1、培訓目的通過本課程的學習，您將能夠：了解WireShark的界面組成熟悉WireShark的基本操作適用對象： 測試、開發(fā)、網絡工程人員內容綱要網絡截包的理論基礎Wireshark 概述Wireshark常用功能功能界面介紹過濾器捕捉過濾器顯示過濾器Follow TCP Stream統(tǒng)計工具以太網絡的工作原理（1）載波偵聽/沖突檢測(CSMA/CD, carrier sense multiple access with collision detection)技術載波偵聽：是指在網絡中的每個站點都具有同等的權利，在傳輸自己的數據時，首先監(jiān)聽信道是否空閑如果空閑，就傳輸自己的數據如果信道被占用，

2、就等待信道空閑而沖突檢測則是為了防止發(fā)生兩個站點同時監(jiān)測到網絡沒有被使用時而產生沖突以太網采用了CSMA/CD技術，這是捕獲數據包的物理基礎。以太網絡的工作原理（2）以太網是一種總線型的網絡，從邏輯上來看是由一條總線和多個連接在總線上的站點所組成各個站點采用上面提到的 CSMA/CD 協(xié)議進行信道的爭用和共享。每個站點網卡實現這種功能。網卡主要的工作是完成對于總線當前狀態(tài)的探測，確定是否進行數據的傳送，判斷每個物理數據幀目的地是否為本站地址，如果不匹配，則說明不是發(fā)送到本站的而將它丟棄。如果是的話，接收該數據幀，進行物理數據幀的 CRC 校驗，然后將數據幀提交給LLC 子層。以太網卡的工作方式

3、網卡的MAC地址(48位)通過ARP來解析MAC與IP地址的轉換用ipconfig/ifconfig可以查看MAC地址正常情況下，網卡應該只接收這樣的包MAC地址與自己相匹配的數據幀（單播包）廣播包（Broadcast）和屬于自己的組播包（Multicast）網卡完成收發(fā)數據包的工作，兩種接收模式混雜模式：不管數據幀中的目的地址是否與自己的地址匹配，都接收下來非混雜模式：只接收目的地址相匹配的數據幀，以及廣播數據包和組播數據包單播、組播和廣播共享網絡和交換網絡共享式網絡通過網絡的所有數據包發(fā)往每一個主機；最常見的是通過HUB連接起來的子網；交換式網絡通過交換機連接網絡；由交換機構造一個“MAC

4、地址-端口”映射表；發(fā)送包的時候，只發(fā)到特定的端口上；交換機的鏡像端口功能共享網絡和交換網絡ABCDto C鏡像端口WIRESHARK概述概 述發(fā)展簡史：1998年由Gerald Combs 完成第一個Ethereal(Wireshark前身)版本的開發(fā)。此后不久，Gilbert Ramirez發(fā)現它的潛力，并為其提供了底層分析1998年10月，Guy Harris正尋找一種比TcpView更好的工具，他開始為Ethereal進行改進，并提供分析。1998年以后，正在進行TCP/IP教學的Richard Sharpe 關注了它在這些課程中的作用。并開始研究該軟件是否他所需要的協(xié)議。如果不行，新

5、協(xié)議支持應該很方便被添加。所以他開始從事Ethereal的分析及改進。從那以后，幫助Ethereal的人越來越多，他們的開始幾乎都是由于一些尚不被Ethereal支持的協(xié)議。所以他們拷貝了已有的解析器，并為團隊提供了改進回饋。2006年重新命名為Wireshark.概 述Wireshark的原名是Ethereal，新名字是2006年起用的。當時Ethereal的主要開發(fā)者決定離開他原來供職的公司，并繼續(xù)開發(fā)這個軟件。但由于Ethereal這個名稱的使用權已經被原來那個公司注冊，Wireshark這個新名字也就應運而生了。 Wireshark的優(yōu)勢：安裝方便。簡單易用的界面。提供豐富的功能。局限

