Wireshark高級技巧

1、Wireshark高級技巧內容提要：Ø 顯示過濾器的用法Ø 捕捉過濾器的功能及用法Ø Wireshark遠程抓包Ø 包的拼接和任意拆解顯示過濾器顯示過濾器是我們用得最多的，大家對他的用法應該也比較了解，這里重新介紹一下顯示過濾器的語法，并且附上一些我們平常會用得比較多的典型表達式。l 語法協(xié)議.字符串1.字符串2 比較運算符 值 邏輯操作符 其它表達式例: sip auth domain = or rtp這里，“協(xié)議”字段可為wireshark所有支持的協(xié)議，支持的協(xié)議可以從wireshark的“Internals”中找到，“字符串1”“字符串2”是對協(xié)

2、議的類型限制，“比較運算符”用來嚴格指定協(xié)議的“值”，邏輯操作符用來連接多個表達式。比較運算符有下面6種：英文寫法C語言寫法含義eq=等于ne!-不等于gt>大于lt<小于ge>=大于等于le<=小于等于邏輯運算符有下面4種：英文寫法C語言寫法含義and&&邏輯與or|邏輯或xor異或not！邏輯非l 常用實例過濾器意義eth.vlan.id = 1024顯示VLAN ID為1024的所有流量eth.addr = 00:11:11:11:11:11顯示MAC地址為00:11:11:11:11:11的所有流量eth.src = 00:11:11:11:11

3、:11顯示源MAC地址為00:11:11:11:11:11的所有流量eth.dst = 00:11:11:11:11:11顯示目的MAC地址為00:11:11:11:11:11的所有流量eth.src = 00:11:11:11:11:11 && eth.dst = 00:11:11:11:11:12顯示源MAC地址為00:11:11:11:11:11和目的MAC地址為00:11:11:11:11:12的所有流量eth.addr = 00:11:11:11:11:11顯示MAC地址為00:11:11:11:11:11的所有流量arp顯示所有ARP流量arp.src.hw = 0

4、0:11:11:11:11:11顯示所有ARP源硬件地址為00:11:11:11:11:11的流量icmp顯示所有ICMP報文icmp && eth.src = 00:11:11:11:11:11顯示所有MAC地址為00:11:11:11:11:11的ICMP報文icmp.type = 8顯示所有ICMP請求icmp.type = 0顯示所有ICMP應答ip顯示所有IP報文ip.addr=ip.src=或ip.src_host=顯示所有源IP地址為的流量ip.dst=或

5、ip.dst_host=顯示所有目的IP地址為的流量ip.src= and ip.dst!=顯示所有源IP地址為而目的IP地址不為的流量ip.dst=/24顯示所有到達網(wǎng)絡/24的IP流量icmp | dns | snmp 顯示icmp和dns和snmp包tcp.port = 23顯示端口號為23的流量，即顯示所有telnet的流量tcp.dstport = 23顯示目標端口號為23的流量，即顯示到telnet服務器的流

6、量tcp.port =20 | tcp.port = 21顯示所有FTP流量tcp.port = 53顯示所有DNS包，當DNS查詢方式為TCP時dns顯示所有DNS包，當DNS查詢方式為UDP時sip顯示所有SIP包sip or rtp顯示所有sip包和rtp包udp.port = 5060顯示所有端口號為5060的包bootp顯示所有dhcp或者bootp包tcp.port = 20 or tcp.port = 21顯示所有FTP包sip.Request-Line顯示所有SIP請求包sip.Status-Line顯示所有SIP狀態(tài)包sip.P-Preferred-Identity顯示所有含

7、有PPI域的SIP包暫時列這么多了，其他表達式待以后想起來再添加，若想要查詢更多的表達式，可以點“Expression”獲?。翰蹲竭^濾器 大家在使用Wireshark時一般都沒有使用捕捉過濾器，這樣做的后果是抓到了大量自己并不需要的數(shù)據(jù)包，這些不相干的數(shù)據(jù)包嚴重影響到了我們對問題的分析與定位。而且如果長時間抓包時，若使用常規(guī)抓包模式，抓到的大量數(shù)據(jù)包會影響電腦的性能，以及抓到的包占用很大的磁盤空間不利于存儲與傳送。特別是在測試或者比較大型的網(wǎng)絡環(huán)境時，所有設備處在同一個廣播域，如果使用常規(guī)的抓包方式將會有大量不是自己需要的包被wireshark捕獲，比如同時捕獲了多臺設備的SIP包但是自己只需

8、要其中一臺設備的SIP包，這樣勢必給自己的分析帶來不利，而如果使用捕捉過濾器抓包，那抓到的包將完全是自己想要的包，而其他不想要的包都將會被wireshark排除在外，所以大家應該熟悉如何使用捕捉過濾器。l 使用捕捉過濾器打開wireshark后，點擊工具欄的第二個按鈕，或者選擇capture->options即可設置捕捉過濾器，選定用于抓包的網(wǎng)卡，填寫好捕捉規(guī)則點擊start即可按過濾器抓取網(wǎng)絡包。l 捕捉過濾器語法捕捉過濾器語法與顯示過濾器的語法不一樣，具體如下：協(xié)議 字符串 值 邏輯操作符 方向 host 主機 其它表達式例 udp port 5060 and src host 10

