實(shí)訓(xùn)指導(dǎo)1.2-0WireShark協(xié)議分析軟件使用講解

網(wǎng)絡(luò)安全學(xué)習(xí)情境1：通過(guò)流量分析定位網(wǎng)絡(luò)故障協(xié)議分析軟件WireShark的使用概述Wireshark的原名是Ethereal，新名字是2006年起用的。當(dāng)時(shí)Ethereal的主要開(kāi)發(fā)者決定離開(kāi)他原來(lái)供職的公司，并繼續(xù)開(kāi)發(fā)這個(gè)軟件。但由于Ethereal這個(gè)名稱的使用權(quán)已經(jīng)被原來(lái)那個(gè)公司注冊(cè)，Wireshark這個(gè)新名字也就應(yīng)運(yùn)而生了。Wireshark的優(yōu)勢(shì)：安裝方便。簡(jiǎn)單易用的界面。提供豐富的功能。軟件簡(jiǎn)介網(wǎng)絡(luò)管理員使用Wireshark來(lái)檢測(cè)網(wǎng)絡(luò)問(wèn)題，網(wǎng)絡(luò)安全工程師使用Wireshark來(lái)檢查資訊安全相關(guān)問(wèn)題，開(kāi)發(fā)者使用Wireshark來(lái)為新的通訊協(xié)定除錯(cuò)，普通使用者使用Wireshark來(lái)學(xué)習(xí)網(wǎng)絡(luò)協(xié)定的相關(guān)知識(shí)當(dāng)然，有的人也會(huì)“居心叵測(cè)”的用它來(lái)尋找一些敏感信息……Wireshark不是入侵檢測(cè)軟件（IntrusionDetectionSoftware,IDS）。對(duì)于網(wǎng)絡(luò)上的異常流量行為，Wireshark不會(huì)產(chǎn)生警示或是任何提示。然而，仔細(xì)分析Wireshark截取的封包能夠幫助使用者對(duì)于網(wǎng)絡(luò)行為有更清楚的了解。Wireshark不會(huì)對(duì)網(wǎng)絡(luò)封包產(chǎn)生內(nèi)容的修改，它只會(huì)反映出目前流通的封包資訊。Wireshark本身也不會(huì)送出封包至網(wǎng)絡(luò)上。功能界面介紹MENUS（菜單）SHORTCUTS（快捷方式）

DISPLAYFILTER（顯示過(guò)濾器）PACKETLISTPANE（封包列表)PACKETDETAILSPANE（封包詳細(xì)信息）DISSECTORPANE（16進(jìn)制數(shù)據(jù)）MISCELLANOUS（雜項(xiàng)）"File"（文件）打開(kāi)或保存捕獲的信息。"Edit"（編輯）查找或標(biāo)記封包。進(jìn)行全局設(shè)置。"View"（查看）設(shè)置Wireshark的視圖。"Go"（轉(zhuǎn)到）跳轉(zhuǎn)到捕獲的數(shù)據(jù)。"Capture"（捕獲）設(shè)置捕捉過(guò)濾器并開(kāi)始捕捉。"Analyze"（分析）設(shè)置分析選項(xiàng)。"Statistics"（統(tǒng)計(jì)）查看Wireshark的統(tǒng)計(jì)信息。"Help"（幫助）查看本地或者在線支持。Help幫助ContentsWireshark使用手冊(cè)SupportedProtocolsWireshark支持的協(xié)議清單ManualPages使用手冊(cè)（HTML網(wǎng)頁(yè)）WiresharkOnlineWireshark在線AboutWireshark關(guān)于WiresharkANSI

按照美國(guó)國(guó)家標(biāo)準(zhǔn)協(xié)會(huì)的ANSI協(xié)議分析FaxT38Analysis...

按照T38傳真規(guī)范進(jìn)行分析GSM

全球移動(dòng)通信系統(tǒng)GSM的數(shù)據(jù)H.225H.225

協(xié)議的數(shù)據(jù)MTP3MTP3

協(xié)議的數(shù)據(jù)RTP

實(shí)時(shí)傳輸協(xié)議RTP的數(shù)據(jù)SCTP

數(shù)據(jù)流控制傳輸協(xié)議SCTP的數(shù)據(jù)SIP...

