WireShark使用

1、Wireshark使用教程使用教程概 述 Wireshark的原名是Ethereal，新名字是2006年起用的。當(dāng)時(shí)Ethereal的主要開發(fā)者決定離開他原來供職的公司，并繼續(xù)開發(fā)這個(gè)軟件。但由于Ethereal這個(gè)名稱的使用權(quán)已經(jīng)被原來那個(gè)公司注冊，Wireshark這個(gè)新名字也就應(yīng)運(yùn)而生了。 Wireshark的優(yōu)勢：安裝方便。簡單易用的界面。提供豐富的功能。軟件簡介 網(wǎng)絡(luò)管理員使用Wireshark來檢測網(wǎng)絡(luò)問題，網(wǎng)絡(luò)安全工程師使用Wireshark來檢查資訊安全相關(guān)問題，開發(fā)者使用Wireshark來為新的通訊協(xié)定除錯(cuò)，普通使用者使用Wireshark來學(xué)習(xí)網(wǎng)絡(luò)協(xié)定的相關(guān)知識當(dāng)然，有的

2、人也會 “居心叵測”的用它來尋找一些敏感信息 Wireshark不是入侵偵測軟件（Intrusion DetectionSoftware,IDS）。對于網(wǎng)絡(luò)上的異常流量行為，Wireshark不會產(chǎn)生警示或是任何提示。然而，仔細(xì)分析 Wireshark截取的封包能夠幫助使用者對于網(wǎng)絡(luò)行為有更清楚的了解。Wireshark不會對網(wǎng)絡(luò)封包產(chǎn)生內(nèi)容的修改，它只會反映出目前流通的封包資訊。 Wireshark本身也不會送出封包至網(wǎng)絡(luò)上。啟動(dòng)后的界面啟動(dòng)后的界面功能界面介紹MENUS（菜單）（菜單）SHORTCUTS（快捷方式）（快捷方式） DISPLAY FILTER（顯示過濾器）（顯示過濾器）PAC

3、KET LIST PANE（封包列表（封包列表)PACKET DETAILS PANE（封包詳細(xì)信息）（封包詳細(xì)信息）DISSECTOR PANE（16進(jìn)制數(shù)據(jù)）進(jìn)制數(shù)據(jù)）MISCELLANOUS（雜項(xiàng)）（雜項(xiàng)） File（文件） 打開或保存捕獲的信息。 Edit （編輯）查找或標(biāo)記封包。進(jìn)行全局設(shè)置。 View（查看） 設(shè)置Wireshark的視圖。 Go （轉(zhuǎn)到）跳轉(zhuǎn)到捕獲的數(shù)據(jù)。 Capture（捕獲）設(shè)置捕捉過濾器并開始捕捉。 Analyze（分析）設(shè)置分析選項(xiàng)。 Statistics （統(tǒng)計(jì)）查看Wireshark的統(tǒng)計(jì)信息。 Help （幫助）查看本地或者在線支持。 Help 幫助

4、Contents Wireshark 使用手冊Supported Protocols Wireshark支持的協(xié)議清單Manual Pages 使用手冊（HTML網(wǎng)頁）Wireshark Online Wireshark 在線About Wireshark 關(guān)于WiresharkANSI 按照美國國家標(biāo)準(zhǔn)協(xié)會的ANSI協(xié)議分析Fax T38 Analysis. 按照T38傳真規(guī)范進(jìn)行分析GSM 全球移動(dòng)通信系統(tǒng)GSM的數(shù)據(jù)H.225 H.225 協(xié)議的數(shù)據(jù)MTP3 MTP3 協(xié)議的數(shù)據(jù)RTP 實(shí)時(shí)傳輸協(xié)議RTP的數(shù)據(jù)SCTP 數(shù)據(jù)流控制傳輸協(xié)議SCTP的數(shù)據(jù)SIP. 會話初始化協(xié)議SIP的數(shù)據(jù)

5、VoIP Calls 互聯(lián)網(wǎng)IP電話的數(shù)據(jù)WAP-WSP 無線應(yīng)用協(xié)議WAP和WSP的數(shù)據(jù)BOOTP-DHCP 引導(dǎo)協(xié)議和動(dòng)態(tài)主機(jī)配置協(xié)議的數(shù)據(jù)Destinations 通信目的端Flow Graph 網(wǎng)絡(luò)通信流向圖HTTP 超文本傳輸協(xié)議的數(shù)據(jù)IP address 互聯(lián)網(wǎng)IP地址ISUP Messages ISUP 協(xié)議的報(bào)文Multicast Streams 多播數(shù)據(jù)流ONC-RPC ProgramsPacket Length 數(shù)據(jù)包的長度Port Type 傳輸層通信端口類型TCP Stream Graph 傳輸控制協(xié)議TCP數(shù)據(jù)流波形圖Statistics對已捕獲的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析

