計算機網(wǎng)絡(luò)WireShark使用說明

1、 WireSharkWireShark使用使用說明說明學(xué)習(xí)目的學(xué)習(xí)目的 通過本課程的學(xué)習(xí)，您將能夠： 了解WireShark的界面組成 熟悉WireShark的基本操作 適用對象： 測試、開發(fā)、網(wǎng)絡(luò)工程人員概述 Wireshark 是網(wǎng)絡(luò)包分析工具。網(wǎng)絡(luò)包分析工具的主要作用是在接口實時捕捉網(wǎng)絡(luò)包，并詳細顯示包的詳細協(xié)議信息。Wireshark 可以捕捉多種網(wǎng)絡(luò)接口類型的包，哪怕是無線局域網(wǎng)接口。Wireshark可以打開多種網(wǎng)絡(luò)分析軟件捕捉的包，可以支持許多協(xié)議的解碼。我們可以用它來檢測網(wǎng)絡(luò)安全隱患、解決網(wǎng)絡(luò)問題，也可以用它來學(xué)習(xí)網(wǎng)絡(luò)協(xié)議、測試協(xié)議執(zhí)行情況等。 Wireshark不會處理網(wǎng)絡(luò)事

2、務(wù)，它僅僅是“測量”(監(jiān)視)網(wǎng)絡(luò)。Wireshark不會發(fā)送網(wǎng)絡(luò)包或做其它交互性的事情。安裝注意事項安裝文件獲取：172.16.0.2softtooltoolsLib抓包工具在安裝組件時候選擇所有組件，界面風(fēng)格建議選擇Wireshark（GTK2 user interface）安裝注意事項勾選下圖選項，以支持多種其他網(wǎng)絡(luò)包分析工具支持的文件格式。 安裝注意事項Wireshark 安裝文件自帶WinPcap最新版本，選擇安裝。Wireshark的使用1、Wireshark的主窗口Wireshark的使用 2、網(wǎng)絡(luò)數(shù)據(jù)流的監(jiān)測接入點在被監(jiān)測計算機上直接捕獲；利用集線器將被檢測端口的數(shù)據(jù)分為多路進行

3、捕獲；利用交換機的端口數(shù)據(jù)映射功能進行捕獲； Wireshark的使用3、實時捕獲數(shù)據(jù)包使用按鈕”Capture Options”開始捕獲取開始捕獲取 對話框，選擇正確的NIC進行捕獲；注意：windows平臺下不支持環(huán)回接口捕獲，即接口列表中的第一個接口Wireshark的使用3、實時捕獲數(shù)據(jù)包設(shè)置捕獲緩存大小（Buffer size）設(shè)置寫入數(shù)據(jù)到磁盤前保留在核心緩存中捕捉數(shù)據(jù)的大小。如果你發(fā)現(xiàn)丟包，可嘗試增大該值。設(shè)置網(wǎng)卡是否為混雜捕獲模式（Capture packets in promiscuous mode）指定Wireshark捕捉包時，設(shè)置接口是否為混合接收模式。在非混雜模式下，

4、Wireshark捕獲滿足以下條件的包：含本網(wǎng)卡地址單播包、具有多播地址且與本網(wǎng)卡地址配置相吻合的數(shù)據(jù)包、廣播包。而在混雜模式下，Wireshark除捕獲上述類型的數(shù)據(jù)包外，與本網(wǎng)卡地址配置不吻合的組播包也會被捕獲下來。設(shè)置捕獲過濾規(guī)則Wireshark使用libpcap過濾語句進行捕捉過濾。 過濾語句的形式為：not primitive and|or not primitive .Wireshark的使用常用的基本單元(primitive)類型：src|dst host 過濾主機ip地址或名稱。通過指定src|dst關(guān)鍵詞來確定所關(guān)注的是源地址還是目標地址。如果未指定，則指定的地址出現(xiàn)在源地

5、址或目標地址中的包會被抓取。ether src|dst host 過濾主機以太網(wǎng)地址。通過指定關(guān)鍵詞src|dst來確定所關(guān)注的是源地址還是目標地址。如果未指定，則指定的地址出現(xiàn)在源地址或目標地址中的包會被抓取。 tcp|udp src|dst port port 過濾tcp,udp及端口號。可以使用src|dst和tcp|udp關(guān)鍵詞來確定來自源還是目標，tcp協(xié)議還是udp協(xié)議。tcp|udp必須出現(xiàn)在src|dst之前。ip|ether proto 選擇在以太網(wǎng)層或是ip層的指定協(xié)議的包例 1. 捕捉來自特定主機的telnet協(xié)議：tcp port 23 and host 10.0.0.

