Wireshark入门教程PPT课件

1、.,1,Wireshark 使用心得,.,2,饮水思源,感谢Ethereal和Wireshark的创建者Gerald Combs以及为它们的发展而做出努力的上千名开发人员！,.,3,下载/安装,.,4,启动抓包,.,5,选择抓包的网卡,.,6,定义抓包选项,.,7,网卡混杂模式,.,8,双网卡桥接设置,.,9,Tips,.,10,Capture filter,.,11,Capture filter,.,12,Capture filter,.,13,Capture filter,.,14,例子,.,15,Tips,.,16,Capture filter profile,.,17,抓包显示选项,.

2、,18,开始抓包,.,19,停止抓包,.,20,Display filter,.,21,Display filter,.,22,Display filter,.,23,Display filter,.,24,Display filter,.,25,Display filter,.,26,Display filter,.,27,例子,如果过滤器的语法是正确的，表达式的背景呈绿色。如果呈红色，说明表达式有误,.,28,Tips,.,29,Display filter,.,30,Display filter,.,31,Display filter,.,32,察看数据包,.,33,抓客户端证书演示,.

3、,34,抓客户端证书演示,.,35,抓客户端证书演示,.,36,直接抓客户端证书演示,.,37,直接抓客户端证书演示,.,38,Tips,.,39,Tips,.,40,Tips,.,41,Tips - Preferences,.,42,Tips - Preferences,.,43,Tips Decode As,.,44,Tips Decode As,.,45,Tips Decode As,.,46,王翊心,Wireshark 高阶,.,47,使用Profile定制Wireshark,.,48,使用Profile定制Wireshark,鼠标右键单击Wireshark界面右下角Profile选择

4、配置profile,.,49,使用Profile定制Wireshark,鼠标左键单击Wireshark界面右下角Profile选择不同的profile,.,50,使用Profile定制Wireshark,.,51,Expert Info Composite,Chat (灰色): HTTP Gets, Application calls, TCP SYNs, FINs, 基本工作流信息 Note (青绿色): TCP Retransmissions, Resets, Keep-Alives, Duplicate ACKs, SNMP 等问题以及常见的应用错误代码例如HTTP 404 Warn (

5、黄色): 警告, 错序的数据包和非常见的应用错误代码 Error (红色): 严重问题, 畸形数据包和校验和错误,.,52,TCP 序列号分析,.,53,TCP 序号分析,TCP Retransmission : 发生在ACK超时限后发送方重传数据包 TCP Fast Retransmission : 发生在ACK计时器到期之前发送方就开始重传数据包。发送方接收到一些数据包，这些包的TCP序号大于ACK过的数据包TCP序号。发送方收到3个以上DUP ACK时应该启动快速重传。 TCP_Out-of-order : 在一个连接中收到数据包的TCP序号小于之前收到的数据包的TCP序号 TCP Pr

6、evious segment lost : 在一个连接中收到的数据包的TCP序号大于期望的下一个应该收到的数据包的TCP序号，表明中间有一个或多个数据包没有按预期到达。通常回和TCP Retransmission伴生,.,54,TCP 序号分析,TCP_ACKed_lost_segment : 收到的ACK和发送的数据数据包段不匹配。 TCP Keep-Alive : 发生在TCP序号等于上一个数据包中的数据的最后一个字节。用来让接收方发送一个ACK。 TCP Keep-Alive ACK : 对于 TCP Keep-Alive响应的ACK数据包 TCP DupACK : 发生在看到同样的AC

7、K号并且小于发送方发送的数据的最后一个字节。如果接收方发觉接收到数据包的TCP序号间有间隔，它将为这个连接上每一个后续的数据包生成一个DUP ACK，直到丢失的数据包被成功接收（重传成功）。 它可以明确的表明有丢弃/丢失的数据包。,.,55,TCP 序号分析,TCP ZeroWindow : 发生在接收方声明它的接收窗口大小为零。这会告诉发送方停止发送数据，因为接收方的接收缓冲区已经满了。这表明接收方有资源方面的问题，应用不能及时地从TCP缓冲区中提取数据。 TCP ZerowindowProbe : 发送方通过发送数据的下一个字节以触发接收方回应一个ACK，看看接收方接收窗口满的情形是否继续

