Wireshark介紹.ppt

實(shí)驗(yàn)一Wireshark介紹,王佳軍2014.10.9,數(shù)據(jù)通信和計(jì)算機(jī)網(wǎng)絡(luò),王佳軍郵箱驗(yàn)室：張江校區(qū)計(jì)算機(jī)樓314,講解內(nèi)容,基礎(chǔ)知識(shí)Wireshark歷史Wireshark的功能特點(diǎn)Wireshark的使用,OSI模型,Internet參考模型,Internet參考模型,應(yīng)用層能與應(yīng)用程序界面溝通，以達(dá)到展示給用戶的目的。在此常見的協(xié)議有:HTTP，HTTPS，F(xiàn)TP，TELNET，SSH，SMTP，POP3等。運(yùn)輸層在應(yīng)用層之下，為在不同主機(jī)上運(yùn)行的應(yīng)用進(jìn)程之間提供邏輯服務(wù)。在運(yùn)輸層中最普遍用到的協(xié)議是TCP協(xié)議和UDP協(xié)議。盡管在網(wǎng)絡(luò)中可能會(huì)發(fā)生分組丟失和重排序，但是TCP能夠提供可靠的、順序的數(shù)據(jù)傳輸，而UDP是一個(gè)不可靠的傳輸協(xié)議。網(wǎng)絡(luò)層負(fù)責(zé)把傳送的數(shù)據(jù)從網(wǎng)絡(luò)中的一臺(tái)機(jī)器傳送到另一臺(tái)機(jī)器。在網(wǎng)絡(luò)中，Internet網(wǎng)絡(luò)中網(wǎng)絡(luò)層的協(xié)議是IP協(xié)議。它根據(jù)分組中的IP目的地址，盡力完成端到端（源主機(jī)與目的主機(jī)）的傳輸。網(wǎng)絡(luò)層通信的路徑由一系列通信鏈路組成，從源主機(jī)開始，經(jīng)過一系列的網(wǎng)絡(luò)設(shè)備如路由器，在目的主機(jī)結(jié)束。分組是如何通過各段獨(dú)立鏈路的？數(shù)據(jù)鏈路層的任務(wù)是將網(wǎng)絡(luò)層的數(shù)據(jù)報(bào)通過路徑中的單段鏈路從一個(gè)節(jié)點(diǎn)“移動(dòng)”到臨近的節(jié)點(diǎn)。,Wireshark基本情況,Wireshark是網(wǎng)絡(luò)包分析工具(packetsniffer)。網(wǎng)絡(luò)包分析工具的主要作用是嘗試捕獲網(wǎng)絡(luò)包，并嘗試顯示包的盡可能詳細(xì)的情況，Wireshark可能是今天能使用的最好的開源網(wǎng)絡(luò)分析軟件目前最新開發(fā)版1.12.0rc3，穩(wěn)定版1.12.1下載:免費(fèi)使用（GNUGPL包括幫助文件）/download.html,Wiresahrk簡史,1997年，GeraldCombs需要一個(gè)工具追蹤網(wǎng)絡(luò)問題并想學(xué)習(xí)網(wǎng)絡(luò)知識(shí)，開始開發(fā)Ethereal(Wireshark項(xiàng)目以前的名稱)。1998年，0.2.0版誕生了。GilbertRamirez發(fā)現(xiàn)它的潛力，并為其開發(fā)了一個(gè)底層分解器。1998年10月，GuyHarris開始為Ethereal進(jìn)行改進(jìn)，并開發(fā)分解器。1998年以后，RichardSharpe開始從事Ethereal的分析及改進(jìn)。2006年，Ethereal項(xiàng)目更名為WiresharkSource：/docs/wsug_html_chunked/ChIntroHistory.html,Wireshark功能,支持UNIX和Windows等多平臺(tái)在接口實(shí)時(shí)捕捉包能詳細(xì)顯示包的詳細(xì)協(xié)議信息可以打開/保存捕捉的包可以導(dǎo)入導(dǎo)出其他捕捉程序支持的包數(shù)據(jù)格式可以通過多種方式過濾包多種方式查找包通過過濾以多種色彩顯示包創(chuàng)建多種統(tǒng)計(jì)分析,Wireshark實(shí)現(xiàn),基于分解器（dissector）網(wǎng)絡(luò)上每一層的協(xié)議都有對(duì)應(yīng)的分解器，分解器的作用是把每一層的信息分解，顯示出首部字段，把有效載荷字段（payload）傳遞給向上一層的分解器，以達(dá)到逐層分解的目的分解器有兩種實(shí)現(xiàn)方式：作為主程序中的模塊實(shí)現(xiàn)，或作為插件實(shí)現(xiàn),Wireshark不能做的事,Wireshark不是入侵檢測系統(tǒng)。