6、Summary 已捕獲數(shù)據(jù)文件的總統(tǒng)計(jì)概況Protocol Hierarchy 數(shù)據(jù)中的協(xié)議類型和層次結(jié)構(gòu)Conversations 會話Endpoints 定義統(tǒng)計(jì)分析的結(jié)束點(diǎn)IO Graphs 輸入/輸出數(shù)據(jù)流量圖Conversation List 會話列表Endpoint List 統(tǒng)計(jì)分析結(jié)束點(diǎn)的列表Service Response Time 從客戶端發(fā)出請求至收到服務(wù)器 響應(yīng)的時(shí)間間隔Analyze 對已捕獲的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析Display Filters 選擇顯示過濾器Apply as Filter 將其應(yīng)用為過濾器Prepare a Filter 設(shè)計(jì)一個(gè)過濾器Firewall

7、ACL Rules 防火墻ACL規(guī)則Enabled Protocols 已可以分析的協(xié)議列表Decode As 將網(wǎng)絡(luò)數(shù)據(jù)按某協(xié)議規(guī)則解碼User Specified Decodes 用戶自定義的解碼規(guī)則Follow TCP Stream 跟蹤TCP傳輸控制協(xié)議的通信數(shù)據(jù)段， 將分散傳輸?shù)臄?shù)據(jù)組裝還原Follow SSL stream 跟蹤SSL 安全套接層協(xié)議的通信數(shù)據(jù)流Expert Info 專家分析信息Expert Info Composite 構(gòu)造專家分析信息Capture 捕獲網(wǎng)絡(luò)數(shù)據(jù)Interfaces 選擇本機(jī)的網(wǎng)絡(luò)接口 進(jìn)行數(shù)據(jù)捕獲Options 捕獲參數(shù)選擇Start 開始捕

8、獲網(wǎng)絡(luò)數(shù)據(jù)Stop 停止捕獲網(wǎng)絡(luò)數(shù)據(jù)Restart 重新開始捕獲Capture Filters 選擇捕獲過濾器Go 運(yùn)行Back 向后運(yùn)行Forward 向前運(yùn)行Go to packet 轉(zhuǎn)移到某數(shù)據(jù)包Go to Corresponding Packet 轉(zhuǎn)到相應(yīng)的數(shù)據(jù)包Previous Packet 前一個(gè)數(shù)據(jù)包Next Packet 下一個(gè)數(shù)據(jù)包First Packet 第一個(gè)數(shù)據(jù)包Last Packet 最后一個(gè)數(shù)據(jù)包View 視圖Main Toolbar 主工具欄Filter Toolbar 過濾器工具欄Wireless Toolbar 無線工具欄Statusbar 運(yùn)行狀況工具欄Pa

9、cket List 數(shù)據(jù)包列表Packet Details 數(shù)據(jù)包細(xì)節(jié)Packet Bytes 數(shù)據(jù)包字節(jié)Time Display Format 時(shí)間顯示格式Name resolution 名字解析（轉(zhuǎn)換： 域名/IP地址， 廠商名/MAC地址,端口號/端口名）Colorize Packet List 顏色標(biāo)識的數(shù)據(jù)包列表Auto Scroll in Live Capture 現(xiàn)場捕獲時(shí)實(shí)時(shí)滾動(dòng)Zoom In 放大顯示Zoom Out 縮小顯示Normal Size 正常大小Resize All Columns 改變所有列大小Expand Sub trees 擴(kuò)展開數(shù)據(jù)包內(nèi)封裝協(xié)議的子樹結(jié)構(gòu)E

10、xpand All 全部擴(kuò)展開Collapse All 全部折疊收縮Coloring Rules 對不同類型的數(shù)據(jù)包用 不同顏色標(biāo)識的規(guī)則Show Packet in New Window 將數(shù)據(jù)包顯示在一個(gè)新的窗口Reload 將數(shù)據(jù)文件重新加Edit 編輯Find Packet 搜索數(shù)據(jù)包Find Next 搜索下一個(gè)Find Previous 搜索前一個(gè)Mark Packet (toggle) 對數(shù)據(jù)包做標(biāo)記（標(biāo)定）Find Next Mark 搜索下一個(gè)標(biāo)記的包Find Previous Mark 搜索前一個(gè)標(biāo)記的包Mark All Packets 對所有包做標(biāo)記Unmark All