6、： 本機程序之間進行的網絡通信無法攔截。 不會處理網絡事務，它僅僅是“測量”(監(jiān)視)網絡。 不會發(fā)送網絡包或做其它交互性的事情。概 述支持的系統(tǒng)：WindowsAPPle Mac OSXDebian GNU/LinuxFreeBSDNetBSDOpenPKGRed Hat Fedora/Enterprise Linux概 述官方網站：/維基網站地址：/中文用戶手冊：http:/ “居心叵測”的用它來尋找一些敏感信息Wireshark不是入侵檢測軟件（Intrusion DetectionSoftwar

7、e,IDS）。對于網絡上的異常流量行為，Wireshark不會產生警示或是任何提示。然而，仔細分析 Wireshark截取的封包能夠幫助使用者對于網絡行為有更清楚的了解。Wireshark不會對網絡封包產生內容的修改，它只會反映出目前流通的封包資訊。 Wireshark本身也不會送出封包至網絡上。功能界面介紹MENUS（菜單）（菜單）SHORTCUTS（快捷方式）（快捷方式） DISPLAY FILTER（顯示過濾器）（顯示過濾器）PACKET LIST PANE（封包列表（封包列表)PACKET DETAILS PANE（封包詳細信息）（封包詳細信息）DISSECTOR PANE（16進制數

8、據）進制數據）MISCELLANOUS（雜項）（雜項）File（文件） 打開或保存捕獲的信息。 Edit （編輯）查找或標記封包。進行全局設置。View（查看） 設置Wireshark的視圖。 Go （轉到）跳轉到捕獲的數據。Capture（捕獲）設置捕捉過濾器并開始捕捉。Analyze（分析）設置分析選項。Statistics （統(tǒng)計）查看Wireshark的統(tǒng)計信息。 Help （幫助）查看本地或者在線支持。 Help 幫助Contents Wireshark 使用手冊Supported Protocols Wireshark支持的協(xié)議清單Manual Pages 使用手冊（HTML網頁）

9、Wireshark Online Wireshark 在線About Wireshark 關于WiresharkANSI 按照美國國家標準協(xié)會的ANSI協(xié)議分析Fax T38 Analysis. 按照T38傳真規(guī)范進行分析GSM 全球移動通信系統(tǒng)GSM的數據H.225 H.225 協(xié)議的數據MTP3 MTP3 協(xié)議的數據RTP 實時傳輸協(xié)議RTP的數據SCTP 數據流控制傳輸協(xié)議SCTP的數據SIP. 會話初始化協(xié)議SIP的數據VoIP Calls 互聯網IP電話的數據WAP-WSP 無線應用協(xié)議WAP和WSP的數據BOOTP-DHCP 引導協(xié)議和動態(tài)主機配置協(xié)議的數據Destinations

10、 通信目的端Flow Graph 網絡通信流向圖HTTP 超文本傳輸協(xié)議的數據IP address 互聯網IP地址ISUP Messages ISUP 協(xié)議的報文Multicast Streams 多播數據流ONC-RPC ProgramsPacket Length 數據包的長度Port Type 傳輸層通信端口類型TCP Stream Graph 傳輸控制協(xié)議TCP數據流波形圖Statistics對已捕獲的網絡數據進行統(tǒng)計分析Summary 已捕獲數據文件的總統(tǒng)計概況Protocol Hierarchy 數據中的協(xié)議類型和層次結構Conversations 會話Endpoints 定義統(tǒng)計分

11、析的結束點IO Graphs 輸入/輸出數據流量圖Conversation List 會話列表Endpoint List 統(tǒng)計分析結束點的列表Service Response Time 從客戶端發(fā)出請求至收到服務器 響應的時間間隔Analyze 對已捕獲的網絡數據進行分析Display Filters 選擇顯示過濾器Apply as Filter 將其應用為過濾器Prepare a Filter 設計一個過濾器Firewall ACL Rules 防火墻ACL規(guī)則Enabled Protocols 已可以分析的協(xié)議列表Decode As 將網絡數據按某協(xié)議規(guī)則解碼User Specified

