WireShark使用说明.ppt

《WireShark使用说明.ppt》由会员分享，可在线阅读，更多相关《WireShark使用说明.ppt（38页珍藏版）》请在课桌文档上搜索。

1、WireShark使用说明,培训目的,通过本课程的学习，您将能够：了解WireShark的界面组成熟悉WireShark的基本操作适用对象：测试、开发、网络工程人员,概述,Wireshark 是网络包分析工具。网络包分析工具的主要作用是在接口实时捕捉网络包，并详细显示包的详细协议信息。Wireshark 可以捕捉多种网络接口类型的包，哪怕是无线局域网接口。Wireshark可以打开多种网络分析软件捕捉的包，可以支持许多协议的解码。我们可以用它来检测网络安全隐患、解决网络问题，也可以用它来学习网络协议、测试协议执行情况等。Wireshark不会处理网络事务，它仅仅是“测量”(监视)网络。Wire

2、shark不会发送网络包或做其它交互性的事情。,安装注意事项,安装文件获取：172.16.0.2softtooltoolsLib抓包工具在安装组件时候选择所有组件，界面风格建议选择Wireshark（GTK2 user interface）,安装注意事项,勾选下图选项，以支持多种其他网络包分析工具支持的文件格式。,安装注意事项,Wireshark 安装文件自带WinPcap最新版本，选择安装。,Wireshark的使用,1、Wireshark的主窗口,Wireshark的使用,2、网络数据流的监测接入点在被监测计算机上直接捕获；利用集线器将被检测端口的数据分为多路进行捕获；利用交换机的端口数据

3、映射功能进行捕获；,Wireshark的使用,3、实时捕获数据包使用按钮”Capture Options”开始捕获取 对话框，选择正确的NIC进行捕获；注意：windows平台下不支持环回接口捕获，即接口列表中的第一个接口,Wireshark的使用,3、实时捕获数据包设置捕获缓存大小（Buffer size）设置写入数据到磁盘前保留在核心缓存中捕捉数据的大小。如果你发现丢包，可尝试增大该值。设置网卡是否为混杂捕获模式（Capture packets in promiscuous mode）指定Wireshark捕捉包时，设置接口是否为混合接收模式。在非混杂模式下，Wireshark捕获满足以下

4、条件的包：含本网卡地址单播包、具有多播地址且与本网卡地址配置相吻合的数据包、广播包。而在混杂模式下，Wireshark除捕获上述类型的数据包外，与本网卡地址配置不吻合的组播包也会被捕获下来。设置捕获过滤规则Wireshark使用libpcap过滤语句进行捕捉过滤。过滤语句的形式为：not primitive and|or not primitive.,Wireshark的使用,常用的基本单元(primitive)类型：src|dst host 过滤主机ip地址或名称。通过指定src|dst关键词来确定所关注的是源地址还是目标地址。如果未指定，则指定的地址出现在源地址或目标地址中的包会被抓取。e

5、ther src|dst host 过滤主机以太网地址。通过指定关键词src|dst来确定所关注的是源地址还是目标地址。如果未指定，则指定的地址出现在源地址或目标地址中的包会被抓取。tcp|udp src|dst port 选择在以太网层或是ip层的指定协议的包例1.捕捉来自特定主机的telnet协议：tcp port 23 and host 10.0.0.5 例2.捕捉所有不是来自10.0.0.5的telnet 通信：tcp port 23 and not src host 10.0.0.5,Wireshark的使用,设置多文件连续存储Use multiple files 如果指定条件达到临

6、界值，Wireshark将会自动生成一个新文件。Next file every n megabyte(s)如果捕捉文件容量达到指定值，将会生成切换到新文件Next file every n minutes(s)如果捕捉文件持续时间达到指定值，将会切换到新文件。Ring buffer with n files 仅生成制定数目的文件。Stop caputure after n file(s)当生成指定数目文件时，停止捕捉。,Wireshark的使用,设置停止捕获规则after n packet(s)在捕捉到指定数目数据包后停止捕捉；after n megabytes(s)在捕捉到指定容量的数据后停

7、止捕捉。如果使用user multiple files,该选项将是灰色；after n minute(s)在达到指定时间后停止捕捉；选择开始按钮，进行捕获。选择停止按钮，停止捕获。,Wireshark的使用,4、处理已经捕获的包浏览已经捕获的包在已经捕捉完成之后，或者打开先前保存的数据包文件时，通过点击包列表面版中的包，就可以在包详情面板看到关于这个数据包的树状结构以及字节面板。通过点击左侧“+”标记或者选择右键菜单“Expand Subtrees”,展开数据包当前选择的子树。也可以通过右键选择“Expand All”展开数据包的所有子树。,Wireshark的使用,浏览过滤包显示过滤可以隐藏

