送往接收进程RST 表示复位连接URG表示紧急指针FIN:表示发送方完成数据发送窗口 ：指定关于发送端能传输的下一段的大小的指令校验和：校验和包含 TCP段头和数据部分，用来校验段头和数据部分的可靠性紧急：指明段中包含紧急信息，只有当URG标志置1时紧急指针才有效选项：指定了公认的段大小，时间戳，选项字段的末端，以及指定了选项字段的边界选项快捷键描述Tab,Shift+Tab在两个项目间移动，例如从一个色列表移动到下一个Down移动到下一个包或者下一个详情Up移动到个包或者个详情Ctrl-Down,F8移动到卜

12、一个包，即使焦点/、在 Packet list 面版Ctrl-UP,F7移动到前一个报文，即使焦点/、在 Packet list 面版Left在Pactect Detail 面版，关闭被选择的详情树状分支。如果 以关闭，则返回到父分支。Right在Packet Detail面版，打开被选择的树状分支.BackspacePacket Detail 面版，返回到被选择的节点的父节点Return,EnterPacket Detail 面版，固定被选择树项目。Packet list 和Detail面版控制可以通过快捷键进行另外，在主窗口键入任何字符都会填充到filter 里面.File菜单菜单项Ope

13、n.快捷键Ctr+O描述显示打开文件对话框，让您载入捕捉文件用以浏览。Open Recent弹出一个子菜单显示最近打开过的文件供选择Merg显示合并捕捉文件的对话框。 让您选择一个文件和当前打开的文件合并Close Ctrl+W关闭当前捕捉文件，如果您未保存，系统将提示您是 否保存（如果您预设了禁止提示保存，将不会提示）SaveCrl+S保存当前捕捉文件，如果您没有设置默认的保存义件 名，Wireshark出现提不您保存义件的对话框。详情 注意 如果您已经保存义件，该选项会是灰色不可选 的。注意您不能保存动态捕捉的文件。您必须结束捕捉 以后才能进行保存Save AsShift+Ctrl+S让您

14、将当前文件保存为另外一个文件面，将会出现一个另存为的对话框File SetList Files允许您显示文件集合的列表。 将会弹出一个对话框显示已打开文件的列表，File SetNext File如果当前载入文件是文件集合的一部分，将会跳转到下一个文件。如果不是，将会跳转到最舟-个文件。这个文件选项 将会是灰色File setPreviousFiles如果当前文件是文件集合的一部分，将会调到它所在位置的前一个文件。如果不是则跳到文件集合的A 个文件，同时变成灰色。Exportas PlainText File 这个菜单允许您将捕捉文件中所有的或者部分的包导出为plainASCII text 格

15、式。它将会弹出一个Wireshark 导出对话框Export as PostScript Files将捕捉文件的全部或部分导出为PostScrit 文件。将会出现导出文件对话框。Export as CVS (Comma Separated Values Packet Summary)File导出文件全部或部分摘要为.cvs格式（可用在电子表格中）。将会弹出导出对话框Export as PSMLFile 导出文件的全部或部分为 PSML格式（包摘要标记语 言）XML文件。将会弹出导出文件对话框。Export as PDML File.导出文件的全部或部分为 PDML包摘要标记语言）格 式的XML

16、文件。将会弹出一个导出文件对话框 ，Export SelectedPacket Bytes 导出当前在Packet byte面版选择的字节为一进制文件。将会弹出一个导出对话框。PrintCtr+P打印捕捉包的全部或部分，将会弹出打印对话框Quit退出Ctrl+QWireshark,如果未保存文件，Wireshark 会提不是否保存.Edit菜单菜单项快捷键描述CopyAs FilterShift+Ctrl+C使用详If面版选择的数据作为显示过滤。 显示过滤将会拷贝到剪贴板。Find Packet.Ctr+F打什个对话框用来通过限制来查找包Find NextCtrl+N在使用Find packe

17、t以后，使用该采单会 查找匹配规则的下一个包Find PreviousCtr+B查找匹配规则的前一个包。Mark Packet(toggle)Ctrl+M标记当前选择的包。Find Next MarkShift+Ctrl+N查找下一个被标记的包Find Previous MarkCtrl+Shift+B查找前一个被标记的包Mark ALL Packets标记所有包Unmark All Packet取消所有标记SetTimeReference(toggle)Ctrl+T以当前包时间作为参考Find Next Reference找到下一个时间参考包FindPreviousRefrence.找到前一

