wireshark抓包應(yīng)用指導(dǎo)說明書

1、杭州迪普科技有限公司wireshark抓包應(yīng)用指導(dǎo)說明書擬制雷振華日期評審人日期簽發(fā)日期修訂記錄日期修訂版本描述作者V1.0初稿完成雷振華目 錄1 WIRESHARK介紹52 功能介紹53 圖形界面抓報文53.1 選擇網(wǎng)卡抓報文53.2 顯示報文抓取時間73.3 WIRESHARK界面布局83.4 報文過濾條件93.4.1 常用過濾條件103.4.2 WIRESHARK EXPRESSION113.4.3 高級過濾條件113.4.4 WIRESHARK CAPTURE FILTER144 命令行抓報文154.1 選擇網(wǎng)卡154.2 命令行過濾條件174.3 常用過濾條件175 批量轉(zhuǎn)換報文格式

2、181 Wireshark介紹Wireshark 是開源網(wǎng)絡(luò)包分析工具，支持Windows/Linux/Unix環(huán)境。網(wǎng)絡(luò)包分析工具的主要作用是嘗試捕獲網(wǎng)絡(luò)包，并嘗試顯示包的盡可能詳細的情況?？梢詮木W(wǎng)站下載最新版本的Wireshark (。 Wireshark通常在4-8周內(nèi)發(fā)布一次新版本2 功能介紹Wireshark支持圖形和命令行兩種抓報文方式3 圖形界面抓報文3.1 選擇網(wǎng)卡抓報文 第一步 打開wireshark抓包軟件，點擊“Capture->Interfaces”,如圖3-1 圖3-1選擇網(wǎng)卡第二步 選擇抓包的網(wǎng)卡，點擊”Strart“開始抓包，這樣將抓取流經(jīng)此網(wǎng)卡的

3、所有報文，并臨時保存在內(nèi)存中。因此，如果持續(xù)抓包將消耗掉系統(tǒng)所有內(nèi)存。如圖3-2和圖3-3圖3-2啟動抓包圖3-3抓包界面圖標說明重新抓報文停止抓報文表1-13.2 顯示報文抓取時間 打開wireshark抓包軟件，點擊“View->TimeDisplay Format->Date and Time of Day”，如圖3-4和圖3-5圖3-4效果圖：圖3-53.3 Wireshark界面布局Wireshark界面主要分為三部分（如圖3-6），區(qū)域一顯示抓取的報文，區(qū)域二顯示選中報文的包頭詳細信息，區(qū)域三顯示選中報文的詳細信息，默認以十六進制顯示。圖3-6功能說明區(qū)域一顯示抓取的報

4、文區(qū)域二顯示選中報文的包頭詳細信息區(qū)域三顯示選中報文的詳細信息，默認以十六進制顯示Packets抓取的所有報文計數(shù)Displayed滿足過濾條件的報文計數(shù)表1-23.4 報文過濾條件 Wireshark能夠根據(jù)應(yīng)用的需要設(shè)置靈活方便的過濾條件，迅速篩選出符合條件的報文。Wireshark的Filter過濾能夠自動檢測語法合法性，如果過濾條件設(shè)置正確，則Filter輸入框為綠色，如果過濾條件設(shè)置錯誤，則Filter輸入框為紅色。如圖3-7圖3-73.4.1 常用過濾條件功能說明源IP地址或目的IP地址是13的報文源ip.dstIPipudp/tcp.port=80過濾udp或t

5、cp源端口或目的端口是80的報文udp/tcp.srcport=40004過濾udp或tcp源端口是40004的報文udp/tcp.dstport=80過濾udp或tcp目的端口是80的報文tcp.srcport=40004 and tcp.dstport=80過濾tcp協(xié)議源端口是40004且目的端口是80的報文tcp/udp/http過濾tcp/udp/http報文tcp.flags.syn=0x02抓tcp syn報文ip.id=0xadcd過濾ip報文id是0xadcd的報文表1-33.4.2 Wireshark expression當然，如果你對Filter過濾規(guī)則不熟悉或者不知道如

6、何怎么寫時，可以使用wireshark的Expression，這里列出了wireshark所支持的所有過濾協(xié)議以及過濾方式圖3-83.4.3 高級過濾條件上述的過濾條件都是wireshark內(nèi)置的，主要是根據(jù)已知的包頭字段內(nèi)容過濾。同時wireshark也支持根據(jù)報文負載內(nèi)部過濾。項目說明tcp/udpoffset:n從tcp或udp偏移指定字節(jié)后，命中指定n個字節(jié)的內(nèi)容tcp20:8表示從20開始，取8個字節(jié)udp8:3表示從8開始，取3個字節(jié)udp8:3=81:60:03 不可以寫為udp8:3=816003表1-4根據(jù)負載單字節(jié)過濾，如圖3-9圖3-9根據(jù)udp負載過濾雙字節(jié)，如圖3-1