6、5 例 2. 捕捉所有不是來自10.0.0.5的telnet 通信：tcp port 23 and not src host 10.0.0.5 Wireshark的使用設(shè)置多文件連續(xù)存儲Use multiple files 如果指定條件達到臨界值，Wireshark將會自動生成一個新文件。Next file every n megabyte(s) 如果捕捉文件容量達到指定值，將會生成切換到新文件Next file every n minutes(s) 如果捕捉文件持續(xù)時間達到指定值，將會切換到新文件。Ring buffer with n files 僅生成制定數(shù)目的文件。Stop caputu

7、re after n file(s) 當生成指定數(shù)目文件時，停止捕捉。Wireshark的使用設(shè)置停止捕獲規(guī)則after n packet(s) 在捕捉到指定數(shù)目數(shù)據(jù)包后停止捕捉；after n megabytes(s) 在捕捉到指定容量的數(shù)據(jù)后停止捕捉。如果使用user multiple files,該選項將是灰色；after n minute(s) 在達到指定時間后停止捕捉；選擇開始按鈕，進行捕獲。選擇停止按鈕，停止捕獲。Wireshark的使用4、處理已經(jīng)捕獲的包瀏覽已經(jīng)捕獲的包瀏覽已經(jīng)捕獲的包在已經(jīng)捕捉完成之后，或者打開先前保存的數(shù)據(jù)包文件時，通過點擊包列表面版中的包，就可以在包詳情面

8、板看到關(guān)于這個數(shù)據(jù)包的樹狀結(jié)構(gòu)以及字節(jié)面板。通過點擊左側(cè)“+”標記或者選擇右鍵菜單“Expand Subtrees”,展開數(shù)據(jù)包當前選擇的子樹。也可以通過右鍵選擇“Expand All”展開數(shù)據(jù)包的所有子樹。Wireshark的使用瀏覽過濾包瀏覽過濾包顯示過濾可以隱藏一些你不感興趣的包，讓你可以集中注意力在你感興趣的那些包上面。在包列表面板中選擇所需要的包，右鍵菜單選擇“Apply as Filter”-“selected”即可過濾其他數(shù)據(jù)包。Wireshark的使用另外，也可以構(gòu)建過濾表達式，來過濾那些不感興趣的數(shù)據(jù)包。Wireshark提供了簡單而強大的過濾語法，你可以用它們建立復(fù)雜的過濾

9、表達式。包詳情面板的每個字段都可以作為比較值，通過在許多不同的比較操作建立比較過濾。應(yīng)用這些作為過濾將會僅顯示包含該字段的包。例如：過濾字符串:TCP將會顯示所有包含TCP協(xié)議的包。表 1 顯示過濾比較操作符EnglishC-linke范例范例eq=ip.addr=10.0.0.5ne!=ip.addr!=10.0.0.5gtframe.pkt_len10ltframe.pkt_len=frame.pkt_len ge 0 x100le=frame.pkt_len Save As.菜單保存已捕獲的數(shù)據(jù)包。在保存時可以選擇保存哪些包，以什么格式保存：輸入指定的文件名。選擇保存的目錄。選擇保存包的

10、范圍。通過點擊“保存類型”下拉列表指定保存文件的格式?？梢詫ireshark捕獲的包保存為其默認格式文件(libpcap)，也可以保存為其他格式供其他工具進行讀取分析。比如保存文件時候選擇格式 NA Sniffer（Windows）2.00 x (*.cap)以便Sniffer進行讀取分析。點擊保存(S)按鈕保存。Wireshark的使用合并數(shù)據(jù)包文件合并數(shù)據(jù)包文件有時候你需要將多個捕捉文件合并到一起。例如：如果你對多個接口同時進行捕捉，合并就非常有用?？梢允褂萌缦路椒ê喜⒉蹲轿募?、從File-Merge，打開合并對話框。通過該對話框可以選擇需要合并的文件，與當前打開的數(shù)據(jù)包文件進行合并

11、?？梢酝ㄟ^以下三種方式合并：將包插入已存在文件前、按時間順序合并文件、追加包到當前文件。2、使用拖放功能，將多個文件同時拖放到主窗口。Wireshark會創(chuàng)建一個臨時文件嘗試對拖放的文件按時間順序進行合并。如果你只拖放一個文件，Wireshark只是簡單地替換已經(jīng)打開的文件。 Wireshark的使用文件集文件集在進行捕捉時如果設(shè)置Multiple Files/多文件選項，捕捉數(shù)據(jù)會分割為多個文件，稱為文件集合。大量文件手動管理十分困難，Wirreshark的文件集合特性可以讓文件管理變得方便一點。使用File菜單項的子菜單File Set可以對文件集合集合進行很方便的控制。如下圖：單擊單選鈕