12、Decodes 用戶自定義的解碼規(guī)則Follow TCP Stream 跟蹤TCP傳輸控制協(xié)議的通信數據段， 將分散傳輸的數據組裝還原Follow SSL stream 跟蹤SSL 安全套接層協(xié)議的通信數據流Expert Info 專家分析信息Expert Info Composite 構造專家分析信息Capture 捕獲網絡數據Interfaces 選擇本機的網絡接口 進行數據捕獲Options 捕獲參數選擇Start 開始捕獲網絡數據Stop 停止捕獲網絡數據Restart 重新開始捕獲Capture Filters 選擇捕獲過濾器Go 運行Back 向后運行Forward 向前運行Go

13、to packet 轉移到某數據包Go to Corresponding Packet 轉到相應的數據包Previous Packet 前一個數據包Next Packet 下一個數據包First Packet 第一個數據包Last Packet 最后一個數據包View 視圖Main Toolbar 主工具欄Filter Toolbar 過濾器工具欄Wireless Toolbar 無線工具欄Statusbar 運行狀況工具欄Packet List 數據包列表Packet Details 數據包細節(jié)Packet Bytes 數據包字節(jié)Time Display Format 時間顯示格式Name

14、resolution 名字解析（轉換： 域名/IP地址， 廠商名/MAC地址,端口號/端口名）Colorize Packet List 顏色標識的數據包列表Auto Scroll in Live Capture 現場捕獲時實時滾動Zoom In 放大顯示Zoom Out 縮小顯示Normal Size 正常大小Resize All Columns 改變所有列大小Expand Sub trees 擴展開數據包內封裝協(xié)議的子樹結構Expand All 全部擴展開Collapse All 全部折疊收縮Coloring Rules 對不同類型的數據包用 不同顏色標識的規(guī)則Show Packet in

15、New Window 將數據包顯示在一個新的窗口Reload 將數據文件重新加Edit 編輯Find Packet 搜索數據包Find Next 搜索下一個Find Previous 搜索前一個Mark Packet (toggle) 對數據包做標記（標定）Find Next Mark 搜索下一個標記的包Find Previous Mark 搜索前一個標記的包Mark All Packets 對所有包做標記Unmark All Packets 去除所有包的標記Set Time Reference (toggle) 設置參考時間 （標定）Find Next Reference 搜索下一個參考點F

16、ind Previous Reference 搜索前一個參考點Preferences 參數選擇File 打開文件Open 打開文件Open Recent 打開近期訪問過的文件Merge 將幾個文件合并為一個文件Close 關閉此文件Save As 保存為File Set 文件屬性Export 文件輸出Print 打印輸出Quit 關閉在菜單下面，是一些常用的快捷按鈕。在菜單下面，是一些常用的快捷按鈕。您可以將鼠標指針移動到某個圖標上以獲得其功能說明您可以將鼠標指針移動到某個圖標上以獲得其功能說明。顯示過濾器用于查找捕捉記錄中的內容。顯示過濾器用于查找捕捉記錄中的內容。請不要將捕捉過濾器和顯示過

17、濾器的概念相混淆。請參考請不要將捕捉過濾器和顯示過濾器的概念相混淆。請參考Wireshark過濾器中的詳細內容。過濾器中的詳細內容。 (tcp.port = 80 | udp.port = 80)&ip.addr=01說明：源地址和目的地址為01并且端口為80的所有數據包ip.addr=01 & http說明：源地址和目的地址為01并且協(xié)議為HTTP的所有數據包這里顯示的是在封包列表中被選中項目的詳細信息。這里顯示的是在封包列表中被選中項目的詳細信息。信息按照不同的信息按照不同的OS

18、I layer進行了分組，可以展開每個項目查看。下進行了分組，可以展開每個項目查看。下面截圖中展開的是面截圖中展開的是HTTP信息。信息。 “解析器解析器”在在Wireshark中也被叫做中也被叫做“16進制數據查看面板進制數據查看面板”。這里顯。這里顯示的內容與示的內容與“封包詳細信息封包詳細信息”中相同，只是改為以中相同，只是改為以16進制的格式表述。進制的格式表述。在上面的例子里，我們在在上面的例子里，我們在“封包詳細信息封包詳細信息”中選擇查看中選擇查看TCP端口端口（80），其對應的），其對應的16進制數據將自動顯示在下面的面板中（進制數據將自動顯示在下面的面板中（0050）。）。