會(huì)話初始化協(xié)議SIP的數(shù)據(jù)VoIPCalls

互聯(lián)網(wǎng)IP電話的數(shù)據(jù)WAP-WSP

無(wú)線應(yīng)用協(xié)議WAP和WSP的數(shù)據(jù)BOOTP-DHCP

引導(dǎo)協(xié)議和動(dòng)態(tài)主機(jī)配置協(xié)議的數(shù)據(jù)Destinations…

通信目的端FlowGraph…

網(wǎng)絡(luò)通信流向圖HTTP

超文本傳輸協(xié)議的數(shù)據(jù)IPaddress…

互聯(lián)網(wǎng)IP地址ISUPMessages…ISUP

協(xié)議的報(bào)文MulticastStreams

多播數(shù)據(jù)流ONC-RPCProgramsPacketLength

數(shù)據(jù)包的長(zhǎng)度PortType…

傳輸層通信端口類型TCPStreamGraph

傳輸控制協(xié)議TCP數(shù)據(jù)流波形圖Statistics對(duì)已捕獲的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析Summary

已捕獲數(shù)據(jù)文件的總統(tǒng)計(jì)概況ProtocolHierarchy

數(shù)據(jù)中的協(xié)議類型和層次結(jié)構(gòu)Conversations

會(huì)話Endpoints

定義統(tǒng)計(jì)分析的結(jié)束點(diǎn)IOGraphs

輸入/輸出數(shù)據(jù)流量圖ConversationList

會(huì)話列表EndpointList

統(tǒng)計(jì)分析結(jié)束點(diǎn)的列表ServiceResponseTime

從客戶端發(fā)出請(qǐng)求至收到服務(wù)器

響應(yīng)的時(shí)間間隔Analyze對(duì)已捕獲的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析DisplayFilters…

選擇顯示過(guò)濾器ApplyasFilter

將其應(yīng)用為過(guò)濾器PrepareaFilter

設(shè)計(jì)一個(gè)過(guò)濾器FirewallACLRules

防火墻ACL規(guī)則EnabledProtocols…

已可以分析的協(xié)議列表DecodeAs…

將網(wǎng)絡(luò)數(shù)據(jù)按某協(xié)議規(guī)則解碼UserSpecifiedDecodes…

用戶自定義的解碼規(guī)則FollowTCPStream

跟蹤TCP傳輸控制協(xié)議的通信數(shù)據(jù)段，

將分散傳輸?shù)臄?shù)據(jù)組裝還原FollowSSLstream

跟蹤SSL安全套接層協(xié)議的通信數(shù)據(jù)流ExpertInfo

專家分析信息ExpertInfoComposite

構(gòu)造專家分析信息Capture捕獲網(wǎng)絡(luò)數(shù)據(jù)Interfaces…

選擇本機(jī)的網(wǎng)絡(luò)接口

進(jìn)行數(shù)據(jù)捕獲Options…

捕獲參數(shù)選擇Start

開(kāi)始捕獲網(wǎng)絡(luò)數(shù)據(jù)Stop

停止捕獲網(wǎng)絡(luò)數(shù)據(jù)Restart

重新開(kāi)始捕獲CaptureFilters…

選擇捕獲過(guò)濾器Go運(yùn)行Back

向后運(yùn)行Forward

向前運(yùn)行Gotopacket…

轉(zhuǎn)移到某數(shù)據(jù)包GotoCorrespondingPacket

轉(zhuǎn)到相應(yīng)的數(shù)據(jù)包PreviousPacket

前一個(gè)數(shù)據(jù)包NextPacket

下一個(gè)數(shù)據(jù)包FirstPacket

第一個(gè)數(shù)據(jù)包LastPacket

最后一個(gè)數(shù)據(jù)包View視圖MainToolbar

主工具欄FilterToolbar

過(guò)濾器工具欄WirelessToolbar

無(wú)線工具欄Statusbar

運(yùn)行狀況工具欄PacketList

數(shù)據(jù)包列表PacketDetails

數(shù)據(jù)包細(xì)節(jié)PacketBytes

數(shù)據(jù)包字節(jié)TimeDisplayFormat

時(shí)間顯示格式Nameresolution

名字解析（轉(zhuǎn)換：

域名/IP地址，

廠商名/MAC地址,端口號(hào)/端口名）ColorizePacketList

顏色標(biāo)識(shí)的數(shù)據(jù)包列表AutoScrollinLiveCapture現(xiàn)場(chǎng)捕獲時(shí)實(shí)時(shí)滾動(dòng)ZoomIn

