實驗四 Wireshark教程(網(wǎng)絡(luò)監(jiān)測)

Wireshark教程當前較為流行的網(wǎng)絡(luò)協(xié)議嗅探和分析軟件—Wireshark。通過使用抓包工具，來準確而快速地判斷網(wǎng)絡(luò)問題的所在，大大縮短尋找問題的時間。網(wǎng)絡(luò)管理人員的私人秘書—Wireshark網(wǎng)絡(luò)流量分析是指捕捉網(wǎng)絡(luò)中流動的數(shù)據(jù)包SNMP的流量監(jiān)測技術(shù)，基于網(wǎng)絡(luò)探針（Probe）技術(shù)和基于流（flow）的Wireshark就是基于流量鏡像協(xié)議分析。（鏈路層協(xié)議解碼對網(wǎng)絡(luò)流量進行監(jiān)測。但該方法主要側(cè)重于協(xié)議分析，而非用戶流量訪問統(tǒng)Wireshark的前身是著名的Ethereal。Wireshark是一款免費的網(wǎng)絡(luò)協(xié)議檢測程序。它具有設(shè)計完美的GUI和眾多分類信息及過濾選項。下面是Wireshark的界面。用戶通過Wiresharkbugs。Wireshark是一個開放源碼的網(wǎng)絡(luò)分析系統(tǒng)，也是是目前最好的開放源碼的網(wǎng)絡(luò)協(xié)議分析器，支持UnixLinux和Windows平臺。由于Wireshark是OpenSource，更新快，支持的協(xié)議多，特別是數(shù)據(jù)包過濾功能靈活強大。Wireshark提供了對TCP、UDP、SMB、telnet和ftp等常用協(xié)議的支持。它在很多情況下可以代替價格Sniffer安裝好后，雙擊桌面上的Wireshark圖，運行軟件。再捕捉數(shù)據(jù)包之前，先要對捕獲的條件進行設(shè)置。點擊工具欄里的“CaptureàOptions”，（圖一）或者直接點擊快捷按鈕（圖二），打開選項設(shè)置頁面（圖三）。首先，我們要在Interface里選擇正確的捕獲接口，即要進行報文捕獲的網(wǎng)卡。Wireshark支持無線WLAN的相關(guān)協(xié)議，具體設(shè)置如下：下面是一些常用設(shè)置項的解釋：Interface：選擇捕獲接口CapturepacketsinpromiscuousmodeLimiteachpacketCaptureFilter：過濾器，只抓取滿足過濾規(guī)則的包。（可暫時略過）Capturefiles：即捕獲數(shù)據(jù)包的保存的文件名以及保存位置。其他的選項按照圖三的設(shè)置即可。CaptureOption確認選擇后，點擊ok就開始進行抓包。下面的界面會以協(xié)議的不同，統(tǒng)計捕獲到報文各占的百分比，此時，點擊stop即可以停止抓包。當然，如果不想每次打開Wireshark都重復(fù)上述CaptureOption的設(shè)置，我們也有很好的辦法。在“EditàPreferencesàCapture和NameResolution”里預(yù)先做好網(wǎng)卡和其他選項的設(shè)置做好預(yù)設(shè)之后，在每次打開Wireshark，直接點擊工具欄的開始按鈕，就可以開始抓包了。本期向大家介紹了Wireshark的簡單原理，軟件特色，Wireshark的安裝和使用設(shè)置。通過本期的介紹，大家已經(jīng)可以使用Wireshark捕獲數(shù)據(jù)包了。在下期，我們將向大家介紹Wireshark最有特色并且強大的數(shù)據(jù)包過濾功能，通過過濾，從而有的放矢的得到我們希望得到的數(shù)據(jù)包.WiresharkWireshark下面的語句首先打開軟件開始抓包，步驟都不多說了，菜單欄里面有一個Statistics，下拉菜單里面有個Summary和一個IOGraphs，如圖：圖一（Statistics菜單--Wireshark）Summary里面用數(shù)據(jù)說明抓到的平均流量是多少，而IOGraphs用圖形表示了你抓數(shù)據(jù)的流量：Summary里面有兩個filter先定義captureFilter，這樣顯示出來的就是你需要抓的流量的匯總信息。需要注意的是，Summary得到的數(shù)據(jù)都不一樣。IOGraphs的話，可以不定義captureFilter，而直接在圖形里面選擇Filter，或者直接將過濾表達式寫到Filter有數(shù)字顯示，也就是說，你沒有辦法知道具體某個時間點的流量。圖四（file定義窗口--Wireshark）用WireShark觀察網(wǎng)絡(luò)流量CaptureOption對話框1、Interface（接口）和Link-layerheader鏈路層頭部）2、LimiteachpackettoNN3、Capturepacketsinpromiscuousmode（在混雜模式下捕獲分組）4、Filter（過濾器）5、Capturefiles（捕獲文件）6、DisplayOptions（顯示選項7、StopCapture（停止捕獲）8、Nameresolution（名字解析幀層（Frame）在幀層（Frame），Wireshark記錄真實的捕獲時間、第一個分組與前一個分組的相對時間增量、幀序號、分組長度以及捕獲長度。以太網(wǎng)幀層146例如：以太網(wǎng)的類型為00）。IP層傳輸層TCP202412源端口：指定了發(fā)送端的端口目的端口：指定了接受端的端口號序號：指明了段在即將傳輸?shù)亩涡蛄兄械奈恢么_認號：規(guī)定成功收到段的序列號，確認序號包含發(fā)送確認的一端所期望收到的下一個序號TCP偏移量：指定了段頭的長度。段頭的長度取決與段頭選項字段中設(shè)置的選項保留：指定了一個保留字段，以備將來使用、ACK、PSH、、URG、SYN：表示同步ACK：表示確認PSH：表示盡快的將數(shù)據(jù)送往接收進程RST：表示復(fù)位連接URG：表示緊急指針FIN：表示發(fā)送方完成數(shù)據(jù)發(fā)送窗口：指定關(guān)于發(fā)送端能傳輸?shù)南乱欢蔚拇笮〉闹噶钚ｒ灪停盒ｒ灪桶琓CP段頭和數(shù)據(jù)部分，用來校驗段頭和數(shù)據(jù)部分的可靠性緊急：指明段中包含緊急信息，只有當URG標志置1時緊急指針才有效選項：指定了公認的段大小，時間戳，選項字段的末端，以及指定了選項字段的邊界選項快捷鍵 描述快捷鍵 描述Tab,Shift+Tab在兩個項目間移動，例如從一個包列表移動到下一個Down 移動到下一個包或者下一個詳情Up 移動到上一個包或者上一個詳情Ctrl-Down,F8 移動到下一個包，即使焦點不在Packetlist面版Ctrl-UP,F7 移動到前一個報文，即使焦點不在Packetlist面版Left 在PactectDetailRight 在PacketDetail面版，打開被選擇的樹狀分支.Backspace PacketDetail面版，返回到被選擇的節(jié)點的父節(jié)Return,EnterPacketDetail面版，固定被選擇樹項目。Packetlist和Detail面版控制可以通過快捷鍵進行另外，在主窗口鍵入任何字符都會填充到filter里面"File"菜單菜單項Open...OpenMergCloseSave