18、个时间参考包Preferences.Shift+Ctrl+P打开首选项对话框，个性化设置 Wireshark的各项参数，设置后的参数将 会在每次打开时发挥作用。.View菜单菜单项快捷键描述Main Toolbar显示隐藏Main toolbar（主工具栏）Filter Toolbar显示或隐藏Filter Toolbar（过滤工具栏）Statusbar显示或隐藏状态Packet List显本或隐藏Packet List pane（ 包列表向板）Packet Details显本或隐藏Packet details pane（ 包详情向板Packet Bytes显本或隐藏packet Bytes

19、pane（ 包字节面板Time Display FromatDate and Time of Day: 1970-01-01 01:02:选择这里告诉Wireshark将时间戳设置为绝对 日期-时间格式（年月日，时分秒）Time Display FormatTime of Day: 01:02:将时间设置为绝对时间-日期格式（时分秒格式）Time Display Format 将时间戳设置为秒格式，从捕捉开始计时Seconds Since Beginning of Capture:Time Display Format Seconds Since Previous Captured Packe

20、t:将时间戳设置为秒格式，从上次捕捉开始计时Time Display Format Seconds Since Previous Displayed将时间戳设置为秒格式，从上次显示的包开始计时Packet:Time Display Format Time Display Format Automatic (FileFormatPrecision)根据指定的精度选择数据包中时间戳的显示方 式Time Display Format Seconds: 0设置精度为1秒TimeDisplayFormat .seconds: 0.设置精度为1秒，秒，秒，百万分之一秒等等Name Resolution R

21、esolveName仅对当前选定包进行解析Name Resolution Enable for MAC Layer是否解析Mac地址Name Resolution Enable for Network Layer是否解析网络层地址（ip地址）Name Resolution Enable for Transport Layer是否解析传输层地Colorize Packet List是否以彩色显示包Auto Scroollin LiveCapture控制在实时捕捉时是否自动滚屏，如果选择了该项，在后新数据进入时，面板会项上滚动。您始 终能看到最后的数据。反之，您无法看到满屏以 后的数据，除非您手动

22、滚屏Zoom InCtrl+增大字体Zoom OutCtrl+-缩小字体Normal SizeCtrl+=恢复正常大小Resiz All Columnus恢复所后列宽Expend Subtrees展开子分支Expand All看开所有分支，该选项会展开您选择的包的所有 分支。Collapse All收缩所有包的所有分支Coloring Rulues.打心个对话框，让您可以通过过滤表达来用不 同的颜色显示包。这项功能对定位特定类型的包非常有用Show Packet in New Window在新窗口显示当前包，（新窗口仅包含 View,ByteView两个面板）ReloadCtrl+R重新再如当

23、前捕捉文件.Go菜单菜单项快捷键描述BackAlt+Left跳到最近浏览的包，类似于浏览器中的页面历史纪录ForWardAlt+Right跳到下一个最近浏览的包，跟浏览器类似Go to PacketCtrl+G打什个对话框，输入指定的包序号，然后跳转到对应 的包GotoCorresponding Packet跳转到当前包的应答包，如果/、存在，该选项为灰色PreviousPacketCtrl+UP移动到包列表中的前一个包， 即使包列表囿板不是当前 焦点，也是可用的Next PacketCtrl+Down移动到包列表中的后,个包First Packet移动到列表中的个包Last Packet移动

24、到列表中的最斤-个包Capture菜单菜单项快捷键说明Interface.在弹出对话框选择您要进行捕捉的网络接口，Options.Ctrl+K打开设置捕捉选项的对话框，并可以在此开始捕捉Start立即开始捕捉，设置都是参照最斤-次设置。StopCtrl+E停止正在进行的捕捉Restart正在进行捕捉时，停止捕捉，并按同样的设置重新开始捕 捉.Capture Filters.打开对话框，编辑捕捉过滤设置，可以命名过滤器，保存 为其他捕捉时使用.Analyze”菜单菜单项快捷键说明DisplayFilters.打开过滤器对话框编辑过滤设置，可以命名过滤设 置，保存为其他地方使用ApplyasFilter.更改当前过滤显示并立即应用。根据选择的项，当前显示字段会被替换成选择在Detail面板的协议字段PrepareaFilter.更改当前显示过滤设置，当不会立即应用。同样根据当前选择项，过滤字符会被替换成Detail面板选择的协议字段FirewallACLRules为多种不同的防火墙创建命令行ACL规则(访问控制 列表)，支持 Cisco IOS, LinuxNetfilter (iptables), OpenBSD pf and Windows Firewall(via ne