WireShark使用培训

1、培训目的通过本课程的学习，您将能够：了解WireShark的界面组成熟悉WireShark的基本操作适用对象： 测试、开发、网络工程人员内容纲要网络截包的理论基础Wireshark 概述Wireshark常用功能功能界面介绍过滤器捕捉过滤器显示过滤器Follow TCP Stream统计工具以太网络的工作原理（1）载波侦听/冲突检测(CSMA/CD, carrier sense multiple access with collision detection)技术载波侦听：是指在网络中的每个站点都具有同等的权利，在传输自己的数据时，首先监听信道是否空闲如果空闲，就传输自己的数据如果信道被占用，

2、就等待信道空闲而冲突检测则是为了防止发生两个站点同时监测到网络没有被使用时而产生冲突以太网采用了CSMA/CD技术，这是捕获数据包的物理基础。以太网络的工作原理（2）以太网是一种总线型的网络，从逻辑上来看是由一条总线和多个连接在总线上的站点所组成各个站点采用上面提到的 CSMA/CD 协议进行信道的争用和共享。每个站点网卡实现这种功能。网卡主要的工作是完成对于总线当前状态的探测，确定是否进行数据的传送，判断每个物理数据帧目的地是否为本站地址，如果不匹配，则说明不是发送到本站的而将它丢弃。如果是的话，接收该数据帧，进行物理数据帧的 CRC 校验，然后将数据帧提交给LLC 子层。以太网卡的工作方式

3、网卡的MAC地址(48位)通过ARP来解析MAC与IP地址的转换用ipconfig/ifconfig可以查看MAC地址正常情况下，网卡应该只接收这样的包MAC地址与自己相匹配的数据帧（单播包）广播包（Broadcast）和属于自己的组播包（Multicast）网卡完成收发数据包的工作，两种接收模式混杂模式：不管数据帧中的目的地址是否与自己的地址匹配，都接收下来非混杂模式：只接收目的地址相匹配的数据帧，以及广播数据包和组播数据包单播、组播和广播共享网络和交换网络共享式网络通过网络的所有数据包发往每一个主机；最常见的是通过HUB连接起来的子网；交换式网络通过交换机连接网络；由交换机构造一个“MAC

4、地址-端口”映射表；发送包的时候，只发到特定的端口上；交换机的镜像端口功能共享网络和交换网络ABCDto C镜像端口WIRESHARK概述概 述发展简史：1998年由Gerald Combs 完成第一个Ethereal(Wireshark前身)版本的开发。此后不久，Gilbert Ramirez发现它的潜力，并为其提供了底层分析1998年10月，Guy Harris正寻找一种比TcpView更好的工具，他开始为Ethereal进行改进，并提供分析。1998年以后，正在进行TCP/IP教学的Richard Sharpe 关注了它在这些课程中的作用。并开始研究该软件是否他所需要的协议。如果不行，新

5、协议支持应该很方便被添加。所以他开始从事Ethereal的分析及改进。从那以后，帮助Ethereal的人越来越多，他们的开始几乎都是由于一些尚不被Ethereal支持的协议。所以他们拷贝了已有的解析器，并为团队提供了改进回馈。2006年重新命名为Wireshark.概 述Wireshark的原名是Ethereal，新名字是2006年起用的。当时Ethereal的主要开发者决定离开他原来供职的公司，并继续开发这个软件。但由于Ethereal这个名称的使用权已经被原来那个公司注册，Wireshark这个新名字也就应运而生了。 Wireshark的优势：安装方便。简单易用的界面。提供丰富的功能。局限

6、： 本机程序之间进行的网络通信无法拦截。 不会处理网络事务，它仅仅是“测量”(监视)网络。 不会发送网络包或做其它交互性的事情。概 述支持的系统：WindowsAPPle Mac OSXDebian GNU/LinuxFreeBSDNetBSDOpenPKGRed Hat Fedora/Enterprise Linux概 述官方网站：/维基网站地址：/中文用户手册：http:/ “居心叵测”的用它来寻找一些敏感信息Wireshark不是入侵检测软件（Intrusion DetectionSoftwar

7、e,IDS）。对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。然而，仔细分析 Wireshark截取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改，它只会反映出目前流通的封包资讯。 Wireshark本身也不会送出封包至网络上。功能界面介绍MENUS（菜单）（菜单）SHORTCUTS（快捷方式）（快捷方式） DISPLAY FILTER（显示过滤器）（显示过滤器）PACKET LIST PANE（封包列表（封包列表)PACKET DETAILS PANE（封包详细信息）（封包详细信息）DISSECTOR PANE（16进制数