19、過濾器 過濾器 在Wireshark中有兩種過濾器。捕捉過濾器：在抓包之前設置，讓Wireshark只抓取過濾器指定的包。顯示過濾器：在桌包之前或者完成抓包之后都可，不影響抓包，只是方便查看。 1.捕捉過濾器捕捉過濾器 2.顯示過濾器顯示過濾器點擊點擊show the capture options一：一：選擇本地的網絡適配器選擇本地的網絡適配器二：二：設置捕捉過濾設置捕捉過濾填寫填寫capture filter欄或者點擊欄或者點擊capture filter按鈕為您的過濾器起一個名按鈕為您的過濾器起一個名字并保存，以便在今后的捕捉中繼續(xù)使用這個過濾器。字并保存，以便在今后的捕捉中繼續(xù)使用這個

20、過濾器。填寫capture filter欄或者點擊capture filter按鈕為您的過濾器起一個名字并保存，以便在今后的捕捉中繼續(xù)使用這個過濾器。三：三：點擊開始點擊開始 可通過Capture菜單中的Interfaces打開網卡列表，然后點擊網卡右邊的“Start”按鈕開始抓包。或者單擊工具欄的第一個按鈕，和單擊Capture-Interfaces的效果一樣。 開始抓包后，Wireshark的主界面中會以不同的顏色顯示抓取到的不同的數據包。 如果要停止抓包，可通過工具欄中的Stop按鈕，或者Capture-Stop菜單項停止抓包。 停止抓包后我們可以將抓取到的數據包保存到文件供日后分析使用

21、。 可通過菜單File-Save(Save As) 或者工具欄上的保存按鈕。抓包模式 在開始抓包之前還可修改Wireshark的抓包選項。通過工具欄或者菜單Capture-Options 打開抓包選項設置界面。 這里可以設置很多選項，我們這里介紹一下 混雜模式 和 非混雜模式。混雜模式：抓取經過網卡的所有數據包，包括發(fā)往本網卡和非發(fā)往本網卡的。非混雜模式：只抓取目標地址是本網卡的數據包，對于發(fā)往別的主機而經過本網卡的數據包忽略。 如左圖中顯示的是 混雜模式 由于Wireshark是將抓包數據保存在內存當中，當抓包時間比較長，抓的包比較多時可能出現內存不夠用的情況。此時我們設置使用多個文件保存抓

22、包數據就可避免這種情況。 多個文件保存的方式可以是 每隔多久保存一個文件，也可以是 限制每個文件保存的大小，同時也可以設置限制文件個數。 默認情況下Wireshark是只使用一個臨時文件來保存抓包數據的。多文件自動保存抓包數據自動停止抓包 在無人值守情況下，可設置在如下條件下自動停止抓包： 抓到多少包之后；抓到多少包之后； 抓到多大數據量之后抓到多大數據量之后(存儲容量存儲容量)； 抓取多少分鐘之抓取多少分鐘之后。后。 設置設置CaptureCapture f filter ilter 步驟步驟: : -選擇 C Captureapture - O Options ptions 或者使用快捷鍵

23、Ctrl+K -填寫“Capture Filter”欄或者點擊“Capture Filter”按鈕為您的過濾器起一個名字并保存，以便在今后的捕捉中繼續(xù)使用這個過濾器 -點擊開始（Start）進行捕捉。CaptureCapture F Filter ilter 語法：語法：語法：語法： 例子：例子： iax2 dst 3 4569 and src 11iax2 dst 3 4569 and src 11 ProtocolProtocol（協(xié)議）（協(xié)議）: : 可能的值: ether, fddi, ip,