8、一些你不感兴趣的包，让你可以集中注意力在你感兴趣的那些包上面。在包列表面板中选择所需要的包，右键菜单选择“Apply as Filter”-“selected”即可过滤其他数据包。,Wireshark的使用,另外，也可以构建过滤表达式，来过滤那些不感兴趣的数据包。Wireshark提供了简单而强大的过滤语法，你可以用它们建立复杂的过滤表达式。包详情面板的每个字段都可以作为比较值，通过在许多不同的比较操作建立比较过滤。应用这些作为过滤将会仅显示包含该字段的包。例如：过滤字符串:TCP将会显示所有包含TCP协议的包。,表1显示过滤比较操作符,也可以用逻辑操作符将过滤表达式组合在一起使用。表2显示过

9、滤逻辑操作符,查找目标包选择菜单”EditFind Packet”在对话框中输入要查找包的关键字或表达式就可以了,用户可以选择是针对过滤的包进行查找还是通过16进制值进行查找,或是通过字符串进行查找;查找到目标包以后可以通过ctrl+n组合键继续查找下一个;ctrl+b查找上一个,Wireshark的使用,标记包为了方便查找与操作,我们可以将感兴趣的包做上标记以便迅速找到,选中某个包,然后点击右键菜单,选择”Mark packet”就可以了,Wireshark的使用,标记包除了标记单个包,可以选择”EditMark all packet”对所有包进行标记,Wireshark的使用,反标记包被标

10、记的包都会变成黑色；同样可以选择”EditUnMark all packet”对所有包进行还原(反标记),Wireshark的使用,Wireshark常用快捷键介绍从可用网络接口列表开始抓包,点击”工具栏”左边第一个按钮,Wireshark的使用,Wireshark常用快捷键介绍从网络接口列表中选择一个网卡,点击”Start”开始抓包,Wireshark的使用,Wireshark常用快捷键介绍点击”工具栏”左边第二个按钮,Wireshark的使用,Wireshark常用快捷键介绍以下是抓包的选项设置,可以对抓包规则进行详细设定,Wireshark的使用,Wireshark常用快捷键介绍点击”工

11、具栏”左边第三个按钮,可以进行实时抓包,Wireshark的使用,Wireshark常用快捷键介绍点击”工具栏”左边第4个按钮,停止抓包,Wireshark的使用,Wireshark的使用,常见错误：在组合表达式中使用!=操作符，像eth.addr,ip.addr,tcp.port,udp.port等元素可能会产生非预期效果。例如要构造表达式来排除ip地址为1.2.3.4的包，正确的表达式应该是!(ip.addr=1.2.3.4)而不是ip.addr!=1.2.3.4。,Wireshark的使用,按指定协议解析数据包在包列表面板选中包，右键选择Decode As，在Decode As对话框选择

12、协议，按指定的协议解析数据包。,Wireshark的使用,5、文件输入输出打开已捕获的数据包文件Wireshark可以读取以前保存的文件。想读取这些文件，只需选择菜单或工具栏的：“File/Open”。Wireshark将会弹出打开文件对话框。你可以在打开文件后修改显示过滤器和名称解析设置。但在一些大文件中进行这些操作将会占用大量的时间。在这种情况下建议在打开文件之前就进行相关过滤、解析设置。另外，也可以直接从文件管理器拖动你想要打开的文件到Wireshark主窗口。,Wireshark的使用,保存已捕获的数据包通过File-Save As.菜单保存已捕获的数据包。在保存时可以选择保存哪些包，

13、以什么格式保存：输入指定的文件名。选择保存的目录。选择保存包的范围。通过点击“保存类型”下拉列表指定保存文件的格式。可以将Wireshark捕获的包保存为其默认格式文件(libpcap)，也可以保存为其他格式供其他工具进行读取分析。比如保存文件时候选择格式 NA Sniffer（Windows）2.00 x(*.cap)以便Sniffer进行读取分析。点击保存(S)按钮保存。,Wireshark的使用,合并数据包文件有时候你需要将多个捕捉文件合并到一起。例如：如果你对多个接口同时进行捕捉，合并就非常有用。可以使用如下方法合并捕捉文件：1、从File-Merge，打开合并对话框。通过该对话框可以

