Wireshark下載與安裝使用教學(xué)

1、Wireshark下載與安裝使用教學(xué)Wireshark（前稱Ethereal）是一個(gè)網(wǎng)路封包分析軟體。網(wǎng)路封包分析軟體的功能是擷取網(wǎng)路封包，並盡可能顯示出最為詳細(xì)的網(wǎng)路封包資料，Wireshark能提供下列協(xié)助：l 網(wǎng)路管理者使用Wireshark來檢測網(wǎng)路問題 l 網(wǎng)路管理者使用Wireshark來檢查資訊安全相關(guān)問題 l 開發(fā)者使用Wireshark來為新的通訊協(xié)定除錯(cuò) l 普通使用者使用Wireshark來學(xué)習(xí)網(wǎng)路協(xié)定的相關(guān)知識Wireshark不是入侵偵測軟體。對於網(wǎng)路上的異常流量行為，Wireshark不會產(chǎn)生警示或是任何提示。然而，仔細(xì)分析Wireshark擷取的封包能夠幫助使用者

2、對於網(wǎng)路行為有更清楚的了解。Wireshark不會對網(wǎng)路封包產(chǎn)生內(nèi)容的修改，它只會反映出目前傳送的封包資訊，Wireshark本身也不會送出封包至網(wǎng)路上。 一、 Wireshark 下載與安裝1-1. 連線至【】選選畫面上的【Download Wireshark】。 1-2. 依照電腦作業(yè)系統(tǒng)環(huán)境，選擇適合作業(yè)平臺的版本，由於目前使用的平臺為32位元作業(yè)系統(tǒng)，這裡滑鼠點(diǎn)選 【W(wǎng)indows Install (32-bit)】。 Wireshark另提供64-bit、U3、免安裝等版本供選擇。1-3. 下載完成後，執(zhí)行安裝程式。1-4. 按下【Next】1-5. 按下【I Agree】1-6.

3、選擇安裝選件，使用預(yù)設(shè)值即可，按下【Next】1-7. 產(chǎn)生Wireshark程式執(zhí)行路徑和檔案關(guān)聯(lián)設(shè)定，選擇後按下【Next】。新增路徑在桌面新增路徑在快速啟動列新增路徑在開始功能表是否與上述檔案產(chǎn)生關(guān)聯(lián)1-8. 選擇安裝路徑，預(yù)設(shè)在c:program FilesWireshark，按下【Next】。1-9. 安裝WinPcap，按下【Install】。WinPcap是一套網(wǎng)路封包擷取工具，用來擷取和分析網(wǎng)路上傳送封包內(nèi)的訊息。不安裝會導(dǎo)致Wireshark無法正常執(zhí)行。1-10. 按下【Next】。1-11. 按下【I Agree】。1-12. 按下【Install】。1-13. 完成Wi

4、nPcap安裝，按下【Finish】。1-14. 按下【Next】。1-15. 按下【Finish】，結(jié)速Wireshark安裝。1-16. 完成後，點(diǎn)選【W(wǎng)ireshark】的圖示即可啟動Wireshark。二、 WireShark軟體介面說明Wireshark軟體介面總共分為幾個(gè)部份功能表列：提供Wireshark各項(xiàng)細(xì)部功能設(shè)定。工具圖示：快速執(zhí)行圖示。Filter 工具列：提供封包過濾功能，可針對需要的封包資訊進(jìn)行篩選。 Capture : 選擇電腦上的網(wǎng)卡，即開始進(jìn)行封包擷取。Capture Options：設(shè)定過濾條件。Open：開啟已擷取封包的檔案。三、 擷取封包擷取方法1：點(diǎn)選

5、工具列上的圖示選擇擷取封的網(wǎng)卡，目前電腦上安裝的網(wǎng)卡為Realtek，按下Start。若不知道是那張網(wǎng)卡，也可以從IP欄位得知是那張網(wǎng)卡要擷取封包。擷取方法2：在Capture欄位上，點(diǎn)選擷取封包的網(wǎng)卡【Realtek PCIe GBE Family Controller】。目前電腦上安裝的網(wǎng)卡為Realtek，所以在Capture欄位中點(diǎn)選【Realtek PCIe GBE Family Controller】，即可立即執(zhí)行擷取封包動作。停止擷取只需按下畫面上的按鈕，即可停止擷取封包。四、 封包分析Wireshark擷取後的封包可從2個(gè)地方來觀察214-1. 封包列表窗格 (Packet L

