Wireshark使用教程(同名17642)_第1頁(yè)
Wireshark使用教程(同名17642)_第2頁(yè)
Wireshark使用教程(同名17642)_第3頁(yè)
Wireshark使用教程(同名17642)_第4頁(yè)
Wireshark使用教程(同名17642)_第5頁(yè)
已閱讀5頁(yè),還剩2頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、學(xué)習(xí)文檔僅供參考wireshark使用手冊(cè)編寫(xiě):工程平臺(tái)組1. 軟件介紹wireshark 的原名是ethereal,新名字是2006 年起用的。當(dāng)時(shí)ethereal 的主要開(kāi)發(fā)者決定離開(kāi)他原來(lái)供職的公司,并繼續(xù)開(kāi)發(fā)這個(gè)軟件。但由于ethereal 這個(gè)名稱(chēng)的使用權(quán)已經(jīng)被原來(lái)那個(gè)公司注冊(cè), wireshark 這個(gè)新名字也就應(yīng)運(yùn)而生了。目前我們?cè)诠こ态F(xiàn)場(chǎng)可以利用wireshark 進(jìn)行 103、104、61850 站控層、 61850 過(guò)程層報(bào)文的捕獲和分析。2. 軟件界面簡(jiǎn)介2.1. menus 菜單程序上方的菜單項(xiàng)用于對(duì)wireshark 進(jìn)行配置:- file 文件- edit 編輯-

2、view 查看- go 轉(zhuǎn)到打開(kāi)或保存捕獲的信息。查找或標(biāo)記封包。進(jìn)行全局設(shè)置。設(shè)置 wireshark 的視圖。跳轉(zhuǎn)到捕獲的數(shù)據(jù)。學(xué)習(xí)文檔僅供參考- capture 捕獲- analyze 分析- statistics 統(tǒng)計(jì)- help 幫助設(shè)置捕捉過(guò)濾器并開(kāi)始捕捉。設(shè)置分析選項(xiàng)。查看 wireshark 的統(tǒng)計(jì)信息。查看本地或者在線支持。工具欄可進(jìn)行基本的抓包操作可獲取的網(wǎng)卡列表捕獲選項(xiàng)開(kāi)始捕獲 (需要先選定一個(gè)網(wǎng)卡)停止捕獲重新開(kāi)始捕獲2.2. display filter 顯示過(guò)濾器顯示過(guò)濾器用于查找捕捉記錄中的內(nèi)容。請(qǐng)不要將捕捉過(guò)濾器和顯示過(guò)濾器的概念相混淆。請(qǐng)參考 wireshar

3、k 過(guò)濾器中的詳細(xì)內(nèi)容。顯示過(guò)濾器將是我們?cè)诜治鰣?bào)文的過(guò)程中經(jīng)常會(huì)使用到的一個(gè)工具,通過(guò)“顯示過(guò)濾器”我們可以篩選指定的封包報(bào)文,例如在捕獲的61850 過(guò)程層報(bào)文中我們可以通過(guò)“顯示過(guò)濾器”篩選指定發(fā)送源mac 地址的封包數(shù)據(jù)。2.3. packet list pane 封包列表封包列表中顯示所有已經(jīng)捕獲的封包。在這里您可以看到發(fā)送或接收方的mac/ip地址,tcp/udp 端口號(hào),協(xié)議或者封包的內(nèi)容。如果捕獲的是一個(gè)osi layer 2 的封包,您在 source 來(lái)源和 destination目的地列中看到的將是mac 地址,當(dāng)然,此時(shí)port端口列將會(huì)為空。如果捕學(xué)習(xí)文檔僅供參考獲的

4、是一個(gè)osi layer 3 或者更高層的封包,您在source來(lái)源和destination目的地列中看到的將是 ip 地址。 port端口列僅會(huì)在這個(gè)封包屬于第4 或者更高層時(shí)才會(huì)顯示。我們可以在這里添加/刪除列或者改變各列的顏色:edit menu - preferences 2.4. packet details pane封包詳細(xì)信息這里顯示的是在封包列表中被選中項(xiàng)目的詳細(xì)信息。信息按照不同的osi layer 進(jìn)行了分組,您可以展開(kāi)每個(gè)項(xiàng)目查看。下面截圖中展開(kāi)的是信息2.5. dissector pane16 進(jìn)制數(shù)據(jù)“ 解析器 ” 在 wireshark 中也被叫做 “ 16 進(jìn)制數(shù)

