实验四 Wireshark教程(网络监测)

Wireshark教程当前较为流行的网络协议嗅探和分析软件—Wireshark。通过使用抓包工具，来准确而快速地判断网络问题的所在，大大缩短寻找问题的时间。网络管理人员的私人秘书—Wireshark网络流量分析是指捕捉网络中流动的数据包SNMP的流量监测技术，基于网络探针（Probe）技术和基于流（flow）的Wireshark就是基于流量镜像协议分析。（链路层协议解码对网络流量进行监测。但该方法主要侧重于协议分析，而非用户流量访问统Wireshark的前身是著名的Ethereal。Wireshark是一款免费的网络协议检测程序。它具有设计完美的GUI和众多分类信息及过滤选项。下面是Wireshark的界面。用户通过Wiresharkbugs。Wireshark是一个开放源码的网络分析系统，也是是目前最好的开放源码的网络协议分析器，支持UnixLinux和Windows平台。由于Wireshark是OpenSource，更新快，支持的协议多，特别是数据包过滤功能灵活强大。Wireshark提供了对TCP、UDP、SMB、telnet和ftp等常用协议的支持。它在很多情况下可以代替价格Sniffer安装好后，双击桌面上的Wireshark图，运行软件。再捕捉数据包之前，先要对捕获的条件进行设置。点击工具栏里的“CaptureàOptions”，（图一）或者直接点击快捷按钮（图二），打开选项设置页面（图三）。首先，我们要在Interface里选择正确的捕获接口，即要进行报文捕获的网卡。Wireshark支持无线WLAN的相关协议，具体设置如下：下面是一些常用设置项的解释：Interface：选择捕获接口CapturepacketsinpromiscuousmodeLimiteachpacketCaptureFilter：过滤器，只抓取满足过滤规则的包。（可暂时略过）Capturefiles：即捕获数据包的保存的文件名以及保存位置。其他的选项按照图三的设置即可。CaptureOption确认选择后，点击ok就开始进行抓包。下面的界面会以协议的不同，统计捕获到报文各占的百分比，此时，点击stop即可以停止抓包。当然，如果不想每次打开Wireshark都重复上述CaptureOption的设置，我们也有很好的办法。在“EditàPreferencesàCapture和NameResolution”里预先做好网卡和其他选项的设置做好预设之后，在每次打开Wireshark，直接点击工具栏的开始按钮，就可以开始抓包了。本期向大家介绍了Wireshark的简单原理，软件特色，Wireshark的安装和使用设置。通过本期的介绍，大家已经可以使用Wireshark捕获数据包了。在下期，我们将向大家介绍Wireshark最有特色并且强大的数据包过滤功能，通过过滤，从而有的放矢的得到我们希望得到的数据包.WiresharkWireshark下面的语句首先打开软件开始抓包，步骤都不多说了，菜单栏里面有一个Statistics，下拉菜单里面有个Summary和一个IOGraphs，如图：图一（Statistics菜单--Wireshark）Summary里面用数据说明抓到的平均流量是多少，而IOGraphs用图形表示了你抓数据的流量：Summary里面有两个filter先定义captureFilter，这样显示出来的就是你需要抓的流量的汇总信息。需要注意的是，Summary得到的数据都不一样。IOGraphs的话，可以不定义captureFilter，而直接在图形里面选择Filter，或者直接将过滤表达式写到Filter有数字显示，也就是说，你没有办法知道具体某个时间点的流量。图四（file定义窗口--Wireshark）用WireShark观察网络流量CaptureOption对话框1、Interface（接口）和Link-layerheader链路层头部）2、LimiteachpackettoNN3、Capturepacketsinpromiscuousmode（在混杂模式下捕获分组）4、Filter（过滤器）5、Capturefiles（捕获文件）6、DisplayOptions（显示选项7、StopCapture（停止捕获）8、Nameresolution（名字解析帧层（Frame）在帧层（Frame），Wireshark记录真实的捕获时间、第一个分组与前一个分组的相对时间增量、帧序号、分组长度以及捕获长度。以太网帧层146例如：以太网的类型为00）。IP层传输层TCP202412源端口：指定了发送端的端口目的端口：指定了接受端的端口号序号：指明了段在即将传输的段序列中的位置确认号：规定成功收到段的序列号，确认序号包含发送确认的一端所期望收到的下一个序号TCP偏移量：指定了段头的长度。段头的长度取决与段头选项字段中设置的选项保留：指定了一个保留字段，以备将来使用、ACK、PSH、、URG、SYN：表示同步ACK：表示确认PSH：表示尽快的将数据送往接收进程RST：表示复位连接URG：表示紧急指针FIN：表示发送方完成数据发送窗口：指定关于发送端能传输的下一段的大小的指令校验和：校验和包含TCP段头和数据部分，用来校验段头和数据部分的可靠性紧急：指明段中包含紧急信息，只有当URG标志置1时紧急指针才有效选项：指定了公认的段大小，时间戳，选项字段的末端，以及指定了选项字段的边界选项快捷键 描述快捷键 描述Tab,Shift+Tab在两个项目间移动，例如从一个包列表移动到下一个Down 移动到下一个包或者下一个详情Up 移动到上一个包或者上一个详情Ctrl-Down,F8 移动到下一个包，即使焦点不在Packetlist面版Ctrl-UP,F7 移动到前一个报文，即使焦点不在Packetlist面版Left 在PactectDetailRight 在PacketDetail面版，打开被选择的树状分支.Backspace PacketDetail面版，返回到被选择的节点的父节Return,EnterPacketDetail面版，固定被选择树项目。Packetlist和Detail面版控制可以通过快捷键进行另外，在主窗口键入任何字符都会填充到filter里面"File"菜单菜单项Open...OpenMergCloseSave