7、0圖3-10根據(jù)tcp包頭后3字節(jié)內(nèi)容，如圖3-11圖3-113.4.4 Wireshark capture filter根據(jù)3.1抓報文，wireshark默認抓取所選網(wǎng)卡的所有報文，并且保存在內(nèi)存中。如果忘記停止抓報文，會耗盡系統(tǒng)內(nèi)存。我們完全可以設(shè)置wireshark只抓取滿足過濾條件的報文。圖3-12點擊圖中的“Options”選擇，進入圖3-13圖3-13設(shè)置好過濾條件后，點擊”Start“，wireshark就只抓取符合過濾條件的報文。在”Capture Filter“輸入框內(nèi)輸入過濾條件。語法正確，輸入框背景顯示為綠色，語法錯誤，輸入框背景顯示為紅色。請注意，此處的語法與不相同。

8、功能說明源IP地址或目的IP地址是13的報文host 13 and tcp port 4444源IP地址或目的IP地址是13的報文且tcp端口是4444的報文udp port 69udp 端口是69的報文常用過濾條件：表1-54 命令行抓報文命令行抓包可以讓抓取的報文直接保存在硬盤上，這樣既不用擔心wireshark抓大流量報文時（例如筆記本抓1Gbps速率的報文）崩潰，又不用擔心迅速耗盡系統(tǒng)內(nèi)存的風(fēng)險。4.1 選擇網(wǎng)卡使用cmd進入wireshark的安裝目錄，如圖4-1圖4-1執(zhí)行dumpcap.exe -D列出所有網(wǎng)卡圖4-2根據(jù)wi

9、reshark圖形界面，選擇你需要抓包接口ID圖4-34.2 命令行過濾條件Dumpcap.exe -i 1 -s 0 -B 256 filesize:10000 -w f:1.pcap -f “ tcp port 80”圖4-4項目說明-i 1接口ID值，可使用dumpcap.exe -D查看-s 0指定抓取報文的長度，0表示抓取報文全部長度-B 256size of kernel buffer，即系統(tǒng)內(nèi)核緩存。默認是2MFilesizes:10000每10M一個文件保存-w f:1.pcap抓取的報文保存在F盤，文件名為1.pcap-f “tcp port 80”抓報文的過濾條件表1-64

10、.3 常用過濾條件1、 dumpcap.exe -i 4 -s 65535 -b filesize:100000 -w F:radius_filter_test.pcap -f "udp30:4=0x30383734"2、dumpcap.exe -i 1 -s 65535 -B 256 -b filesize:200000 -w F:pcap13.pcap -f "udp port 1813"3、dumpcap.exe" -i 2 -s 65535 -B 256 -b filesize:10000 -w F:pcacp3.pcap -f &qu

11、ot;host 05"5 批量轉(zhuǎn)換報文格式在我們的日常工作中排查一些局點問題，往往需要從前方局點抓一些報文在公司進行回放測試，以幫助分析和定位問題，但往往通過wireshark自動執(zhí)行抓包后保存的報文格式默認是.pcapng類型，使用公司的報文回放工具SendPcap_v1.1.exe因識別不了此類格式的報文而無法進行回放，若通過手動方式將報文一個一個打開后再保存為我們能用的格式，工作量是非常大的。這個時候我們就需要借助自動化腳本進行批量轉(zhuǎn)化，大大簡化工作量來達到我們的目的。本文重點介紹通過自動化執(zhí)行腳本方式來批量轉(zhuǎn)化報文的方法。按照本文介紹的方法，我們可以

12、很輕松的實現(xiàn)將大批量的報文在短時間內(nèi)進行轉(zhuǎn)化。步驟1、確定wireshark安裝目錄，如圖5-1圖5-1步驟2、操作方法：【計算機】=>【屬性】=>【高級系統(tǒng)設(shè)置】=>【高級】=>【環(huán)境變量】在彈出的窗口中確認“用戶變量”有沒有“path”變量，如果沒有則選擇“新建”，在彈出的窗口中“變量名”為“path”，對應(yīng)的變量值則為wireshark的安裝路徑。若已經(jīng)存在“path”變量，則只需要編輯“path”變量，將wireshark的安裝路徑作為變量值輸入，注意：若“path”變量中已存在其他變量，則需要用“；”分號將各個變量隔開。系統(tǒng)變量的設(shè)置方法與用戶變量的設(shè)置方法一

13、致?！菊f明】“用戶變量”與“系統(tǒng)變量”的區(qū)別：用戶變量只對當前用戶有效，而系統(tǒng)變量對所有用戶都生效。所以如果需要此設(shè)置對其他用戶也生效，則只需設(shè)置系統(tǒng)變量即可。圖5-2圖5-3圖5-4步驟3、操作方法：將下面的內(nèi)容復(fù)制到記事本中，然后保存為.bat格式，命名為“批量轉(zhuǎn)化報文格式.bat”if exist subdirs.txt del subdirs.txt>nul dir /d /b /a:-d> subdirs.txt for /f %i in (subdirs.txt ) do tshark -r %i -F pcap -w converted/%i pause del subdirs.txt>nul圖5-5步驟4、操作方法：將上一步創(chuàng)建的腳本放到需要轉(zhuǎn)化的報文目錄下，然后新建一個文件夾并命名為“converted”，用于存放格式轉(zhuǎn)化后的報文。圖5-6步驟5、