5、據(jù)查看面板” 。這里顯示的內(nèi)容與“ 封包詳細(xì)信息 ”中相同,只是改為以16 進(jìn)制的格式表述。在上面的例子里,我們?cè)凇?封包詳細(xì)信息 ” 中選擇查看tcp 端口 80,其對(duì)應(yīng)的16 進(jìn)制數(shù)據(jù)將自動(dòng)顯示在下面的面板中0050。2.6. miscellanous雜項(xiàng)在程序的最下端,您可以獲得如下信息:- 正在進(jìn)行捕捉的網(wǎng)絡(luò)設(shè)備。- 捕捉是否已經(jīng)開(kāi)始或已經(jīng)停止。- 捕捉結(jié)果的保存位置。- 已捕捉的數(shù)據(jù)量。學(xué)習(xí)文檔僅供參考- 已捕捉封包的數(shù)量。(p) - 顯示的封包數(shù)量。(d) ( 經(jīng)過(guò)顯示過(guò)濾器過(guò)濾后仍然顯示的封包) - 被標(biāo)記的封包數(shù)量。(m) 3. 如何使用 wireshark 關(guān)于wiresha

6、rk 的使用,在工程現(xiàn)場(chǎng)我們主要關(guān)注“捕捉過(guò)濾器”和“顯示過(guò)濾器”的使用。即,如何進(jìn)行報(bào)文捕獲,如何對(duì)捕獲的報(bào)文進(jìn)行篩選。3.1. 捕捉過(guò)濾器僅介紹,此功能現(xiàn)場(chǎng)較少使用設(shè)置捕捉過(guò)濾器的步驟是:- 選擇capture - options 。- 填寫(xiě) capture filter 欄或者點(diǎn)擊 capture filter 按鈕為您的過(guò)濾器起一個(gè)名字并保存,以便在后的捕捉中繼續(xù)使用這個(gè)過(guò)濾器。- 點(diǎn)擊開(kāi)始 start進(jìn)行捕捉。學(xué)習(xí)文檔僅供參考語(yǔ)法:protocoldirectionhost(s)value logicaloperationsother expression例子:tcpdst10.1.

7、1.180andtcp dst 10.2.2.2 3128protocol協(xié)議 :可能的值 : ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.如果沒(méi)有特別指明是什么協(xié)議,則默認(rèn)使用所有支持的協(xié)議。direction 方向 :可能的值 : src, dst, src and dst, src or dst如果沒(méi)有特別指明來(lái)源或目的地,則默認(rèn)使用src or dst 作為關(guān)鍵字。例如, host 10.2.2.2 與src or dst host 10.2.2.2 是一樣的。host(s):可能的值:

8、net, port, host, portrange.如果沒(méi)有指定此值,則默認(rèn)使用host關(guān)鍵字。學(xué)習(xí)文檔僅供參考例如, src 10.1.1.1與src host 10.1.1.1 相同。logical operations 邏輯運(yùn)算 :可能的值: not, and, or.否 (not) 具有最高的優(yōu)先級(jí)?;?or) 和與 (and) 具有相同的優(yōu)先級(jí),運(yùn)算時(shí)從左至右進(jìn)行。例如,not tcp port 3128 and tcp port 23 與 (not tcp port 3128) and tcp port 23 相同。not tcp port 3128 and tcp port 2

9、3 與 not (tcp port 3128 and tcp port 23) 不同。3.2. 顯示過(guò)濾器重要3.2.1. 顯示過(guò)濾器可在過(guò)濾規(guī)則框中輸入過(guò)濾條件?過(guò)濾源 ip、目的 ip。在 wireshark 的過(guò)濾規(guī)則框filter 中輸入過(guò)濾條件。如查找目的地址為192.168.101.8 的包, ip.dst=192.168.101.8 ;查找源地址為ip.src=1.1.1.1 ;?端口過(guò)濾。如過(guò)濾80 端口,在 filter 中輸入, tcp.port=80 ,這條規(guī)則是把源端口和目的端口為 80 的都過(guò)濾出來(lái)。 使用 tcp.dstport=80 只過(guò)濾目的端口為80 的,tc

10、p.srcport=80 只過(guò)濾源端口為80 的包;?協(xié)議過(guò)濾比較簡(jiǎn)單,直接在 filter 框中直接輸入?yún)f(xié)議名即可,如過(guò)濾的協(xié)議;模式過(guò)濾。如過(guò)濾get 包,.request.method=get, 過(guò)濾 post包,.request.method=post ;連接符and 的使用。過(guò)濾兩種條件時(shí),使用and 連接,如過(guò)濾 ip 為 192.168.101.8 并且為協(xié)議的, ip.src=192.168.101.8 and 。3.2.2. 根據(jù)已捕獲的報(bào)文進(jìn)行過(guò)濾器設(shè)置以一段 sv 報(bào)文舉例,找到指定來(lái)源的sv 報(bào)文。學(xué)習(xí)文檔僅供參考首先找到需要篩選的sv 報(bào)文,例如圖中找到mt6622 合并單元發(fā)送的一幀sv 報(bào)文在 sorce 一欄右鍵選擇“apply as filter ”-“selected”可將源地址作為篩選條件,即可篩選指定來(lái)源報(bào)文對(duì)于不同的篩選需求,可在

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論