Wireshark入門(mén)教程

1、Wireshark 使用心得使用心得飲水思源 感謝感謝EtherealEthereal和和WiresharkWireshark的創(chuàng)建者的創(chuàng)建者GeraldGerald CombsCombs以及為以及為它們的發(fā)展而做出它們的發(fā)展而做出努力的上千名開(kāi)發(fā)努力的上千名開(kāi)發(fā)人員人員！下載/安裝/download.htmlWinpcap 自動(dòng)檢測(cè)操作系統(tǒng)中已經(jīng)安裝的版本，建議卸載舊版本，使用安裝包中的最新版本。啟動(dòng)抓包選擇抓包的網(wǎng)卡定義抓包選項(xiàng)Capture packets in promiscuous modeHUB環(huán)境中有效交換機(jī)環(huán)境中無(wú)效ARP欺騙交換

2、機(jī)端口鏡像抓包計(jì)算機(jī)雙網(wǎng)卡橋接在客戶機(jī)和交換機(jī)中間網(wǎng)卡混雜模式Windows Vista 1. 通過(guò)單擊“開(kāi)始開(kāi)始”按鈕，再依次單擊“控制面板控制面板”、“網(wǎng)絡(luò)和網(wǎng)絡(luò)和 Internet”、“網(wǎng)絡(luò)和共享中心網(wǎng)絡(luò)和共享中心”，然后單擊“管理網(wǎng)絡(luò)連接管理網(wǎng)絡(luò)連接”，進(jìn)入“網(wǎng)絡(luò)連接”文件夾。 2. 按住Ctrl鍵，然后點(diǎn)擊所有需要橋接的LAN網(wǎng)段。然后，右擊所選擇局域網(wǎng)連接對(duì)象中的一個(gè)，然后點(diǎn)擊“橋接” 。 3. 右鍵單擊網(wǎng)橋，然后單擊“屬性屬性”。 如果系統(tǒng)提示您輸入管理員密碼或進(jìn)行確認(rèn)，請(qǐng)鍵入密碼或提供確認(rèn)。 4. 在選項(xiàng)卡的“適配器適配器”下，選中要向網(wǎng)橋中添加的每個(gè)連接旁邊的復(fù)選框，然后單擊

3、“確定確定”。Windows XP 1. 通過(guò)單擊“開(kāi)始開(kāi)始”按鈕，再依次單擊“設(shè)置設(shè)置”、“控制面板控制面板”，打開(kāi)“網(wǎng)絡(luò)連接”。 2. 按住Ctrl鍵，然后點(diǎn)擊所有需要橋接的LAN網(wǎng)段。然后，右擊所選擇局域網(wǎng)連接對(duì)象中的一個(gè)，然后點(diǎn)擊“橋接” 。 3. 右鍵單擊網(wǎng)絡(luò)橋，然后單擊“屬性屬性”。 4. 在“常規(guī)常規(guī)”選項(xiàng)卡的“適配器適配器”下，選中要向網(wǎng)橋中添加的每個(gè)連接旁邊的復(fù)選框，然后單擊“確定確定”。雙網(wǎng)卡橋接設(shè)置由于網(wǎng)橋工作在網(wǎng)絡(luò)的第二層，所以兩塊物理網(wǎng)卡和網(wǎng)橋的由于網(wǎng)橋工作在網(wǎng)絡(luò)的第二層，所以兩塊物理網(wǎng)卡和網(wǎng)橋的IP地址可以地址可以設(shè)置成和客戶不同的網(wǎng)段地址，抓包的計(jì)算機(jī)本身不能訪問(wèn)