快捷键Ctr+OCrl+S

描述显示打开文件对话框，让您載入捕捉文件用以浏览。弹出一个子菜单显示最近打开过的文件供选择显示合并捕捉文件的对话框。让您选择一个文件和当前打开的文件合并注意如果您已经保存文件，该选项会是灰色不可选的。注意您不能保存动态捕捉的文件。您必须结束捕捉以后才能进行保存SaveAs FileSet>ListFilesFileSet>NextFile

让您将当前文件保存为另外一个文件面，将会出现一个另存为的对话框允许您显示文件集合的列表。将会弹出一个对话框显示已打开文件的列表,如果当前載入文件是文件集合的一部分，将会跳转到下一个文件。将会是灰色Fileset>PreviousFilesExport>asText”File„Export>as"PostScript"FilesExport>as"CVS"(CommaSeparatedValuesPacketSummary)File...

个文件，同时变成灰色。这个菜单允许您将捕捉文件中所有的或者部分的包导出为plainASCIItext格式。它将会弹出一个Wireshark导出对话框将捕捉文件的全部或部分导出为PostScrit文件。将会出现导出文件对话框。导出文件全部或部分摘要为.cvs格式（可用在电子表格中）。将会弹出导出对话框Export>asFile„Exportas"PDML"File...Export>PacketBytes„PrintQuit退出

Ctr+PCtrl+Q

导出文件的全部或部分为PSML格式（包摘要标记语言）XML文件。将会弹出导出文件对话框。导出文件的全部或部分为PDML(包摘要标记语言)格式的XML文件。将会弹出一个导出文件对话框,Packetbyte面版选择的字节为二进制文件。将会弹出一个导出对话框。打印捕捉包的全部或部分，将会弹出打印对话框Wireshark,如果未保存文件，Wireshark会提示是否保存"Edit"菜单菜单项菜单项快捷键Copy>AsFilterShift+Ctrl+CFindPacket...Ctr+FFindNextCtrl+NFindPreviousMarkPacket(toggle)FindNextMarkFindPreviousMarkMarkALLPacketsUnmarkAllPacketSetTimeReference(toggle)FindNextReferenceFindPreviousRefrence...Ctr+BCtrl+MShift+Ctrl+NCtrl+Shift+BCtrl+TPreferences...描述示过滤将会拷贝到剪贴板。打开一个对话框用来通过限制来查找包Findpacket以后，使用该菜单会查找匹配规则的下一个包查找匹配规则的前一个包。标记当前选择的包。查找下一个被标记的包查找前一个被标记的包标记所有包取消所有标记以当前包时间作为参考找到下一个时间参考包找到前一个时间参考包打开首选项对话框，个性化设置WiresharkShift+Ctrl+P 的各项参数设置后的参数将会在每次打时发挥作用。"View"菜单菜单项MainToolbarFilterToolbarStatusbarPacketListPacketDetailsPacketBytesTimeDisplayFromat>DateandTimeofDay:1970-01-0101:02:03.123456TimeDisplayFormat>TimeDay:01:02:03.123456TimeDisplayFormat>SecondsSinceBeginningofCapture:123.123456Time Display Format Seconds Since CapturedPacket:1.123456Time Display Format Seconds Since DisplayedPacket:1.123456