8、存在。如果接收窗口还是零，发送方在下一次试探之前将其维持计数器的事件乘二。 TCP ZeroWindowViolation : 发送方不理睬接收窗口为零的信息，继续发送数据。,.,56,TCP 序号分析,TCP WindowUpdate : 当应用从TCP接收缓冲区中收走数据后，会在TCP层发送一个WindowUpdate数据包给发送方，表明接收缓冲区中有更多的空间来接收数据。通常都发生在ZeroWindow后，并且在WindowUpdate数据包中告知接收缓冲区的大小。 TCP WindowFull : 当数据包段中载荷数据将全部填满另一端的接收缓冲区时，这个标志将被设在该数据包段中。发送方

9、知道它已经发送的数据足以填满接收缓冲区，必须马上停止发送数据直到至少有一些数据被确认收到。这会引起发送方和接收方之间数据传递的延迟，降低吞吐量。这个事件发生时，另一端的接收方也许会发生ZeroWindow的情况，并发回TCP ZeroWindow 。需要注意的是即便没有ZeroWindow，这种情形也会发生。,.,57,Coloring Rule,规则名称 规则条件 前端颜色（字体颜色） 后端颜色（背景颜色） 规则顺序（上端的规则首先被执行）,.,58,Conversations,A端地址、端口 B端地址、端口 A端到B端数据量、数据包数 B端到A端的数据量、数据包数 起始时间 持续时间（通过

10、Duration和数据包数量和大小可以找出通信时间较长的会话，配合tcp.time_delta 过滤条件可以比较容易地定位发送方或接收方的性能问题） A端到B端bps B端到A端bps,.,59,tcp.time_delta,.,60,添加tcp.time_delta显示列,.,61,添加tcp.time_delta Coloring rule,.,62,解密SSL数据包,.,63,解密SSL数据包,.,64,解密SSL数据包,.,65,解密SSL数据包,不带私钥保护口令的PEM格式私钥文件: -BEGIN RSA PRIVATE KEY- MIICXgIBAAKBgQDrHdbb+yGE6m

11、6EZ03bXURpZCjch2H6g97ZAkJVGrjLZFfettBA EYa8vYYxWsf8KBpEZeksSCsDA9MnU2H6QDjzqdOnaSWfeXMAr4OsCOpauStpreq7 q1hk8iOqy+f4KijRrhWplh1QW1A8gtSIg137pyUhW+WsfwxKwmzjGIC1SwIDAQAB AoGBAMneA9U6KIxjb+JUg/99c7h9W6wEvTYHNTXjf6psWA+hpuQ82E65/ZJdszL6 . b6QKMh16r5wd6smQ+CmhOEnqqyT5AIwwl2RIr9GbfIpTbtbRQw/EcQOCx9wFiEfo

12、 tGSsEFi72rHK+DpJqRI9AkEA72gdyXRgPfGOS3rfQ3DBcImBQvDSCBa4cuU1XJ1/ MO93a8v9Vj87/yDm4xsBDsoz2PyBepawHVlIvZ6jDD0aXw= -END RSA PRIVATE KEY-,带私钥保护口令的PEM格式私钥文件: -BEGIN RSA PRIVATE KEY- Proc-Type: 4,ENCRYPTED DEK-Info: DES-EDE3-CBC,F6C218D4FA3C8B66 FR2cnmkkFHH45Dcsty1qDiIUy/uXn+9m/xeQMVRxtiSAmBmnUDUFIFCDDi

13、Dc9yif ERok2jPr2BzAazl5RBxS2TY/+7x0/dHD11sF3LnJUoNruo77TERxqgzOI0W1VDRA . ygw5JslxgiN18F36E/cEP5rKvVYvfEPMa6IsiRhfZk1jLAuZihVWc7JodDf+6RKV yBXrK/bDtdEih+bOnYu+ZDvjAzVz9GhggCW4QHNboDpTxrrYPkj5Nw= -END RSA PRIVATE KEY-,.,66,解密SSL数据包,rootlocalhost# openssl rsa -in encrypted.key -out cleartext.key Enter pass phrase for encrypted.key: writing RSA key rootlocalhost#,rootlocalhost# openssl pkcs12 -in pem.cert -inkey pem.key -export -out cert.pkcs12 Enter Export Password: Verifying - Enter Export Password: rootlocalhost#,rootlocalhost# openssl rsa