放大顯示ZoomOut

縮小顯示NormalSize

正常大小ResizeAllColumns

改變所有列大小ExpandSubtrees

擴(kuò)展開(kāi)數(shù)據(jù)包內(nèi)封裝協(xié)議的子樹(shù)結(jié)構(gòu)ExpandAll

全部擴(kuò)展開(kāi)CollapseAll

全部折疊收縮ColoringRules…

對(duì)不同類型的數(shù)據(jù)包用不同顏色標(biāo)識(shí)的規(guī)則ShowPacketinNewWindow

將數(shù)據(jù)包顯示在一個(gè)新的窗口Reload

將數(shù)據(jù)文件重新加Edit編輯FindPacket…

搜索數(shù)據(jù)包FindNext

搜索下一個(gè)FindPrevious

搜索前一個(gè)MarkPacket(toggle)

對(duì)數(shù)據(jù)包做標(biāo)記（標(biāo)定）FindNextMark

搜索下一個(gè)標(biāo)記的包FindPreviousMark

搜索前一個(gè)標(biāo)記的包MarkAllPackets

對(duì)所有包做標(biāo)記UnmarkAllPackets

去除所有包的標(biāo)記SetTimeReference(toggle)

設(shè)置參考時(shí)間（標(biāo)定）FindNextReference

搜索下一個(gè)參考點(diǎn)FindPreviousReference

搜索前一個(gè)參考點(diǎn)Preferences

參數(shù)選擇File打開(kāi)文件Open打開(kāi)文件OpenRecent打開(kāi)近期訪問(wèn)過(guò)的文件Merge…將幾個(gè)文件合并為一個(gè)文件Close關(guān)閉此文件SaveAs…保存為…FileSet文件屬性Export文件輸出Print…打印輸出Quit關(guān)閉在菜單下面，是一些常用的快捷按鈕。您可以將鼠標(biāo)指針移動(dòng)到某個(gè)圖標(biāo)上以獲得其功能說(shuō)明。顯示過(guò)濾器用于查找捕捉記錄中的內(nèi)容。請(qǐng)不要將捕捉過(guò)濾器和顯示過(guò)濾器的概念相混淆。請(qǐng)參考Wireshark過(guò)濾器中的詳細(xì)內(nèi)容。

(tcp.port==80||udp.port==80)&&ip.addr==01說(shuō)明：源地址和目的地址為01并且端口為80的所有數(shù)據(jù)包ip.addr==01&&http說(shuō)明：源地址和目的地址為01并且協(xié)議為HTTP的所有數(shù)據(jù)包這里顯示的是在封包列表中被選中項(xiàng)目的詳細(xì)信息。

信息按照不同的OSIlayer進(jìn)行了分組，可以展開(kāi)每個(gè)項(xiàng)目查看。下面截圖中展開(kāi)的是HTTP信息?！敖馕銎鳌痹赪ireshark中也被叫做“16進(jìn)制數(shù)據(jù)查看面板”。這里顯示的內(nèi)容與“封包詳細(xì)信息”中相同，只是改為以16進(jìn)制的格式表述。

在上面的例子里，我們?cè)凇胺獍敿?xì)信息”中選擇查看TCP端口（80），其對(duì)應(yīng)的16進(jìn)制數(shù)據(jù)將自動(dòng)顯示在下面的面板中（0050）。捕捉過(guò)濾器

顯示過(guò)濾器點(diǎn)擊showthecaptureoptions…一：選擇本地的網(wǎng)絡(luò)適配器二：設(shè)置捕捉過(guò)濾填寫(xiě)"capturefilter"欄或者點(diǎn)擊"capturefilter"按鈕為您的過(guò)濾器起一個(gè)名字并保存，以便在今后的捕捉中繼續(xù)使用