快捷键 描述显示隐藏Maintoolbar(主工具栏)FilterToolbar显示或隐藏状态PacketListPacketdetailspacketBytesWireshark将时间戳设置为绝对将时间设置为绝对时间-日期格式(时分秒格式)将时间戳设置为秒格式，从捕捉开始计时将时间戳设置为秒格式，从上次捕捉开始计时将时间戳设置为秒格式，从上次显示的包开始计时Time Display Format >TimeDisplayFormat>Automatic(FilePrecision)TimeDisplayFormatSeconds:0Time DisplayFormat>...seconds:0NameResolution>ResolveNameNameResolution>EnableforMACLayerNameResolution>EnableforNetworkLayerNameResolution>EnableforTransportLayerColorizePacketListAuto Scrooll in CaptureZoomInZoomOutNormalResizAllColumnusExpendSubtreesExpandAllCollapseAllColoringRulues...ShowPacketinNewWindow

Ctrl++Ctrl+-Ctrl+=

根据指定的精度选择数据包中时间戳的显示方式设置精度为1秒设置精度为1秒，0.1秒，0.01秒，百万分之一秒等等Mac地址(ip地址)是否解析传输层地是否以彩色显示包控制在实时捕捉时是否自动滚屏，如果选择了该项，在有新数据进入时，面板会项上滚动。您始终能看到最后的数据。反之，您无法看到满屏以后的数据，除非您手动滚屏增大字体缩小字体恢复正常大小恢复所有列宽展开子分支看开所有分支，该选项会展开您选择的包的所有分支。收缩所有包的所有分支打开一个对话框，让您可以通过过滤表达来用不同的颜色显示包。这项功能对定位特定类型的包非常有用在新窗口显示当前包，(新窗口仅包含View,ByteView两个面板)Reload Ctrl+R"Go"菜单

重新再如当前捕捉文件菜单项BackForWardGotoPacketGo toCorrespondingPacket

快捷键Alt+LeftAlt+RightCtrl+G

描述跳到最近浏览的包，类似于浏览器中的页面历史纪录跳到下一个最近浏览的包，跟浏览器类似打开一个对话框，输入指定的包序号，然后跳转到对应的包跳转到当前包的应答包，如果不存在，该选项为灰色PreviousPacket Ctrl+UP

焦点，也是可用的NextPacketFirstPacketLastPacket

Ctrl+Down 移动到包列表中的后一个包移动到列表中的第一个包"Capture"菜单菜单项菜单项Interface...Options...StartStop快捷键Ctrl+KCtrl+ERestartCaptureFilters...说明在弹出对话框选择您要进行捕捉的网络接口,打开设置捕捉选项的对话框,立即开始捕捉，设置都是参照最后一次设置。停止正在进行的捕捉正在进行捕捉时，停止捕捉，并按同样的设置重新开始捕捉.打开对话框，编辑捕捉过滤设置，可以命名过滤器，保存为其他捕捉时使用"Analyze"菜单菜单项菜单项快捷键DisplayFilters...ApplyasFilter>...PrepareaFilter>...FirewallRulesACLEnableProtocols...说明打开过滤器对话框编辑过滤设置，可以命名过滤设置，保存为其他地方使用更改当前过滤显示并立即应用。根据选择的项，当前显示字段会被替换成选择在Detail面板的协议字段更改当前显示过滤设置，当不会立即应用。同样根据当前选择项，过滤字符会被替换成Detail面板选择的协议字段为多种不同的防火墙创建命令行ACL规则(访问控制列表),支持CiscoIOS,LinuxNetfilter(iptables),OpenBSDpfandWindowsFirewall(vianetsh).RulesforMACaddresses,IP