抓包工具使用分享

1、“Wireshark捕获工具”是“共享”、“内容模式”、“Wireshark配置文件”、“Wireshark常用功能捕获包”，以及用于停止捕获包和设置捕获包的选项捕获过滤器，可以使用followt Wireshark配置文件、网络捕获包分析工具可以实时捕获多个网络接口并支持其他程序的捕获包保存文件，比如，TCPDump开源软件采用GPL许可证支持UNIX和Windows平台，Wireshark的介绍、发展的简单历史： GeraldCombs于1998年完成了第一个Ethereal(Wireshark的前身)版本的开发。 不久，GilbertRamirez发现了潜力并为其提供了基础分析，1998

2、年10月，GuyHarris在寻找比TcpView更好的工具，开始改进和分析以太网。 Wireshark介绍，1998年以后进行TCP/IP教育的RichardSharpe，关注着在这些课程中的作用。 我开始调查软件是否是必要的协议。 如果不是的话，新协议支持应该很容易增加。 于是他开始分析和改进以太。 从此，帮助以太实的人越来越多，他们的开始是因为以太实还不支持的协议。 他们复制了现有的解析器，向团队提供了改进的反馈。 2006年更改为Wireshark.wireshark介绍，支持的系统： windowsapplemcosxdebiangnu/linuxreebsbdnetbsdopenp

3、kgredhatfedora/enterprise wireshark介绍官方网站： /Wikipedia网站地址： http:/wiki.W/中文用户手册： wireshark概述、主界面在Capture菜单的接口中打开网卡列表，点击网卡右侧的“Start”按钮，就能抓住包。 或者，单击工具栏上的第一个按钮，就像单击Capture-Interfaces一样。 是Wireshark常用的功能，如果您抓住包，则Wireshark的主界面会以不同的颜色显示导入的不同包。 要停止捕获包，请使用工具栏上的Stop按钮，或使用Capt

4、ure-Stop菜单项停止捕获包。 Wireshark最常用的功能是停止抓取包，然后将捕获的包存储在文件中，以后再进行分析。 使用菜单file-save (另存为)或工具栏上的“保存”按钮。 您还可以在开始捕获之前更改Wireshark的通用功能、捕获模式和捕获选项。 从工具栏或菜单Capture-Options打开捕获选项设定画面。 这里有很多的选择。 在这里，介绍混合模式和非混合模式。 混合模式：获取通过网卡的所有数据包。 这包括本网卡和本网卡以外的包。 非混合模式：目的地地址仅捕获本机卡的包，对发送到其他主机并通过本机卡的包无视。 如图中的混合模式所示，Wireshark经常使用的功能，

5、因为Wireshark将捕获分组的数据保存在存储器中，所以捕获分组的时间长，捕获分组多的话，存储器可能会不足。 在这种情况下，通过使用多个文件保存捕获数据，可以避免这种情况。 保存多个文件的方法可以多长时间一次保存一个文件，限制每个文件保存的大小，或者限制文件的数量。 默认情况下，Wireshark仅使用一个临时文件来存储捕获数据。 另外，多个文件自动保存捕获数据，Wireshark常用的功能是自动停止捕获，在无人的情况下，我们可以在特定条件下自动停止捕获。 这些条件有：抓住几个包后掌握多少数据量(存储容量)几分钟后，Wireshark常用的功能、过滤器、Wireshark有2种过滤器。 捕获

6、过滤器：在捕获包之前设置，以便Wireshark仅捕获由过滤器指定的包。 显示过滤器：即使在桌面包之前或完成抓包后，也不会影响抓包。 只是容易看。 Wireshark的通用功能，捕获过滤器示例： src|dsthost主体过滤器srchost59捕获源IP地址为59的数据包。 dsthost59捕获目标IP地址是59的数据包。 host59捕获源IP或目标IP为59的数据包。tcp|udpsrc|dstport端口过滤器host 192.168.20.

