WireShark使用说明PPT课件

1、培训目的 通过本课程的学习，您将能够： 了解WireShark的界面组成 熟悉WireShark的基本操作 适用对象： 测试、开发、网络工程人员第1页/共39页概述 Wireshark 是网络包分析工具。网络包分析工具的主要作用是在接口实时捕捉网络包，并详细显示包的详细协议信息。Wireshark 可以捕捉多种网络接口类型的包，哪怕是无线局域网接口。Wireshark可以打开多种网络分析软件捕捉的包，可以支持许多协议的解码。我们可以用它来检测网络安全隐患、解决网络问题，也可以用它来学习网络协议、测试协议执行情况等。 Wireshark不会处理网络事务，它仅仅是“测量”(监视)网络。Wiresh

2、ark不会发送网络包或做其它交互性的事情。第2页/共39页安装注意事项安装文件获取：抓包工具在安装组件时候选择所有组件，界面风格建议选择Wireshark（GTK2 user interface）第3页/共39页安装注意事项 勾选下图选项，以支持多种其他网络包分析工具支持的文件格式。 第4页/共39页安装注意事项Wireshark 安装文件自带WinPcap最新版本，选择安装。第5页/共39页Wireshark的使用1、Wireshark的主窗口第6页/共39页Wireshark的使用 2、网络数据流的监测接入点在被监测计算机上直接捕获；利用集线器将被检测端口的数据分为多路进行捕获；利用交换机

3、的端口数据映射功能进行捕获； 第7页/共39页Wireshark的使用3、实时捕获数据包使用按钮”Capture Options”开始捕获取 对话框，选择正确的NIC进行捕获；注意：windows平台下不支持环回接口捕获，即接口列表中的第一个接口第8页/共39页Wireshark的使用3、实时捕获数据包设置捕获缓存大小（Buffer size）设置写入数据到磁盘前保留在核心缓存中捕捉数据的大小。如果你发现丢包，可尝试增大该值。设置网卡是否为混杂捕获模式（Capture packets in promiscuous mode）指定Wireshark捕捉包时，设置接口是否为混合接收模式。在非混杂模

4、式下，Wireshark捕获满足以下条件的包：含本网卡地址单播包、具有多播地址且与本网卡地址配置相吻合的数据包、广播包。而在混杂模式下，Wireshark除捕获上述类型的数据包外，与本网卡地址配置不吻合的组播包也会被捕获下来。设置捕获过滤规则Wireshark使用libpcap过滤语句进行捕捉过滤。 过滤语句的形式为：not primitive and|or not primitive .第9页/共39页Wireshark的使用 常用的基本单元(primitive)类型： src|dst host 过滤主机ip地址或名称。通过指定src|dst关键词来确定所关注的是源地址还是目标地址。如果未指

5、定，则指定的地址出现在源地址或目标地址中的包会被抓取。 ether src|dst host 过滤主机以太网地址。通过指定关键词src|dst来确定所关注的是源地址还是目标地址。如果未指定，则指定的地址出现在源地址或目标地址中的包会被抓取。 tcp|udp src|dst port port 过滤tcp,udp及端口号。可以使用src|dst和tcp|udp关键词来确定来自源还是目标，tcp协议还是udp协议。tcp|udp必须出现在src|dst之前。 ip|ether proto 选择在以太网层或是ip层的指定协议的包例 1. 捕捉来自特定主机的telnet协议：例 2. 捕捉所有不是来自

6、的telnet 通信：第10页/共39页Wireshark的使用设置多文件连续存储Use multiple files 如果指定条件达到临界值，Wireshark将会自动生成一个新文件。Next file every n megabyte(s) 如果捕捉文件容量达到指定值，将会生成切换到新文件Next file every n minutes(s) 如果捕捉文件持续时间达到指定值，将会切换到新文件。Ring buffer with n files 仅生成制定数目的文件。Stop caputure after n file(s) 当生成指定数目文件时，停止捕捉。第11页/共39页Wireshar

7、k的使用设置停止捕获规则after n packet(s) 在捕捉到指定数目数据包后停止捕捉；after n megabytes(s) 在捕捉到指定容量的数据后停止捕捉。如果使用user multiple files,该选项将是灰色；after n minute(s) 在达到指定时间后停止捕捉；选择开始按钮，进行捕获。选择停止按钮，停止捕获。第12页/共39页Wireshark的使用4、处理已经捕获的包浏览已经捕获的包在已经捕捉完成之后，或者打开先前保存的数据包文件时，通过点击包列表面版中的包，就可以在包详情面板看到关于这个数据包的树状结构以及字节面板。通过点击左侧“+”标记或者选择右键菜单“

8、Expand Subtrees”,展开数据包当前选择的子树。也可以通过右键选择“Expand All”展开数据包的所有子树。第13页/共39页Wireshark的使用浏览过滤包显示过滤可以隐藏一些你不感兴趣的包，让你可以集中注意力在你感兴趣的那些包上面。在包列表面板中选择所需要的包，右键菜单选择“Apply as Filter”-“selected”即可过滤其他数据包。第14页/共39页Wireshark的使用 另外，也可以构建过滤表达式，来过滤那些不感兴趣的数据包。Wireshark提供了简单而强大的过滤语法，你可以用它们建立复杂的过滤表达式。包详情面板的每个字段都可以作为比较值，通过在许多