9、.0.0.1l 使用實例下面列舉一些用得比較多的實例，相信通過使用捕捉過濾器，抓的包將變得更小更有利于網(wǎng)絡分析，給工作帶來極大的便利。過濾器意義ether src host 00:08:15:00:08:15僅抓取源MAC地址為00:08:15:00:08:15的網(wǎng)絡包src host 僅抓取源IP地址為的網(wǎng)絡包host 僅抓取源或目的IP地址為的網(wǎng)絡包not host 僅不抓取IP地址為的網(wǎng)格包ip僅抓取ip協(xié)議的網(wǎng)絡包tcp僅抓取tcp協(xié)議的網(wǎng)絡包udp僅抓取

10、udp協(xié)議的網(wǎng)絡包port 53僅抓取端口號為53的UDP或者TCP網(wǎng)絡包port 5060僅抓取端口號為5060的UDP或者TCP網(wǎng)絡包tcp dst port 53僅抓取目標端口為53的所有網(wǎng)絡包portrange 80-1024僅抓取端口范圍為80到1024的所有網(wǎng)絡包host and not (port 161 or port 162 or port 80 or port 23 or arp or icmp)僅抓取IP地址為而且不含SNMP和HTTP和Telnet和ARP和ICMP的網(wǎng)絡包遠程抓包Wireshark支持remote pack

11、et capture protocol協(xié)議遠程抓包，只要在遠程主機上安裝Winpcap的rpcapd服務例程就可以，在Windows系統(tǒng)上，只要安裝了Winpcap都會安裝rpcapd工具，找到Winpcap的安裝目錄即可找到rpcapd服務器程序，雙擊rpcapd.exe即可開啟rpcapd服務，其默認端口號為2002。對于Linux，下載wpcap代碼按如下方式編譯即可：#unzip WpcapSrc_4_1_2.zip #cd winpcap/wpcap/libpcap #chmod +x configure runlex.sh #CFLAGS=-static ./configure&#

12、160;#make #cd rpcapd #make 啟動rpcapd服務含如下兩種模式：普通服務模式：./rpcapd -n 守護進程模式：./rpcapd -n -dl 連接遠端wireshark打開wireshark，點擊工具欄的第二個按鈕，或者選擇capture->options，然后Interface選擇Remote，填寫好遠端Wireshark的IP地址和端口號，驗證方式選取Password驗證，然后填寫管理員的用戶名和密碼點OK即可連接上遠端機器，連上之后再選取用于抓包的網(wǎng)絡接口卡，設置捕捉過濾器等等即可開始抓取遠端的網(wǎng)絡包了。包的拼接與任意拆解利用wiresha

13、rk即可以非常容易地使用包的拼接與拆解功能，該功能可以應用到以下情況Ø 在有時候即使使用捕捉過濾器也抓到了很多自己不需要的包，自己想提取里面一部分或幾部分的包Ø 在有時候自己在不同時間或者不同地點的抓取的幾個包想拼湊成一個包。Ø 其他特殊情況。l 功能使用步驟一、 包的拼接1) 用wireshark打一個需要拼接的包2) 點擊Wireshark的File->Merge，然后選中一個將要被拼接的包，在該對話框下面設置接接方式和顯示過濾器等。如圖：說明：Prepend packets to existing find：將包拼接在當前包的前面Merge packe

14、ts chronologically：將包按時間順序插入到當前包中Append packets to existing file：將包拼接在當前包的后面二、 包的拆解1) 用wireshark打開一個需要拆解的包文件2) 打開菜單File->Save as，可以看到對話框下面有一些保存選項，即Packet Range，這里可以定義按什么樣的方將包拆解成自己想要的包。選好后填好文件名保存即可完成拆解。說明：Ø All packets：所有包Ø Selected packet：選中的包Ø Marked packets：做了標記的包Ø First to

15、last marked：從第一個標記的包到最后一個標記的包Ø Range：選擇范圍，支持多個范圍，不同范圍中間用逗號連接Ø Captured：已捕獲的包，未加顯示過濾器的限制時的包個數(shù)Ø Displayed：已顯示的包，加了顯示過濾器的限制時的包個數(shù)l 使用實例1) 僅拆解出過濾出來的包假如我們有一些包僅想將里面滿足過濾器條件的包拆解出來，那么我們先在顯示過濾器里面設置好過濾器，然后“Save as”的時候選擇All packets的Displayed選項就可以只保存我們在過濾器里面顯示的包了。這里以只拆解出sip協(xié)議包為例，如圖：從圖中可以看出，經(jīng)過這樣設置后我

16、們只保存了滿足條件的130個包了。2) 僅拆解出選中的包首先我們要在抓到的包里面選中我們想要拆解出來的包，選中一個包只需用鼠標左鍵單擊該包即可，就是這么簡單。然后“Save as”的時候選擇Selected packet的選項就可以只保存我們選中的包了。3) 僅拆解出做了標記的包給一個包做標記非常簡單，只需右鍵單擊一個包，然后選擇Mark Packet即可，可以通過多次標記來標記多個包標記好然后“Save as”的時候選擇Marked packet的選項就可以只保存我們做了標記的包了。4) 僅拆解出從第一個標記的包到最后一個標記的包設置好第一個標記的包和最后一個標記的包，然后在保存的時候選擇First to l