7、159 and tcpport 9990的源/目标IP地址为59，源/目标端口为TCP9990端口的、Wireshark通用功能、协议：的可能值：以太网、fddi、ip、arp、rarp、decnet、lat、sca、moprc、mopdl、tcpandudp。 如果没有指定特别的协议，则默认情况下将使用所有支持的协议。 方向：的可能值：src、dst、srcanddst和srcordst默认使用“srcordst”作为关键字，除非特别指定源或目标。 例如，“主机”和“srcordsthost”是相同的。 net，port，host，po

8、rtrange .如果未指定此值，默认情况下将使用host关键字，指定捕获过滤器、Wireshark通用功能和Host(s):的可能值。 例如，“src”与“srchost”相同。 逻辑操作：的值以not，and，or.no(not”)为优先。 或(或 )和(和 )具有相同的优先级，运算从左到右进行。 例如，not tcpport 3128和tcpport 23与“not tcpport 3128”和tcpport 23相同。 “not tcpport 3128和tcpport 23”与“not (tcpport 3128和tcpport 23 )”不同。 捕获

9、过滤器、Wireshark通用功能、显示过滤器示例： http显示TCP80端口的http数据包。 表示TCP.port=9990TCP端口是9990的分组。 tcp.flags.reset=1tcp标志字段中的reset标志为1的包。 tcp.port=80ortcp.port=9990显示端口为80或9990的包、显示过滤器、Wireshark通用功能、Protocol (协议) :可以使用OSI模型的第2层 7层中的多个协议。 单击“Expression”按钮后显示。 例如： IP，TCP，DNS，SSH。 String1，String2(可选) :协议的子类。 单击关联的父类旁边的“”

10、并选择子类。 显示过滤器、Wireshark通用功能、比较运算符，例如，tcp.port=9990过滤器显示一个数据包，指示TCP端口为9990。 Tcp.seqeq115过滤并显示序列号115的包。Wireshark的一般功能，逻辑运算符。 例如，名为tcp.port=9990ortcp.port=9991的过滤器表示TCP端口是9990或9991的包。 啊！ (ip.src=36 )过滤显示其源IP地址不是36的分组。 Wireshark的常见功能在捕获和分析基于TCP协议的包时，从应用层的角度来看，显示TCP流的内容可能很有用。 要显示

11、TCP流的内容，请选择其中一个TCP包，然后从右键单击菜单中选择“Followtcpstream”。 FollowTCPStream、Wireshark常用的功能，这里有简单查看各TCP连接流内容的技巧。 1 .过滤器通过显示TCP.flags.syn=1and TCP.flags.ack，=1将过滤建立所获取的包的各TCP连接的第一个包。 2 .在各个包上执行“FollowTCPStream”。 3 .返回显示过滤器，重新选择第一步过滤器，对其他包执行第二步。 FollowTCPStream、实际应用实例、2010年末至2011年初公司组织客户、服务方、运输维度等对网络光盘上传失败率较高的原

12、因进行详细调查分析，发现许多网络和程序问题之一问题现象：彩讯深圳办公室的网盘和特大饰品往往会通过控件上传失败。 彩讯深圳办公室内的网络深刻接受了防火墙阻断分布式上载的情况，实际的应用情况，调查分析的大致过程是，一个提包上载失败时，发现很多RST包关闭了连接，RST包被TCT 可能会发生RST数据包。 (1).connect中有不存在的端口。 (2) .被切断了发送的连接。 (3)使用. shut down立即关闭已建立的连接。 显然，现在属于第三种情况，RST分组的发送源IP地址是服务器的IP地址，表示“服务器”积极地关闭连接。 查看实际应用实例2服务器端的日志，看到连接是因为什么原因断开的，发现服务器没有积极断开连接。3相反地进一步分析客户端的捕捉分组，并比较RST分组的IP层的TTL，则明显该TTL值是127，而从其他服务器发送来的正常分组的TTL值是117，该通过的路由器的跳数很少因为表示那个RST数据包只通过跳就发送到客户机，所以内部网和防火墙引起的可能性很高。 通过询问公司的网络管理员来检查防火墙日志，结果，在防火墙日志中，由于这些连接被判断为P2P软件，所以还存在关闭这些连接的记录。 为什