4、客戶網(wǎng)絡(luò)，設(shè)置成和客戶不同的網(wǎng)段地址，抓包的計(jì)算機(jī)本身不能訪問(wèn)客戶網(wǎng)絡(luò)，只是作為一個(gè)二層的橋接設(shè)備。只是作為一個(gè)二層的橋接設(shè)備。如果讓抓包計(jì)算機(jī)也能夠訪問(wèn)客戶網(wǎng)絡(luò)，只需在網(wǎng)橋上設(shè)置一個(gè)能夠如果讓抓包計(jì)算機(jī)也能夠訪問(wèn)客戶網(wǎng)絡(luò)，只需在網(wǎng)橋上設(shè)置一個(gè)能夠訪問(wèn)客戶網(wǎng)絡(luò)的有效訪問(wèn)客戶網(wǎng)絡(luò)的有效IP地址即可。地址即可。抓包時(shí)可以選擇任意一個(gè)物理網(wǎng)卡進(jìn)行抓包，不能選擇網(wǎng)橋抓包。抓包時(shí)可以選擇任意一個(gè)物理網(wǎng)卡進(jìn)行抓包，不能選擇網(wǎng)橋抓包。網(wǎng)橋啟動(dòng)后計(jì)算機(jī)不能進(jìn)入休眠或睡眠狀態(tài)，否則一旦網(wǎng)橋上的某一網(wǎng)橋啟動(dòng)后計(jì)算機(jī)不能進(jìn)入休眠或睡眠狀態(tài)，否則一旦網(wǎng)橋上的某一個(gè)連接斷開(kāi)，個(gè)連接斷開(kāi)，Windows將無(wú)法恢復(fù)，只能完

5、全斷電后重啟。將無(wú)法恢復(fù)，只能完全斷電后重啟。抓包工作完成后在網(wǎng)橋?qū)傩灾袑蚪拥膬蓚€(gè)網(wǎng)絡(luò)接口復(fù)選框鉤掉，確抓包工作完成后在網(wǎng)橋?qū)傩灾袑蚪拥膬蓚€(gè)網(wǎng)絡(luò)接口復(fù)選框鉤掉，確認(rèn)后再鼠標(biāo)右鍵網(wǎng)橋選擇禁用，避免網(wǎng)橋啟動(dòng)狀態(tài)帶來(lái)的不必要的麻認(rèn)后再鼠標(biāo)右鍵網(wǎng)橋選擇禁用，避免網(wǎng)橋啟動(dòng)狀態(tài)帶來(lái)的不必要的麻煩。煩。TipsCapture filter直接輸入抓包過(guò)濾表達(dá)式此filter非彼filterCapture filter vs Display filter Capture filter 在抓包之前設(shè)置，是第一層過(guò)濾器，避免抓到大量的無(wú)用數(shù)據(jù)包。 Display filter在抓包后設(shè)置，是第二層過(guò)濾器，過(guò)濾

6、規(guī)則更細(xì)，幫助迅速準(zhǔn)確地找到所需記錄。 Capture filter 語(yǔ)法Capture filter語(yǔ)法：語(yǔ)法：ProtocolDirectionHost(s)ValueLogical OperationsOther expression例子：tcpdst80andtcp dst 3128Protocol（協(xié)議）（協(xié)議） 可能的值: ether、fddi、ip、arp、rarp、decnet、lat、sca、moprc、mopdl、tcp and udp. 如果沒(méi)有特別指明是什么協(xié)議，則默認(rèn)使用所有支持的協(xié)議。 Direction（方向）（方向） 可能的值:

7、 src、dst、src and dst、src or dst 如果沒(méi)有特別指明來(lái)源或目的地，則默認(rèn)使用 “src or dst” 作為關(guān)鍵字。 例如，host 與src or dst host 是一樣的Capture filterHost(s) 可能的值: net、port、host、portrange 如果沒(méi)有指定此值，則默認(rèn)使用“host”關(guān)鍵字。 例如，src 與src host 相同Logical Operations（邏輯運(yùn)算）（邏輯運(yùn)算） 可能的值: not、and、or 否(not)具有最高的優(yōu)先級(jí)?；?or)和與