Wireshark不會(huì)處理網(wǎng)絡(luò)事務(wù)，它僅僅是“測量”(監(jiān)視)網(wǎng)絡(luò)。,Wireshark主界面,CaptureOptions,CaptureOptions,CaptureOptions選項(xiàng),Interface:指定在哪個(gè)接口（網(wǎng)卡）上抓包。單網(wǎng)卡下使用缺省的就可以了。如果同時(shí)擁有以太網(wǎng)接口和無線網(wǎng)絡(luò)接口，必須選擇一個(gè)進(jìn)行監(jiān)測。,CaptureOptions選項(xiàng),Usepromiscuousmodeonallinterfaces:是否打開混雜模式。如果打開，抓取所有的數(shù)據(jù)包。一般情況下只需要監(jiān)聽本機(jī)收到或者發(fā)出的包，因此應(yīng)該關(guān)閉這個(gè)選項(xiàng)。在混雜模式下，捕獲分組前，必須得到網(wǎng)絡(luò)管理員的允許或網(wǎng)絡(luò)用戶的同意。,CaptureOptions選項(xiàng),CaptureFilter：抓包過濾器。只抓取滿足過濾規(guī)則的包，用在抓包過程中限制捕獲的數(shù)據(jù)量。抓包過濾器使用的是libcap過濾器語言，在Wiresharkhelp中有詳細(xì)的解釋?；窘Y(jié)構(gòu)是：notprimitiveandornotprimitive.。例如:nottcpport3389，tcpporthttp,CaptureOptions選項(xiàng),File：如果需要將抓到的包寫到文件中，在這里輸入文件名稱。usemultiplefiles：是否使用循環(huán)緩沖。注意，循環(huán)緩沖只有在寫文件的時(shí)候才有效。如果使用了循環(huán)緩沖，還需要設(shè)置文件的數(shù)目，文件多大時(shí)回卷。,CaptureOptions選項(xiàng),其他的項(xiàng)選缺省值就可以。Displayoptions(顯示選項(xiàng)):默認(rèn)情況下，分組的顯示與它們被捕獲時(shí)的狀態(tài)不一樣?？梢赃x擇觀察實(shí)時(shí)更新的分組項(xiàng)，然后可選擇讓顯示屏自動(dòng)滾動(dòng)最后捕獲的分組。Nameresolution(名字解析):把分組中的數(shù)字轉(zhuǎn)化成名字。默認(rèn)是:MAC地址解析和傳輸名字解析。,CaptureOptions選項(xiàng),StopCaptureAutomaticallyAfter:控制在一定數(shù)量的分組、跟蹤記錄到達(dá)一定的大小或者一個(gè)特定的時(shí)間后停止跟蹤。點(diǎn)擊Start，Wireshark就開始捕獲分組并顯示捕獲統(tǒng)計(jì)窗口。點(diǎn)擊Stop，停止捕獲。,Wireshark顯示過濾器,顯示過濾器:在顯示所有分組的同時(shí)限制所顯示的分組?？梢愿鶕?jù)協(xié)議、是否存在某個(gè)域、域值、域值之間的比較來查找你感興趣的包.在Wireshark窗口的左上角的Filter中輸入過濾條件。注意:只有在Filter的背景是綠色，你設(shè)定的Filter是正確的。當(dāng)背景是紅色的，說明你設(shè)定的Filter是Wireshark不允許的。,DisplayFilter,值比較表達(dá)式可以使用下面的操作符:=,!=,表達(dá)式組合可以使用下面的邏輯操作符:&,|,!例如:顯示從IP發(fā)出和發(fā)往它的分組:輸入(ip.dst=)|(ip.src=)查看使用tcp協(xié)議的包:輸入tcp,通過界面設(shè)置DisplayFilter,DisplayFilterReference,DisplayFilterReference：/docs/dfref/如：對(duì)于IP協(xié)議，顯示過濾器可參見/docs/dfref/i/ip.html,跟蹤記錄,在一定時(shí)間內(nèi)抓包，把跟蹤結(jié)果存放在一個(gè)文件中，如test.cap文件中。然后打開文件進(jìn)行查看。對(duì)捕獲的分組進(jìn)行分析。,包分析,跟蹤列表框,協(xié)議層框,原始分組層,列表框,顯示所捕獲分組的列表,編號(hào),時(shí)間,源IP,目的IP,最高層協(xié)議,分組長度,信息,協(xié)議層框,協(xié)議層框顯示所選分組的各層的分層協(xié)議:鏈路層幀（frame）、網(wǎng)絡(luò)層數(shù)據(jù)報(bào)（datagram）、運(yùn)輸層的報(bào)文段（segment）、應(yīng)用層的報(bào)文（messa