8、据）进制数据）MISCELLANOUS（杂项）（杂项）File（文件） 打开或保存捕获的信息。 Edit （编辑）查找或标记封包。进行全局设置。View（查看） 设置Wireshark的视图。 Go （转到）跳转到捕获的数据。Capture（捕获）设置捕捉过滤器并开始捕捉。Analyze（分析）设置分析选项。Statistics （统计）查看Wireshark的统计信息。 Help （帮助）查看本地或者在线支持。 Help 帮助Contents Wireshark 使用手册Supported Protocols Wireshark支持的协议清单Manual Pages 使用手册（HTML网页）

9、Wireshark Online Wireshark 在线About Wireshark 关于WiresharkANSI 按照美国国家标准协会的ANSI协议分析Fax T38 Analysis. 按照T38传真规范进行分析GSM 全球移动通信系统GSM的数据H.225 H.225 协议的数据MTP3 MTP3 协议的数据RTP 实时传输协议RTP的数据SCTP 数据流控制传输协议SCTP的数据SIP. 会话初始化协议SIP的数据VoIP Calls 互联网IP电话的数据WAP-WSP 无线应用协议WAP和WSP的数据BOOTP-DHCP 引导协议和动态主机配置协议的数据Destinations

10、 通信目的端Flow Graph 网络通信流向图HTTP 超文本传输协议的数据IP address 互联网IP地址ISUP Messages ISUP 协议的报文Multicast Streams 多播数据流ONC-RPC ProgramsPacket Length 数据包的长度Port Type 传输层通信端口类型TCP Stream Graph 传输控制协议TCP数据流波形图Statistics对已捕获的网络数据进行统计分析Summary 已捕获数据文件的总统计概况Protocol Hierarchy 数据中的协议类型和层次结构Conversations 会话Endpoints 定义统计分

11、析的结束点IO Graphs 输入/输出数据流量图Conversation List 会话列表Endpoint List 统计分析结束点的列表Service Response Time 从客户端发出请求至收到服务器 响应的时间间隔Analyze 对已捕获的网络数据进行分析Display Filters 选择显示过滤器Apply as Filter 将其应用为过滤器Prepare a Filter 设计一个过滤器Firewall ACL Rules 防火墙ACL规则Enabled Protocols 已可以分析的协议列表Decode As 将网络数据按某协议规则解码User Specified

12、Decodes 用户自定义的解码规则Follow TCP Stream 跟踪TCP传输控制协议的通信数据段， 将分散传输的数据组装还原Follow SSL stream 跟踪SSL 安全套接层协议的通信数据流Expert Info 专家分析信息Expert Info Composite 构造专家分析信息Capture 捕获网络数据Interfaces 选择本机的网络接口 进行数据捕获Options 捕获参数选择Start 开始捕获网络数据Stop 停止捕获网络数据Restart 重新开始捕获Capture Filters 选择捕获过滤器Go 运行Back 向后运行Forward 向前运行Go

13、to packet 转移到某数据包Go to Corresponding Packet 转到相应的数据包Previous Packet 前一个数据包Next Packet 下一个数据包First Packet 第一个数据包Last Packet 最后一个数据包View 视图Main Toolbar 主工具栏Filter Toolbar 过滤器工具栏Wireless Toolbar 无线工具栏Statusbar 运行状况工具栏Packet List 数据包列表Packet Details 数据包细节Packet Bytes 数据包字节Time Display Format 时间显示格式Name

14、resolution 名字解析（转换： 域名/IP地址， 厂商名/MAC地址,端口号/端口名）Colorize Packet List 颜色标识的数据包列表Auto Scroll in Live Capture 现场捕获时实时滚动Zoom In 放大显示Zoom Out 缩小显示Normal Size 正常大小Resize All Columns 改变所有列大小Expand Sub trees 扩展开数据包内封装协议的子树结构Expand All 全部扩展开Collapse All 全部折叠收缩Coloring Rules 对不同类型的数据包用 不同颜色标识的规则Show Packet in

15、New Window 将数据包显示在一个新的窗口Reload 将数据文件重新加Edit 编辑Find Packet 搜索数据包Find Next 搜索下一个Find Previous 搜索前一个Mark Packet (toggle) 对数据包做标记（标定）Find Next Mark 搜索下一个标记的包Find Previous Mark 搜索前一个标记的包Mark All Packets 对所有包做标记Unmark All Packets 去除所有包的标记Set Time Reference (toggle) 设置参考时间 （标定）Find Next Reference 搜索下一个参考点F