8、(and)具有相同的優(yōu)先級(jí)，運(yùn)算時(shí)從左至右進(jìn)行。 例如，not tcp port 3128 and tcp port 23與(not tcp port 3128) and tcp port 23相同。not tcp port 3128 and tcp port 23與not (tcp port 3128 and tcp port 23)不同。Capture filter例子tcp dst port 3128 顯示目的TCP端口為3128的數(shù)據(jù)包。ip src host 顯示來(lái)源IP地址為的數(shù)據(jù)包。host 顯示目的或來(lái)源IP地址為10.1.2

9、.3的數(shù)據(jù)包。src portrange 2000-2500 顯示來(lái)源為UDP或TCP，并且端口號(hào)在2000至2500范圍內(nèi)的數(shù)據(jù)包。not imcp 顯示除了icmp以外的所有數(shù)據(jù)包。（icmp通常被ping工具使用）src host 2 and not dst net /16 顯示來(lái)源IP地址為2，但目的地不是/16的數(shù)據(jù)包。當(dāng)使用關(guān)鍵字作為值時(shí)，需使用反斜杠當(dāng)使用關(guān)鍵字作為值時(shí)，需使用反斜杠“”?！癳ther proto ip” (與關(guān)鍵字與關(guān)鍵字“ip”相同相同)。這樣寫(xiě)將會(huì)以這樣寫(xiě)將會(huì)以IP協(xié)議作為目標(biāo)。協(xié)議作為

10、目標(biāo)。“ip proto icmp” (與關(guān)鍵字與關(guān)鍵字“icmp”相同相同)。這樣寫(xiě)將會(huì)以這樣寫(xiě)將會(huì)以ping工具常用的工具常用的icmp作為目標(biāo)。作為目標(biāo)?？梢栽诳梢栽凇癷p”或或“ether”后面使用后面使用“multicast”及及“broadcast”關(guān)鍵字。當(dāng)您想關(guān)鍵字。當(dāng)您想排除廣播請(qǐng)求時(shí)，排除廣播請(qǐng)求時(shí)，no broadcast就會(huì)非常有用。就會(huì)非常有用。過(guò)濾表達(dá)式可以參考過(guò)濾表達(dá)式可以參考 /tcpdump_man.htmlTipsCapture filter profileUpdate list of packets in real

11、 time（實(shí)時(shí)更新抓包列表）Automatic scrolling in live capture （抓包的時(shí)候自動(dòng)滾動(dòng)到最后一行）Hide capture info dialog（不顯示捕獲的數(shù)據(jù)包的數(shù)量的統(tǒng)計(jì)數(shù)據(jù)）抓包顯示選項(xiàng)Start開(kāi)始抓包Stop停止抓包Display filter此filter非彼filterCapture filter vs Display filter Capture filter 在抓包之前設(shè)置，是第一層過(guò)濾器，避免抓到大量的無(wú)用數(shù)據(jù)包。 Display filter在抓包后設(shè)置，是第二層過(guò)濾器，過(guò)濾規(guī)則更細(xì)，幫助迅速準(zhǔn)確地找到所需記錄。 Display f

12、ilter 語(yǔ)法Display filter語(yǔ)語(yǔ)法：法：ProtocolString 1String 2ComparisonoperatorValueLogicalOperationsOther expression例子：ftppassiveip=xoricmp.typeProtocol（協(xié)議）（協(xié)議） 可以使用大量位于OSI模型第2至7層的協(xié)議。點(diǎn)擊Expression.按鈕后，可以看到它們。 比如：IP，TCP，DNS，SSH。 Display filterString1，String2（可選項(xiàng)可選項(xiàng)） 協(xié)議的子類(lèi)。 點(diǎn)擊相關(guān)父類(lèi)旁的+號(hào)，然后選擇其子類(lèi)。Display f