14、选择需要合并的文件，与当前打开的数据包文件进行合并。可以通过以下三种方式合并：将包插入已存在文件前、按时间顺序合并文件、追加包到当前文件。2、使用拖放功能，将多个文件同时拖放到主窗口。Wireshark会创建一个临时文件尝试对拖放的文件按时间顺序进行合并。如果你只拖放一个文件，Wireshark只是简单地替换已经打开的文件。,Wireshark的使用,文件集在进行捕捉时如果设置Multiple Files/多文件选项，捕捉数据会分割为多个文件，称为文件集合。大量文件手动管理十分困难，Wirreshark的文件集合特性可以让文件管理变得方便一点。使用File菜单项的子菜单File Set可以对文

15、件集合集合进行很方便的控制。如下图：单击单选钮，当前文件会被关闭，同时载入对应的文件。注意:前提是你目前打开的文件为文件集中的某个文件才能使”File Set”命令有效,Wireshark的使用,导出数据Wireshark支持多种方法，多种格式导出包数据。从“File-Export-File”，打开导出数据对话框：指定导出包数据的文件名。选择文件保存路径。选择文件保存类型。导出包数据为文本文件，常用于打印数据包；导出包数据摘要为CVS格式，可以被Excel使用。常用来做相关统计；选择需要导出的数据包范围。选择保存按钮。,Wireshark的使用,统计分析Wireshark提供了多种多样的网络统

16、计功能。包括捕获数据包文件的基本信息(比如包的数量)，对指定协议的统计(例如，统计包文件内HTPP请求和应答数)等等。,统计摘要统计摘要主要包括当前网络数据包文件的一些基本信息。比如文件名、文件大小、第一个包和最后一个包的时间戳、网络传输的相关统计等。如果设置了显示过滤，统计信息会显示成两列。Captured列显示过滤前的信息，Displayed列显示过滤后对应的信息。,Wireshark的使用,会话统计一个网络会话，指的是两个特定端点之间发生的通信。例如，一个IP会话是两个IP地址间的所有通信。从“Statistics-Conversations”，打开会话统计信息窗口。在该窗口中，每个支持

17、的协议，都显示为一个选项卡。选项标签显示被捕捉端点数目(例如：“Ethernet:30”表示有30个Ethernet端点被捕捉到)。如果某个协议没有端点被捕捉到，选项标签显示为灰色。列表中每行显示单个端点的统计信息。,Wireshark的使用,流量统计曲线图：从Statistics-IO Graphs，打开流量统计信息窗口。Wireshark根据用户配置生成曲线图。用户可以对一下内容进行设置：Graphs Graph 1-5:开启1-5图表(默认仅开启graph 1)Color:图表的颜色(不可修改)Filter:指定显示过滤器Style:图表样式(Line/Impulse/FBar)X Ax

18、is Tick interval 设置X轴的每格代表的时间(10/1/0.1/0.01/0.001 seconds)Pixels per tick 设置X轴每格占用像素(10/5/2/1 pixels)Y Axis Unit y轴的单位(Packets/Tick,Bytes/Tick,Bits/Tick,Advanced.)Ssale Y轴单位的刻度(10,20,50,100,200,500,.),Wireshark的使用,服务响应时间服务响应时间是发送请求到产生应答之间的时间间隔。响应时间在很多协议中可用，比如H.225 RAS。从Statistics-Service Response Ti

19、me，选择所要查看的协议类型，打开服务响应时间信息窗口。下图为H.225 RAS 服务响应时间.,Wireshark的使用,FQA：使用接口列表中默认的第一个接口时候，为什么捕获不到数据？接口列表中的第一个接口为环回接口，Wireshark在windows平台下不支持环回接口捕获。选择正确的接口然后进行数据包捕获。在接口列表中显示多个接口，如何确定哪个接口为本pc的网卡？选择Capture-Interface，可以在Interface对话框中根据接口的IP地址来确定PC所对应的网卡。为何在非混杂模式下，Wireshark依然捕获到不希望看到的网络包？在非混杂模式下可捕获含本网卡地址单播包、具有多播地址且与本网卡地址配置相吻合的数据包、广播包。而在混杂模式下，Wireshark除捕获上述类型的数据包外，与本网卡地址配置不吻合的组播包也会被捕获下来。如果有其他应用程序将网卡设置成混杂模式的话，Wireshark只能在混杂模式下进行捕获，虽然当前Wireshark设置为非混杂模式进行捕获。比如ifconfig指令会把网卡设置成混杂模式。,