11、Packets 去除所有包的標(biāo)記Set Time Reference (toggle) 設(shè)置參考時(shí)間 （標(biāo)定）Find Next Reference 搜索下一個(gè)參考點(diǎn)Find Previous Reference 搜索前一個(gè)參考點(diǎn)Preferences 參數(shù)選擇File 打開文件Open 打開文件Open Recent 打開近期訪問過的文件Merge 將幾個(gè)文件合并為一個(gè)文件Close 關(guān)閉此文件Save As 保存為File Set 文件屬性Export 文件輸出Print 打印輸出Quit 關(guān)閉在菜單下面，是一些常用的快捷按鈕。在菜單下面，是一些常用的快捷按鈕。您可以將鼠標(biāo)指針移動(dòng)到某個(gè)圖

12、標(biāo)上以獲得其功能說明您可以將鼠標(biāo)指針移動(dòng)到某個(gè)圖標(biāo)上以獲得其功能說明。顯示過濾器用于查找捕捉記錄中的內(nèi)容。顯示過濾器用于查找捕捉記錄中的內(nèi)容。請不要將捕捉過濾器和顯示過濾器的概念相混淆。請參考請不要將捕捉過濾器和顯示過濾器的概念相混淆。請參考Wireshark過濾器中的詳細(xì)內(nèi)容。過濾器中的詳細(xì)內(nèi)容。 封包列表中顯示所有已經(jīng)捕獲的封包。在這里您可以看到發(fā)送或接收封包列表中顯示所有已經(jīng)捕獲的封包。在這里您可以看到發(fā)送或接收方的方的MAC/IP地址，地址，TCP/UDP端口號，協(xié)議或者封包的內(nèi)容。端口號，協(xié)議或者封包的內(nèi)容。如果捕獲的是一個(gè)如果捕獲的是一個(gè)OSI layer 2的封包，在的封包，在S

13、ource（來源）和（來源）和Destination（目的地）列中看到的將是（目的地）列中看到的將是MAC地址，當(dāng)然，此時(shí)地址，當(dāng)然，此時(shí)Port（端口）列將會為空。（端口）列將會為空。如果捕獲的是一個(gè)如果捕獲的是一個(gè)OSI layer 3或者更高層的封包，在或者更高層的封包，在Source（來源）（來源）和和Destination（目的地）列中看到的將是（目的地）列中看到的將是IP地址。地址。Port（端口）列（端口）列僅會在這個(gè)封包屬于第僅會在這個(gè)封包屬于第4或者更高層時(shí)才會顯示?；蛘吒邔訒r(shí)才會顯示。在在Edit menu - Preferences下可以添加下可以添加/刪除列或者改變各

14、列的顏色：刪除列或者改變各列的顏色：這里顯示的是在封包列表中被選中項(xiàng)目的詳細(xì)信息。這里顯示的是在封包列表中被選中項(xiàng)目的詳細(xì)信息。信息按照不同的信息按照不同的OSI layer進(jìn)行了分組，可以展開每個(gè)項(xiàng)目查看。下進(jìn)行了分組，可以展開每個(gè)項(xiàng)目查看。下面截圖中展開的是面截圖中展開的是HTTP信息。信息。 “解析器解析器”在在Wireshark中也被叫做中也被叫做“16進(jìn)制數(shù)據(jù)查看面板進(jìn)制數(shù)據(jù)查看面板”。這里顯。這里顯示的內(nèi)容與示的內(nèi)容與“封包詳細(xì)信息封包詳細(xì)信息”中相同，只是改為以中相同，只是改為以16進(jìn)制的格式表述。進(jìn)制的格式表述。在上面的例子里，我們在在上面的例子里，我們在“封包詳細(xì)信息封包詳細(xì)