13、ilterComparison operators （比較運(yùn)算符）（比較運(yùn)算符）可以使用8種比較運(yùn)算符。Display filter英文寫(xiě)法：英文寫(xiě)法：C語(yǔ)言寫(xiě)法：語(yǔ)言寫(xiě)法：含義：含義：eq = 等于ne != 不等于gt 大于lt = 大于等于le “Folders”-”P(pán)ersonal configuration”找到Expert Info CompositeExpert Info 根據(jù)問(wèn)題的嚴(yán)重性分為四級(jí)，在界面左下角使用不同顏色的指示燈表示nChat (灰色灰色): HTTP Gets, Application calls, TCP SYNs, FINs, 基本工作流信息nNote (

14、青綠色青綠色): TCP Retransmissions, Resets, Keep-Alives, Duplicate ACKs, SNMP 等問(wèn)題以及常見(jiàn)的應(yīng)用錯(cuò)誤代碼例如HTTP 404nWarn (黃色黃色): 警告, 錯(cuò)序的數(shù)據(jù)包和非常見(jiàn)的應(yīng)用錯(cuò)誤代碼nError (紅色紅色): 嚴(yán)重問(wèn)題, 畸形數(shù)據(jù)包和校驗(yàn)和錯(cuò)誤TCP 序列號(hào)分析Wireshark默認(rèn)會(huì)自動(dòng)根據(jù)捕獲數(shù)據(jù)包中的信息分析TCP協(xié)議在數(shù)據(jù)傳輸過(guò)程中發(fā)生的事件，并顯示出來(lái)。TCP 序號(hào)分析各提示含義nTCP Retransmission : 發(fā)生在ACK超時(shí)限后發(fā)送方重傳數(shù)據(jù)包nTCP Fast Retransmissio

15、n : 發(fā)生在ACK計(jì)時(shí)器到期之前發(fā)送方就開(kāi)始重傳數(shù)據(jù)包。發(fā)送方接收到一些數(shù)據(jù)包，這些包的TCP序號(hào)大于ACK過(guò)的數(shù)據(jù)包TCP序號(hào)。發(fā)送方收到3個(gè)以上DUP ACK時(shí)應(yīng)該啟動(dòng)快速重傳。nTCP_Out-of-order : 在一個(gè)連接中收到數(shù)據(jù)包的TCP序號(hào)小于之前收到的數(shù)據(jù)包的TCP序號(hào)nTCP Previous segment lost : 在一個(gè)連接中收到的數(shù)據(jù)包的TCP序號(hào)大于期望的下一個(gè)應(yīng)該收到的數(shù)據(jù)包的TCP序號(hào)，表明中間有一個(gè)或多個(gè)數(shù)據(jù)包沒(méi)有按預(yù)期到達(dá)。通?；睾蚑CP Retransmission伴生TCP 序號(hào)分析各提示含義nTCP_ACKed_lost_segment : 收

16、到的ACK和發(fā)送的數(shù)據(jù)數(shù)據(jù)包段不匹配。nTCP Keep-Alive : 發(fā)生在TCP序號(hào)等于上一個(gè)數(shù)據(jù)包中的數(shù)據(jù)的最后一個(gè)字節(jié)。用來(lái)讓接收方發(fā)送一個(gè)ACK。nTCP Keep-Alive ACK : 對(duì)于 TCP Keep-Alive響應(yīng)的ACK數(shù)據(jù)包nTCP DupACK : 發(fā)生在看到同樣的ACK號(hào)并且小于發(fā)送方發(fā)送的數(shù)據(jù)的最后一個(gè)字節(jié)。如果接收方發(fā)覺(jué)接收到數(shù)據(jù)包的TCP序號(hào)間有間隔，它將為這個(gè)連接上每一個(gè)后續(xù)的數(shù)據(jù)包生成一個(gè)DUP ACK，直到丟失的數(shù)據(jù)包被成功接收（重傳成功）。 它可以明確的表明有丟棄/丟失的數(shù)據(jù)包。TCP 序號(hào)分析各提示含義nTCP ZeroWindow : 發(fā)生在