24、arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 如果沒有特別指明是什么協(xié)議，則默認使用所有支持的協(xié)議 DirectionDirection（方向）（方向）: 可能的值: src, dst, src and dst, src or dst 如果沒有特別指明來源或目的地，則默認使用 “src or dst” 作為關鍵字。 例如，“host 11”與“src or dst host 11”是一樣的。 Host(s): Host(s): 可能的值： net, port, host, portra

25、nge. 如果沒有指定此值，則默認使用“host”關鍵字。 例如，src 11與src host 11相同。 Logical Operations Logical Operations（邏輯運算）（邏輯運算）: 可能的值：not, and, or. 否(“not”)具有最高優(yōu)先級。或(“or”)和與(“and”)具有相同的優(yōu)先級，運算時從左至右進行。 例，“not tcp port 3128 and tcp port 23”與“(not tcp port 3128) and tcp port 23”相同。 not tcp port 3128 and

26、tcp port 23與not (tcp port 3128 and tcp port 23)不同。 實例：udp dst port 4569 顯示目的UDP端口為4569的封包。 ip src host 顯示來源IP地址為的封包。 host 顯示目的或來源IP地址為的封包。 src portrange 2000-5000 顯示來源為TCP或UDP，并且端口在20005000范圍內的封包。 not icmp 顯示除icmp以外的封包。 src host and not dst n

27、et /24 顯示來源IP地址為，但目的地址不是/24的封包。 (src host 2 or src net /16) and tcp dst portrange 200-10000 and dst net /8 顯示來源IP為2或者來源網絡為/16，目的地TCP端口號在200至10000之間，并且目的位于網絡/8內的所有封包。 1.捕捉過濾器捕捉過濾器 2.顯示過濾器顯示過濾器可以使用大量位于可以使用大量位于OSI模型第模型第2至至

28、7層的協(xié)議。點擊層的協(xié)議。點擊Expression.按按鈕后，可以看到它們。鈕后，可以看到它們。比如：比如：IP，TCP，DNS，SSH可以在如下所示位置找到所支持的協(xié)議：可以在如下所示位置找到所支持的協(xié)議：Wireshark的網站提供的網站提供了對各種了對各種 協(xié)議以及它們協(xié)議以及它們子類的說明。子類的說明。FILTERProtocolValueOtherexpressionString1String2ComparisonOperatorLogicalOperations 例子： ftp passive ip = or icmp.type Protocol（協(xié)議）:可

29、以使用大量位于OSI模型第2至7層的協(xié)議。點擊“Expression.”按鈕后，您可以看到它們。比如：IP，TCP，UDP，DNS，SSH語法：同樣可以在以下位置找到所支持的協(xié)議String1，String2（可選項）:以協(xié)議的子類。點擊相關父類旁的“+”號，然后選擇其子類。Comparison Operators（比較運算符）:可以使用以下幾種運算符：英文寫法英文寫法C語言寫法語言寫法含義含義eq=Equal ne!=Not Equal gtGreater Than lt=Greater than or Equal to le= 10frame.cap_len = 012frame.cap_

30、len = 0 xa八進制表達十六進制表達3、以太網地址和字節(jié)數組使用十六進制表示，十六進制的數字可以被“：”“.” “- ”分隔。 例如：4、IPv4地址可以被表示成點分十進制或者使用主機名表示。 例如：5、當使用IPv4子網劃分的時候，CIDR（Classless InterDomain Routing ）表示法也可以使用。 例如：以下的過濾器可以找到所有129.111的數據包： 斜線后面的數字用于表示子網占用的比特數。CIDR表示法也用于查找主機名，例如C類網絡中主機“sneezy”的IP地址。6、雙引號封裝字符串。 例如：eth.dsteqff:ff:ff:ff:ff:ffaim.data = 0.1.0.dfddi.src = aa-aa-aa-aa-aa-aaecho.data eq 7aip.dst eq ip.src = ip.addr/16ip.addr eq sneezy/24http.request.method = GETsnmp | dns | icmp 常用表達舉例：顯示SNMP或DNS或ICMP封包。 ip.addr = 顯示來源或目的IP地址為的封包。 ip.src != or ip.dst