16、ind Previous Reference 搜索前一个参考点Preferences 参数选择File 打开文件Open 打开文件Open Recent 打开近期访问过的文件Merge 将几个文件合并为一个文件Close 关闭此文件Save As 保存为File Set 文件属性Export 文件输出Print 打印输出Quit 关闭在菜单下面，是一些常用的快捷按钮。在菜单下面，是一些常用的快捷按钮。您可以将鼠标指针移动到某个图标上以获得其功能说明您可以将鼠标指针移动到某个图标上以获得其功能说明。显示过滤器用于查找捕捉记录中的内容。显示过滤器用于查找捕捉记录中的内容。请不要将捕捉过滤器和显示过

17、滤器的概念相混淆。请参考请不要将捕捉过滤器和显示过滤器的概念相混淆。请参考Wireshark过滤器中的详细内容。过滤器中的详细内容。 (tcp.port = 80 | udp.port = 80)&ip.addr=01说明：源地址和目的地址为01并且端口为80的所有数据包ip.addr=01 & http说明：源地址和目的地址为01并且协议为HTTP的所有数据包这里显示的是在封包列表中被选中项目的详细信息。这里显示的是在封包列表中被选中项目的详细信息。信息按照不同的信息按照不同的OS

18、I layer进行了分组，可以展开每个项目查看。下进行了分组，可以展开每个项目查看。下面截图中展开的是面截图中展开的是HTTP信息。信息。 “解析器解析器”在在Wireshark中也被叫做中也被叫做“16进制数据查看面板进制数据查看面板”。这里显。这里显示的内容与示的内容与“封包详细信息封包详细信息”中相同，只是改为以中相同，只是改为以16进制的格式表述。进制的格式表述。在上面的例子里，我们在在上面的例子里，我们在“封包详细信息封包详细信息”中选择查看中选择查看TCP端口端口（80），其对应的），其对应的16进制数据将自动显示在下面的面板中（进制数据将自动显示在下面的面板中（0050）。）。

19、过滤器 过滤器 在Wireshark中有两种过滤器。捕捉过滤器：在抓包之前设置，让Wireshark只抓取过滤器指定的包。显示过滤器：在桌包之前或者完成抓包之后都可，不影响抓包，只是方便查看。 1.捕捉过滤器捕捉过滤器 2.显示过滤器显示过滤器点击点击show the capture options一：一：选择本地的网络适配器选择本地的网络适配器二：二：设置捕捉过滤设置捕捉过滤填写填写capture filter栏或者点击栏或者点击capture filter按钮为您的过滤器起一个名按钮为您的过滤器起一个名字并保存，以便在今后的捕捉中继续使用这个过滤器。字并保存，以便在今后的捕捉中继续使用这个

20、过滤器。填写capture filter栏或者点击capture filter按钮为您的过滤器起一个名字并保存，以便在今后的捕捉中继续使用这个过滤器。三：三：点击开始点击开始 可通过Capture菜单中的Interfaces打开网卡列表，然后点击网卡右边的“Start”按钮开始抓包。或者单击工具栏的第一个按钮，和单击Capture-Interfaces的效果一样。 开始抓包后，Wireshark的主界面中会以不同的颜色显示抓取到的不同的数据包。 如果要停止抓包，可通过工具栏中的Stop按钮，或者Capture-Stop菜单项停止抓包。 停止抓包后我们可以将抓取到的数据包保存到文件供日后分析使用

21、。 可通过菜单File-Save(Save As) 或者工具栏上的保存按钮。抓包模式 在开始抓包之前还可修改Wireshark的抓包选项。通过工具栏或者菜单Capture-Options 打开抓包选项设置界面。 这里可以设置很多选项，我们这里介绍一下 混杂模式 和 非混杂模式。混杂模式：抓取经过网卡的所有数据包，包括发往本网卡和非发往本网卡的。非混杂模式：只抓取目标地址是本网卡的数据包，对于发往别的主机而经过本网卡的数据包忽略。 如左图中显示的是 混杂模式 由于Wireshark是将抓包数据保存在内存当中，当抓包时间比较长，抓的包比较多时可能出现内存不够用的情况。此时我们设置使用多个文件保存抓

22、包数据就可避免这种情况。 多个文件保存的方式可以是 每隔多久保存一个文件，也可以是 限制每个文件保存的大小，同时也可以设置限制文件个数。 默认情况下Wireshark是只使用一个临时文件来保存抓包数据的。多文件自动保存抓包数据自动停止抓包 在无人值守情况下，可设置在如下条件下自动停止抓包： 抓到多少包之后；抓到多少包之后； 抓到多大数据量之后抓到多大数据量之后(存储容量存储容量)； 抓取多少分钟之抓取多少分钟之后。后。 设置设置CaptureCapture f filter ilter 步骤步骤: : -选择 C Captureapture - O Options ptions 或者使用快捷键