12、，當前文件會被關(guān)閉，同時載入對應(yīng)的文件。注意注意:前提是你目前打開的文件為文件集中的某個文件才能使前提是你目前打開的文件為文件集中的某個文件才能使”File Set”命命令有效令有效Wireshark的使用導(dǎo)出數(shù)據(jù)導(dǎo)出數(shù)據(jù)Wireshark支持多種方法，多種格式導(dǎo)出包數(shù)據(jù)。從“File-Export-File”，打開導(dǎo)出數(shù)據(jù)對話框：指定導(dǎo)出包數(shù)據(jù)的文件名。選擇文件保存路徑。選擇文件保存類型。導(dǎo)出包數(shù)據(jù)為文本文件，常用于打印數(shù)據(jù)包；導(dǎo)出包數(shù)據(jù)摘要為CVS格式，可以被Excel使用。常用來做相關(guān)統(tǒng)計；選擇需要導(dǎo)出的數(shù)據(jù)包范圍。選擇保存按鈕。 Wireshark的使用統(tǒng)計分析統(tǒng)計分析Wireshar

13、k提供了多種多樣的網(wǎng)絡(luò)統(tǒng)計功能。包括捕獲數(shù)據(jù)包文件的基本信息(比如包的數(shù)量)，對指定協(xié)議的統(tǒng)計(例如，統(tǒng)計包文件內(nèi)HTPP請求和應(yīng)答數(shù))等等。統(tǒng)計摘要統(tǒng)計摘要統(tǒng)計摘要主要包括當前網(wǎng)絡(luò)數(shù)據(jù)包文件的一些基本信息。比如文件名、文件大小、第一個包和最后一個包的時間戳、網(wǎng)絡(luò)傳輸?shù)南嚓P(guān)統(tǒng)計等。如果設(shè)置了顯示過濾，統(tǒng)計信息會顯示成兩列。Captured列顯示過濾前的信息，Displayed列顯示過濾后對應(yīng)的信息。Wireshark的使用會話統(tǒng)計會話統(tǒng)計 一個網(wǎng)絡(luò)會話，指的是兩個特定端點之間發(fā)生的通信。例如，一個IP會話是兩個IP地址間的所有通信。 從“Statistics - Conversations”，

14、打開會話統(tǒng)計信息窗口。在該窗口中，每個支持的協(xié)議，都顯示為一個選項卡。選項標簽顯示被捕捉端點數(shù)目(例如：“Ethernet :30”表示有30個Ethernet端點被捕捉到)。如果某個協(xié)議沒有端點被捕捉到，選項標簽顯示為灰色。 列表中每行顯示單個端點的統(tǒng)計信息。Wireshark的使用流量統(tǒng)計曲線圖：流量統(tǒng)計曲線圖： 從Statistics - IO Graphs，打開流量統(tǒng)計信息窗口。 Wireshark根據(jù)用戶配置生成曲線圖。用戶可以對一下內(nèi)容進行設(shè)置：Graphs Graph 1-5: 開啟1-5圖表(默認僅開啟graph 1) Color: 圖表的顏色(不可修改) Filter: 指定

15、顯示過濾器 Style: 圖表樣式(Line/Impulse/FBar)X Axis Tick interval 設(shè)置X軸的每格代表的時間(10/1/0.1/0.01/0.001 seconds) Pixels per tick 設(shè)置X軸每格占用像素 (10/5/2/1 pixels)Y Axis Unit y軸的單位(Packets/Tick, Bytes/Tick, Bits/Tick, Advanced.) Ssale Y軸單位的刻度(10,20,50,100,200,500,.)Wireshark的使用服務(wù)響應(yīng)時間服務(wù)響應(yīng)時間服務(wù)響應(yīng)時間是發(fā)送請求到產(chǎn)生應(yīng)答之間的時間間隔。響應(yīng)時間在很多協(xié)議中可用，比如H.225 RAS。從Statistics - Service Response Time，選擇所要查看的協(xié)議類型，打開服務(wù)響應(yīng)時間信息窗口。下圖為H.225 RAS 服務(wù)響應(yīng)時間.Wireshark的使用FQA：使用接口列表中默認的第一個接口時候，為什么捕獲不到數(shù)據(jù)？接口列表中的第一個接口為環(huán)回接口，Wireshark在windows平臺下不支持環(huán)回接口捕獲。選擇正確的接口然后進行數(shù)據(jù)包捕獲。在接口列表中顯示多個接口，如何確定哪個接口為本pc的網(wǎng)卡？選擇Capture - Interface，可以在Interface對話