17、接收方聲明它的接收窗口大小為零。這會(huì)告訴發(fā)送方停止發(fā)送數(shù)據(jù)，因?yàn)榻邮辗降慕邮站彌_區(qū)已經(jīng)滿了。這表明接收方有資源方面的問(wèn)題，應(yīng)用不能及時(shí)地從TCP緩沖區(qū)中提取數(shù)據(jù)。nTCP ZerowindowProbe : 發(fā)送方通過(guò)發(fā)送數(shù)據(jù)的下一個(gè)字節(jié)以觸發(fā)接收方回應(yīng)一個(gè)ACK，看看接收方接收窗口滿的情形是否繼續(xù)存在。如果接收窗口還是零，發(fā)送方在下一次試探之前將其維持計(jì)數(shù)器的事件乘二。nTCP ZeroWindowViolation : 發(fā)送方不理睬接收窗口為零的信息，繼續(xù)發(fā)送數(shù)據(jù)。TCP 序號(hào)分析各提示含義nTCP WindowUpdate : 當(dāng)應(yīng)用從TCP接收緩沖區(qū)中收走數(shù)據(jù)后，會(huì)在TCP層發(fā)送一個(gè)W

18、indowUpdate數(shù)據(jù)包給發(fā)送方，表明接收緩沖區(qū)中有更多的空間來(lái)接收數(shù)據(jù)。通常都發(fā)生在ZeroWindow后，并且在WindowUpdate數(shù)據(jù)包中告知接收緩沖區(qū)的大小。nTCP WindowFull : 當(dāng)數(shù)據(jù)包段中載荷數(shù)據(jù)將全部填滿另一端的接收緩沖區(qū)時(shí)，這個(gè)標(biāo)志將被設(shè)在該數(shù)據(jù)包段中。發(fā)送方知道它已經(jīng)發(fā)送的數(shù)據(jù)足以填滿接收緩沖區(qū)，必須馬上停止發(fā)送數(shù)據(jù)直到至少有一些數(shù)據(jù)被確認(rèn)收到。這會(huì)引起發(fā)送方和接收方之間數(shù)據(jù)傳遞的延遲，降低吞吐量。這個(gè)事件發(fā)生時(shí)，另一端的接收方也許會(huì)發(fā)生ZeroWindow的情況，并發(fā)回TCP ZeroWindow 。需要注意的是即便沒(méi)有ZeroWindow，這種情形也

19、會(huì)發(fā)生。Coloring Rule根據(jù)條件在海量數(shù)據(jù)包中明顯標(biāo)明感興趣的數(shù)據(jù)包n規(guī)則名稱n規(guī)則條件n前端顏色（字體顏色）n后端顏色（背景顏色）n規(guī)則順序（上端的規(guī)則首先被執(zhí)行）Conversations快速分離不同的會(huì)話，“Statistics”-“Conversations”nA端地址、端口nB端地址、端口nA端到B端數(shù)據(jù)量、數(shù)據(jù)包數(shù)nB端到A端的數(shù)據(jù)量、數(shù)據(jù)包數(shù)n起始時(shí)間n持續(xù)時(shí)間（通過(guò)Duration和數(shù)據(jù)包數(shù)量和大小可以找出通信時(shí)間較長(zhǎng)的會(huì)話，配合tcp.time_delta 過(guò)濾條件可以比較容易地定位發(fā)送方或接收方的性能問(wèn)題）nA端到B端bpsnB端到A端bpstcp.time_de