23、Ctrl+K -填写“Capture Filter”栏或者点击“Capture Filter”按钮为您的过滤器起一个名字并保存，以便在今后的捕捉中继续使用这个过滤器 -点击开始（Start）进行捕捉。CaptureCapture F Filter ilter 语法：语法：语法：语法： 例子：例子： iax2 dst 3 4569 and src 11iax2 dst 3 4569 and src 11 ProtocolProtocol（协议）（协议）: : 可能的值: ether, fddi, ip,

24、arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 如果没有特别指明是什么协议，则默认使用所有支持的协议 DirectionDirection（方向）（方向）: 可能的值: src, dst, src and dst, src or dst 如果没有特别指明来源或目的地，则默认使用 “src or dst” 作为关键字。 例如，“host 11”与“src or dst host 11”是一样的。 Host(s): Host(s): 可能的值： net, port, host, portra

25、nge. 如果没有指定此值，则默认使用“host”关键字。 例如，src 11与src host 11相同。 Logical Operations Logical Operations（逻辑运算）（逻辑运算）: 可能的值：not, and, or. 否(“not”)具有最高优先级。或(“or”)和与(“and”)具有相同的优先级，运算时从左至右进行。 例，“not tcp port 3128 and tcp port 23”与“(not tcp port 3128) and tcp port 23”相同。 not tcp port 3128 and

26、tcp port 23与not (tcp port 3128 and tcp port 23)不同。 实例：udp dst port 4569 显示目的UDP端口为4569的封包。 ip src host 显示来源IP地址为的封包。 host 显示目的或来源IP地址为的封包。 src portrange 2000-5000 显示来源为TCP或UDP，并且端口在20005000范围内的封包。 not icmp 显示除icmp以外的封包。 src host and not dst n

27、et /24 显示来源IP地址为，但目的地址不是/24的封包。 (src host 2 or src net /16) and tcp dst portrange 200-10000 and dst net /8 显示来源IP为2或者来源网络为/16，目的地TCP端口号在200至10000之间，并且目的位于网络/8内的所有封包。 1.捕捉过滤器捕捉过滤器 2.显示过滤器显示过滤器可以使用大量位于可以使用大量位于OSI模型第模型第2至至

28、7层的协议。点击层的协议。点击Expression.按按钮后，可以看到它们。钮后，可以看到它们。比如：比如：IP，TCP，DNS，SSH可以在如下所示位置找到所支持的协议：可以在如下所示位置找到所支持的协议：Wireshark的网站提供的网站提供了对各种了对各种 协议以及它们协议以及它们子类的说明。子类的说明。FILTERProtocolValueOtherexpressionString1String2ComparisonOperatorLogicalOperations 例子： ftp passive ip = or icmp.type Protocol（协议）:可

29、以使用大量位于OSI模型第2至7层的协议。点击“Expression.”按钮后，您可以看到它们。比如：IP，TCP，UDP，DNS，SSH语法：同样可以在以下位置找到所支持的协议String1，String2（可选项）:以协议的子类。点击相关父类旁的“+”号，然后选择其子类。Comparison Operators（比较运算符）:可以使用以下几种运算符：英文写法英文写法C语言写法语言写法含义含义eq=Equal ne!=Not Equal gtGreater Than lt=Greater than or Equal to le= 10frame.cap_len = 012frame.cap_

30、len = 0 xa八进制表达十六进制表达3、以太网地址和字节数组使用十六进制表示，十六进制的数字可以被“：”“.” “- ”分隔。 例如：4、IPv4地址可以被表示成点分十进制或者使用主机名表示。 例如：5、当使用IPv4子网划分的时候，CIDR（Classless InterDomain Routing ）表示法也可以使用。 例如：以下的过滤器可以找到所有129.111的数据包： 斜线后面的数字用于表示子网占用的比特数。CIDR表示法也用于查找主机名，例如C类网络中主机“sneezy”的IP地址。6、双引号封装字符串。 例如：eth.dsteqff:ff:ff:ff:ff:ffaim.data = 0.1.0.dfddi.src = aa-aa-aa-aa-aa-aaecho.data eq 7aip.dst eq ip.src = ip.addr/16ip.addr eq sneezy/24http.request.method = GETsnmp | dns | icmp 常用表达举例：显示SNMP或DNS或ICMP封包。 ip.addr = 显示来源或目的IP地址为的封包。 ip.src != or ip.dst