15、信息”中選擇查看中選擇查看TCP端口端口（80），其對應(yīng)的），其對應(yīng)的16進(jìn)制數(shù)據(jù)將自動(dòng)顯示在下面的面板中（進(jìn)制數(shù)據(jù)將自動(dòng)顯示在下面的面板中（0050）。）。 - 正在進(jìn)行捕捉的網(wǎng)絡(luò)設(shè)備。正在進(jìn)行捕捉的網(wǎng)絡(luò)設(shè)備。- 捕捉是否已經(jīng)開始或已經(jīng)停止。捕捉是否已經(jīng)開始或已經(jīng)停止。- 捕捉結(jié)果的保存位置。捕捉結(jié)果的保存位置。- 已捕捉的數(shù)據(jù)量。已捕捉的數(shù)據(jù)量。- 已捕捉封包的數(shù)量。已捕捉封包的數(shù)量。(P)- 顯示的封包數(shù)量。顯示的封包數(shù)量。(D) (經(jīng)過顯示過濾器過濾后仍然顯示的封包經(jīng)過顯示過濾器過濾后仍然顯示的封包)- 被標(biāo)記的封包數(shù)量。被標(biāo)記的封包數(shù)量。(M)運(yùn)行運(yùn)行Wireshark并開始分析網(wǎng)絡(luò)

16、是非常簡單的。并開始分析網(wǎng)絡(luò)是非常簡單的。 使用使用Wireshark時(shí)最常見的問題，是當(dāng)您使用默認(rèn)設(shè)置時(shí)，會得到大量冗余信息，以至于很難找到自己時(shí)最常見的問題，是當(dāng)您使用默認(rèn)設(shè)置時(shí)，會得到大量冗余信息，以至于很難找到自己需要的部分。這就是為什么過濾器會如此重要。它們可以幫助我們在龐雜的結(jié)果中迅速找到我們需要需要的部分。這就是為什么過濾器會如此重要。它們可以幫助我們在龐雜的結(jié)果中迅速找到我們需要的信息。的信息。捕捉過濾器：捕捉過濾器：用于決定將什么樣的信息記錄在捕捉結(jié)果中。需要在開始捕捉前設(shè)置。用于決定將什么樣的信息記錄在捕捉結(jié)果中。需要在開始捕捉前設(shè)置。顯示過濾器：顯示過濾器：在捕捉結(jié)果中進(jìn)

17、行詳細(xì)查找。他們可以在得到捕捉結(jié)果后隨意修改。在捕捉結(jié)果中進(jìn)行詳細(xì)查找。他們可以在得到捕捉結(jié)果后隨意修改。 兩種過濾器的目的是不同的兩種過濾器的目的是不同的捕捉過濾器是數(shù)據(jù)經(jīng)過的第一層過濾器，它用于控制捕捉數(shù)據(jù)的數(shù)量，以避免產(chǎn)生過大的日志文件。捕捉過濾器是數(shù)據(jù)經(jīng)過的第一層過濾器，它用于控制捕捉數(shù)據(jù)的數(shù)量，以避免產(chǎn)生過大的日志文件。顯示過濾器是一種更為強(qiáng)大（復(fù)雜）的過濾器。它允許您在日志文件中迅速準(zhǔn)確地找到所需要的記錄。顯示過濾器是一種更為強(qiáng)大（復(fù)雜）的過濾器。它允許您在日志文件中迅速準(zhǔn)確地找到所需要的記錄。1.捕捉過濾器捕捉過濾器 2.顯示過濾器顯示過濾器點(diǎn)擊點(diǎn)擊show the captur

18、e options一：一：選擇本地的網(wǎng)絡(luò)適配器選擇本地的網(wǎng)絡(luò)適配器二：二：設(shè)置捕捉過濾設(shè)置捕捉過濾填寫填寫capture filter欄或者點(diǎn)擊欄或者點(diǎn)擊capture filter按鈕為您的過濾器起一個(gè)名按鈕為您的過濾器起一個(gè)名字并保存，以便在今后的捕捉中繼續(xù)使用這個(gè)過濾器。字并保存，以便在今后的捕捉中繼續(xù)使用這個(gè)過濾器。Protocol（協(xié)議）（協(xié)議）:可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.如果沒有特別指明是什么協(xié)議，則默認(rèn)使用所有支持的協(xié)議。 Direction（方向）（

19、方向）:可能的值: src, dst, src and dst, src or dst如果沒有特別指明來源或目的地，則默認(rèn)使用 src or dst 作為關(guān)鍵字。例如，host 與src or dst host 是一樣的。 Host(s):可能的值： net, port, host, portrange.如果沒有指定此值，則默認(rèn)使用host關(guān)鍵字。例如，src 與src host 相同。 Logical Operations（邏輯運(yùn)算）（邏輯運(yùn)算）:可能的值：not, and, or.否(“not”)具有最高的優(yōu)先級?；?“or”