快捷鍵Ctr+OCrl+S

描述顯示打開文件對話框，讓您載入捕捉文件用以瀏覽。彈出一個子菜單顯示最近打開過的文件供選擇顯示合并捕捉文件的對話框。讓您選擇一個文件和當前打開的文件合并注意如果您已經(jīng)保存文件，該選項會是灰色不可選的。注意您不能保存動態(tài)捕捉的文件。您必須結(jié)束捕捉以后才能進行保存SaveAs FileSet>ListFilesFileSet>NextFile

讓您將當前文件保存為另外一個文件面，將會出現(xiàn)一個另存為的對話框允許您顯示文件集合的列表。將會彈出一個對話框顯示已打開文件的列表,如果當前載入文件是文件集合的一部分，將會跳轉(zhuǎn)到下一個文件。將會是灰色Fileset>PreviousFilesExport>asText”File?Export>as"PostScript"FilesExport>as"CVS"(CommaSeparatedValuesPacketSummary)File...

個文件，同時變成灰色。這個菜單允許您將捕捉文件中所有的或者部分的包導(dǎo)出為plainASCIItext格式。它將會彈出一個Wireshark導(dǎo)出對話框?qū)⒉蹲轿募娜炕虿糠謱?dǎo)出為PostScrit文件。將會出現(xiàn)導(dǎo)出文件對話框。導(dǎo)出文件全部或部分摘要為.cvs格式（可用在電子表格中）。將會彈出導(dǎo)出對話框Export>asFile?Exportas"PDML"File...Export>PacketBytes?PrintQuit退出

Ctr+PCtrl+Q

導(dǎo)出文件的全部或部分為PSML格式（包摘要標記語言）XML文件。將會彈出導(dǎo)出文件對話框。導(dǎo)出文件的全部或部分為PDML(包摘要標記語言)格式的XML文件。將會彈出一個導(dǎo)出文件對話框,Packetbyte面版選擇的字節(jié)為二進制文件。將會彈出一個導(dǎo)出對話框。打印捕捉包的全部或部分，將會彈出打印對話框Wireshark,如果未保存文件，Wireshark會提示是否保存"Edit"菜單菜單項菜單項快捷鍵Copy>AsFilterShift+Ctrl+CFindPacket...Ctr+FFindNextCtrl+NFindPreviousMarkPacket(toggle)FindNextMarkFindPreviousMarkMarkALLPacketsUnmarkAllPacketSetTimeReference(toggle)FindNextReferenceFindPreviousRefrence...Ctr+BCtrl+MShift+Ctrl+NCtrl+Shift+BCtrl+TPreferences...描述示過濾將會拷貝到剪貼板。打開一個對話框用來通過限制來查找包Findpacket以后，使用該菜單會查找匹配規(guī)則的下一個包查找匹配規(guī)則的前一個包。標記當前選擇的包。查找下一個被標記的包查找前一個被標記的包標記所有包取消所有標記以當前包時間作為參考找到下一個時間參考包找到前一個時間參考包打開首選項對話框，個性化設(shè)置WiresharkShift+Ctrl+P 的各項參數(shù)設(shè)置后的參數(shù)將會在每次打時發(fā)揮作用。"View"菜單菜單項MainToolbarFilterToolbarStatusbarPacketListPacketDetailsPacketBytesTimeDisplayFromat>DateandTimeofDay:1970-01-0101:02:03.123456TimeDisplayFormat>TimeDay:01:02:03.123456TimeDisplayFormat>SecondsSinceBeginningofCapture:123.123456Time Display Format Seconds Since CapturedPacket:1.123456Time Display Format Seconds Since DisplayedPacket:1.123456