9、不同的比较操作建立比较过滤。应用这些作为过滤将会仅显示包含该字段的包。例如：过滤字符串:TCP将会显示所有包含TCP协议的包。表1显示过滤比较操作符EnglishC-linke范例范例eq=ip.addr=10.0.0.5ne!=ip.addr!=10.0.0.5gtframe.pkt_len10ltframe.pkt_len=frame.pkt_len ge 0 x100le=frame.pkt_len Save As.菜单保存已捕获的数据包。在保存时可以选择保存哪些包，以什么格式保存：输入指定的文件名。选择保存的目录。选择保存包的范围。通过点击“保存类型”下拉列表指定保存文件的格式。可以将

10、Wireshark捕获的包保存为其默认格式文件(libpcap)，也可以保存为其他格式供其他工具进行读取分析。比如保存文件时候选择格式 NA Sniffer（Windows）2.00 x (*.cap)以便Sniffer进行读取分析。点击保存(S)按钮保存。第29页/共39页Wireshark的使用合并数据包文件有时候你需要将多个捕捉文件合并到一起。例如：如果你对多个接口同时进行捕捉，合并就非常有用。可以使用如下方法合并捕捉文件：1、从File-Merge，打开合并对话框。通过该对话框可以选择需要合并的文件，与当前打开的数据包文件进行合并。可以通过以下三种方式合并：将包插入已存在文件前、按时间

11、顺序合并文件、追加包到当前文件。2、使用拖放功能，将多个文件同时拖放到主窗口。Wireshark会创建一个临时文件尝试对拖放的文件按时间顺序进行合并。如果你只拖放一个文件，Wireshark只是简单地替换已经打开的文件。 第30页/共39页Wireshark的使用文件集在进行捕捉时如果设置Multiple Files/多文件选项，捕捉数据会分割为多个文件，称为文件集合。大量文件手动管理十分困难，Wirreshark的文件集合特性可以让文件管理变得方便一点。使用File菜单项的子菜单File Set可以对文件集合集合进行很方便的控制。如下图：单击单选钮，当前文件会被关闭，同时载入对应的文件。注意

12、:前提是你目前打开的文件为文件集中的某个文件才能使”File Set”命令有效第31页/共39页Wireshark的使用导出数据Wireshark支持多种方法，多种格式导出包数据。从“File-Export-File”，打开导出数据对话框：指定导出包数据的文件名。选择文件保存路径。选择文件保存类型。导出包数据为文本文件，常用于打印数据包；导出包数据摘要为CVS格式，可以被Excel使用。常用来做相关统计；选择需要导出的数据包范围。选择保存按钮。 第32页/共39页Wireshark的使用统计分析Wireshark提供了多种多样的网络统计功能。包括捕获数据包文件的基本信息(比如包的数量)，对指定

13、协议的统计(例如，统计包文件内HTPP请求和应答数)等等。统计摘要统计摘要主要包括当前网络数据包文件的一些基本信息。比如文件名、文件大小、第一个包和最后一个包的时间戳、网络传输的相关统计等。如果设置了显示过滤，统计信息会显示成两列。Captured列显示过滤前的信息，Displayed列显示过滤后对应的信息。第33页/共39页Wireshark的使用会话统计 一个网络会话，指的是两个特定端点之间发生的通信。例如，一个IP会话是两个IP地址间的所有通信。 从“Statistics - Conversations”，打开会话统计信息窗口。在该窗口中，每个支持的协议，都显示为一个选项卡。选项标签显示

14、被捕捉端点数目(例如：“Ethernet :30”表示有30个Ethernet端点被捕捉到)。如果某个协议没有端点被捕捉到，选项标签显示为灰色。 列表中每行显示单个端点的统计信息。第34页/共39页Wireshark的使用流量统计曲线图： 从Statistics - IO Graphs，打开流量统计信息窗口。 Wireshark根据用户配置生成曲线图。用户可以对一下内容进行设置：Graphs Graph 1-5: 开启1-5图表(默认仅开启graph 1) Color: 图表的颜色(不可修改) Filter: 指定显示过滤器 Style: 图表样式(Line/Impulse/FBar)X Ax

15、is Tick interval 设置X轴的每格代表的时间(10/1/0.1/0.01/0.001 seconds) Pixels per tick 设置X轴每格占用像素 (10/5/2/1 pixels)Y Axis Unit y轴的单位(Packets/Tick, Bytes/Tick, Bits/Tick, Advanced.) Ssale Y轴单位的刻度(10,20,50,100,200,500,.)第35页/共39页Wireshark的使用服务响应时间服务响应时间是发送请求到产生应答之间的时间间隔。响应时间在很多协议中可用，比如H.225 RAS。从Statistics - Service Response Time，选择所要查看的协议类型，打开服务响应时间信息窗口。下图为H.225 RAS 服务响应时间.第36页/共39页Wireshark的使用FQA：使用接口列表中默认的第一个接口时候，为什么捕获不到数据？接口列表中的第一个接口为环回接口，Wireshark在windows平台下不支持环回接口捕获。选择正确的接口然后进行数据包捕获。在接口列表中显示多个接口，如何确定哪个接口为本pc的网卡？选择Capture - Interface，可以在Interface对话框中根据接口的IP地址来确定PC所对应的网卡。为何在非混杂模式下，W