20、)和與(“and”)具有相同的優(yōu)先級，運(yùn)算時(shí)從左至右進(jìn)行。例如，not tcp port 3128 and tcp port 23與(not tcp port 3128) and tcp port 23相同。not tcp port 3128 and tcp port 23與not (tcp port 3128 and tcp port 23)不同。例子tcp dst port 3128 顯示目的TCP端口為3128的封包。ip src host 顯示來源IP地址為的封包。host 顯示目的或來源IP地址為的封包。src po

21、rtrange 2000-2500 顯示來源為UDP或TCP，并且端口號在2000至2500范圍內(nèi)的封包。not icmp 顯示除了icmp以外的所有封包。（icmp通常被ping工具使用）src host 2 and not dst net /16 顯示來源IP地址為2，但目的地不是/16的封包。(src host 2 or src net /16) and tcp dst portrange 200-10000 and dst net /8 顯示來源IP為

22、2或者來源網(wǎng)絡(luò)為/16，目的地TCP端口號在200至10000之間，并且目的位于網(wǎng)絡(luò)/8內(nèi)的所有封包。 填寫capture filter欄或者點(diǎn)擊capture filter按鈕為您的過濾器起一個(gè)名字并保存，以便在今后的捕捉中繼續(xù)使用這個(gè)過濾器。三：三：點(diǎn)擊開始點(diǎn)擊開始注意事項(xiàng)：注意事項(xiàng)：當(dāng)使用關(guān)鍵字作為值時(shí)，需使用反斜杠當(dāng)使用關(guān)鍵字作為值時(shí)，需使用反斜杠“”。ether proto ip (與關(guān)鍵字與關(guān)鍵字ip相同相同).這樣寫將會以這樣寫將會以IP協(xié)議作為目標(biāo)。協(xié)議作為目標(biāo)。ip proto icmp (與關(guān)鍵字與關(guān)鍵字icmp相同相同).這樣寫將會以這樣寫

23、將會以ping工具常用的工具常用的icmp作為目標(biāo)。作為目標(biāo)。 可以在可以在ip或或ether后面使用后面使用multicast及及broadcast關(guān)鍵字。關(guān)鍵字。當(dāng)您想排除廣播請求時(shí)，當(dāng)您想排除廣播請求時(shí)，no broadcast就會非常有用。就會非常有用。 1.捕捉過濾器捕捉過濾器 2.顯示過濾器顯示過濾器可以使用大量位于可以使用大量位于OSI模型第模型第2至至7層的協(xié)議。點(diǎn)擊層的協(xié)議。點(diǎn)擊Expression.按按鈕后，可以看到它們。鈕后，可以看到它們。比如：比如：IP，TCP，DNS，SSH可以在如下所示位置找到所支持的協(xié)議：可以在如下所示位置找到所支持的協(xié)議：Wireshark的網(wǎng)

24、站提供的網(wǎng)站提供了對各種了對各種 協(xié)議以及它們協(xié)議以及它們子類的說明。子類的說明。Comparison operators （比較運(yùn)算符）（比較運(yùn)算符）: 可以使用6種比較運(yùn)算符：英文寫法：C語言寫法：含義：eq=等于ne!=不等于gt大于lt=大于等于le=小于等于Logical expressions（邏輯運(yùn)算符）（邏輯運(yùn)算符）:被程序員們熟知的邏輯異或是一種排除性的或。當(dāng)其被用在過濾器的兩個(gè)條件之間時(shí)，只有當(dāng)且僅當(dāng)其中的一個(gè)條件滿足時(shí)，這樣的結(jié)果才會被顯示在屏幕上。英文寫法：C語言寫法：含義： and &邏輯與 or|邏輯或 xor邏輯異或 not!邏輯非 例子：例子：tcp.d

25、stport=80 or tcp.dstport=1025只有當(dāng)目的TCP端口為80或者來源于端口1025時(shí)，這樣的封包才會被顯示。 例子：例子：snmp | dns | icmp 顯示SNMP或DNS或ICMP封包。 ip.addr = 顯示來源或目的IP地址為的封包。ip.src != or ip.dst != 顯示來源不為 或者 目的不為的封包。換句話說，顯示的封包將會為：來源IP：除了以外任意；目的IP：任意以及來源IP：任意；目的IP：除了以外任意ip.src != and ip.dst != 顯示來源不為并且目的IP不為的封包。 換句話說，顯示的封包將會為：來源IP：除了以外任意；同時(shí)須滿足，目的IP：除了以外任意tcp.port = 25 顯示來源或目的TCP端口號為25的封包。