20、lta一個(gè)TCP stream中上一個(gè)數(shù)據(jù)包和下一個(gè)數(shù)據(jù)包之間的時(shí)間差需要勾選Calculate conversation timestamps 選項(xiàng)方能生效添加tcp.time_delta顯示列添加一個(gè)tcp.time_delta顯示列時(shí)，“Field type”選擇“custom”, “Field name”填寫(xiě)“tcp.time_delta”添加tcp.time_delta Coloring rule添加一個(gè)“tcp.time_delta” Coloring rule時(shí)，“Name”填寫(xiě)“tcp.time_delta”, “String”填寫(xiě)“tcp.time_delta=某時(shí)間值”，時(shí)

21、間邏輯條件可根據(jù)需要自行定義，單位為秒解密SSL數(shù)據(jù)包需要提供SSL服務(wù)器證書(shū)（域名證書(shū)）私鑰必須是一個(gè)完整的SSL會(huì)話過(guò)程，即包含SSL全握手過(guò)程，否則沒(méi)有必要的密鑰信息，不能解密沒(méi)有前面沒(méi)有SSL全握手過(guò)程的后續(xù)半握手過(guò)程數(shù)據(jù)包（SSL session reuse）使用臨時(shí)RSA 或 DH 算法的SSL數(shù)據(jù)包不能被解密 (SSL握手過(guò)程中有ServerKeyExchange 出現(xiàn))支持雙向SSL（客戶端證書(shū)驗(yàn)證）數(shù)據(jù)包解密解密SSL數(shù)據(jù)包Wireshark 1.6以后版的本支持同時(shí)解密一個(gè)數(shù)據(jù)包文件中的多個(gè)不同的SSL會(huì)話過(guò)程數(shù)據(jù)解密SSL數(shù)據(jù)包IP address: SSL 服務(wù)器地址P

22、ort: SSL服務(wù)器的SSL服務(wù)端口，例如443Protocol: 解密后按何種協(xié)議進(jìn)行解碼并顯示，例如HTTPKey File: 沒(méi)有私鑰保護(hù)口令的PEM格式私鑰文件或帶私鑰的PKCS#12格式證書(shū)文件（允許有私鑰保護(hù)口令）Password: PKCS#12格式證書(shū)文件的私鑰保護(hù)口令解密SSL數(shù)據(jù)包私鑰文件必須是沒(méi)有私鑰保護(hù)口令的PEM格式不帶私鑰保護(hù)口令的PEM格式私鑰文件:-BEGIN RSA PRIVATE KEY-MIICXgIBAAKBgQDrHdbb+yGE6m6EZ03bXURpZCjch2H6g97ZAkJVGrjLZFfettBAEYa8vYYxWsf8KBpEZeksS

23、CsDA9MnU2H6QDjzqdOnaSWfeXMAr4OsCOpauStpreq7q1hk8iOqy+f4KijRrhWplh1QW1A8gtSIg137pyUhW+WsfwxKwmzjGIC1SwIDAQABAoGBAMneA9U6KIxjb+JUg/99c7h9W6wEvTYHNTXjf6psWA+hpuQ82E65/ZJdszL6.b6QKMh16r5wd6smQ+CmhOEnqqyT5AIwwl2RIr9GbfIpTbtbRQw/EcQOCx9wFiEfotGSsEFi72rHK+DpJqRI9AkEA72gdyXRgPfGOS3rfQ3DBcImBQvDSCBa4cuU1XJ1/MO93a8v9Vj87/yDm4xsBDsoz2PyBepawHVlIvZ6jDD0aXw=-END RSA PRIVATE KEY-帶私鑰保護(hù)口令的PEM格式私鑰文件:-BEGIN RSA PRIVATE KEY-Proc-Type: 4,ENCRYPTEDDEK-Info: DES-EDE3-CBC,F6C218D4FA3C8B66FR2cnmkkFHH45Dcsty1qDiIUy/uXn+9m/xeQMVRxtiSAmBmnUDUFIFCDDiDc9yifERok2jPr2BzAazl5RBxS2TY/+7x0/dHD11sF3LnJUoNruo77TERxqgzO