快捷鍵 描述顯示隱藏Maintoolbar(主工具欄)FilterToolbar顯示或隱藏狀態(tài)PacketListPacketdetailspacketBytesWireshark將時間戳設(shè)置為絕對將時間設(shè)置為絕對時間-日期格式(時分秒格式)將時間戳設(shè)置為秒格式，從捕捉開始計時將時間戳設(shè)置為秒格式，從上次捕捉開始計時將時間戳設(shè)置為秒格式，從上次顯示的包開始計時Time Display Format >TimeDisplayFormat>Automatic(FilePrecision)TimeDisplayFormatSeconds:0Time DisplayFormat>...seconds:0NameResolution>ResolveNameNameResolution>EnableforMACLayerNameResolution>EnableforNetworkLayerNameResolution>EnableforTransportLayerColorizePacketListAuto Scrooll in CaptureZoomInZoomOutNormalResizAllColumnusExpendSubtreesExpandAllCollapseAllColoringRulues...ShowPacketinNewWindow

Ctrl++Ctrl+-Ctrl+=

根據(jù)指定的精度選擇數(shù)據(jù)包中時間戳的顯示方式設(shè)置精度為1秒設(shè)置精度為1秒，0.1秒，0.01秒，百萬分之一秒等等Mac地址(ip地址)是否解析傳輸層地是否以彩色顯示包控制在實時捕捉時是否自動滾屏，如果選擇了該項，在有新數(shù)據(jù)進入時，面板會項上滾動。您始終能看到最后的數(shù)據(jù)。反之，您無法看到滿屏以后的數(shù)據(jù)，除非您手動滾屏增大字體縮小字體恢復(fù)正常大小恢復(fù)所有列寬展開子分支看開所有分支，該選項會展開您選擇的包的所有分支。收縮所有包的所有分支打開一個對話框，讓您可以通過過濾表達來用不同的顏色顯示包。這項功能對定位特定類型的包非常有用在新窗口顯示當前包，(新窗口僅包含View,ByteView兩個面板)Reload Ctrl+R"Go"菜單

重新再如當前捕捉文件菜單項BackForWardGotoPacketGo toCorrespondingPacket

快捷鍵Alt+LeftAlt+RightCtrl+G

描述跳到最近瀏覽的包，類似于瀏覽器中的頁面歷史紀錄跳到下一個最近瀏覽的包，跟瀏覽器類似打開一個對話框，輸入指定的包序號，然后跳轉(zhuǎn)到對應(yīng)的包跳轉(zhuǎn)到當前包的應(yīng)答包，如果不存在，該選項為灰色PreviousPacket Ctrl+UP

焦點，也是可用的NextPacketFirstPacketLastPacket

Ctrl+Down 移動到包列表中的后一個包移動到列表中的第一個包"Capture"菜單菜單項菜單項Interface...Options...StartStop快捷鍵Ctrl+KCtrl+ERestartCaptureFilters...說明在彈出對話框選擇您要進行捕捉的網(wǎng)絡(luò)接口,打開設(shè)置捕捉選項的對話框,立即開始捕捉，設(shè)置都是參照最后一次設(shè)置。停止正在進行的捕捉正在進行捕捉時，停止捕捉，并按同樣的設(shè)置重新開始捕捉.打開對話框，編輯捕捉過濾設(shè)置，可以命名過濾器，保存為其他捕捉時使用"Analyze"菜單菜單項菜單項快捷鍵DisplayFilters...ApplyasFilter>...PrepareaFilter>...FirewallRulesACLEnableProtocols...說明打開過濾器對話框編輯過濾設(shè)置，可以命名過濾設(shè)置，保存為其他地方使用更改當前過濾顯示并立即應(yīng)用。根據(jù)選擇的項，當前顯示字段會被替換成選擇在Detail面板的協(xié)議字段更改當前顯示過濾設(shè)置，當不會立即應(yīng)用。同樣根據(jù)當前選擇項，過濾字符會被替換成Detail面板選擇的協(xié)議字段為多種不同的防火墻創(chuàng)建命令行ACL規(guī)則(訪問控制列表),支持CiscoIOS,LinuxNetfilter(iptables),OpenBSDpfandWindowsFirewall(vianetsh).RulesforMACaddresses,IP