6、ist pane)。在封包列表視窗中(Packet List pane)目前有5個(gè)欄位：No : 擷取封包數(shù)Time：封包擷取時(shí)間(預(yù)設(shè)從開始擷取為第0秒)Source：封包傳送來源Destination：封包傳送目地Protocol：傳輸協(xié)定Info：有關(guān)封包的其他訊息內(nèi)容。在封包窗格中，可以看到許多不同的顏色，每個(gè)顏色代表不同的通訊協(xié)定或是事件，顏色的對應(yīng)可在工能表中的【View Coloring Rules】，或點(diǎn)選工具圖示。在Coloring Rules對話視窗中，每個(gè)顏色對應(yīng)的設(shè)定如下圖：4-2. 封包詳細(xì)資訊 (Packet Detail pane)。當(dāng)點(diǎn)選封包列表中的其中一筆資料

7、時(shí)，在封包詳細(xì)資訊窗格中，會以樹枝化狀呈現(xiàn)該筆封包的詳細(xì)資訊，包含封包擷取的大小、時(shí)間、來源、目的、協(xié)定等資訊。當(dāng)選封包列表窗格中的第一個(gè)封包，可以看到封包來源為D-Link_c6:16:4c這張網(wǎng)卡，往Broadcast(FF:FF:FF:FF:FF:FF:FF)送出一個(gè)ARP協(xié)定的請求(ARP Request)。4-3. 顯示過濾的封包封包擷取時(shí)，不管是不是屬於該電腦的封包，都會將網(wǎng)卡上所收到的封包全部都擷取下來， 此時(shí)會看到封包列表窗格中，有許多不同協(xié)定的封包正在傳送，如果只想看到某些協(xié)定或IP的封包傳送狀況時(shí)，就會變的很不方便，捲軸要向下拉很長才能看到需要的資訊，透過Filter工具列

8、，就能過濾需要的封包資訊。五、 儲存擷取封包結(jié)果滑鼠點(diǎn)選【File Save】，即可將擷取封包的結(jié)果儲存成檔案。儲存的副檔案名稱為.pcap在Packet Range中可做進(jìn)階的儲存設(shè)定：Selected packet：只儲存做標(biāo)示的封包。Captured：儲存所有擷取到的封包。Displayed :只儲存過經(jīng)過過濾的封包。Range : 只儲存某一段封包(ex:儲存No1No10的封包，空格處填入【1-10】。六、 進(jìn)階封包過濾當(dāng)未設(shè)定過濾封包條件時(shí)，所有的封包都被擷取下來，當(dāng)擷取封包過多時(shí)，電腦處理速度會變的慢，透過Capture Options中的設(shè)過濾功能，可以在一開始擷取封包時(shí)，針對

9、要分析的封包進(jìn)行擷取，而不是所有的封包都擷取。點(diǎn)選工具列上的第二個(gè)圖示在Capture Filter輸入要過濾的條件在Capture Filter欄位上可以輸入下列過濾條件條件說明host 不管是來源或目的只要是的封包就會被擷取。host .tw擷取網(wǎng)域名稱為.tw的封包host 2001:288:7281:1擷取IPv6位址為2001:288:7281:1的封包。src host 擷取來原是的封包src net /24擷取來源為192.16

10、8.100.1255的封包ether host ff:ff:ff:ff:ff:ff擷取MAC位址為ff:ff:ff:ff:ff:ff的封包ether dst host ff:ff:ff:ff:ff:ff擷取目的MAC位址為ff:ff:ff:ff:ff:ff的封包tcp port 80擷取tcp port 80的封包七、 擷取操作範(fàn)例在區(qū)域網(wǎng)路中，大量的Broadcast封包會造成區(qū)域網(wǎng)路繁忙，使用者明顯感覺網(wǎng)路變慢，嚴(yán)重的甚至導(dǎo)致無法對外連線。透過Wireshark 的Filter條件設(shè)定，我們可以觀察學(xué)校的區(qū)域網(wǎng)路，那些機(jī)器不斷送出Broadcast，從封包分析找到來源位址並加以排除。在Ca

11、pture Filter欄位中輸入過濾條件【ether dst host ff:ff:ff:ff:ff:ff】，接下來按下Start開始擷取封包，如此一來就能知道是誰送出broadcast封包。擷取後發(fā)現(xiàn)區(qū)域網(wǎng)路上有較多的ARP和IPX RIP通訊協(xié)定，在下圖中我們挑選第38個(gè)封包，來找出broadcast的封包來源。在封包詳細(xì)窗格中，可以看到目前的封包類型為IEEE 802.3，通訊協(xié)定為IPX RIP，屬於OSI中的第二層通訊協(xié)定，來源位址為00:00:48:d1:12:bb。知道MAC後就能找出有問題機(jī)器，如果之前沒有做好MAC跟IP的管制，也可透過Windows命令提示字元中輸入【arp -a】指令，找出IP位址。八、 使用Wireshark了解DNS查詢的運(yùn)作本操作範(fàn)例將透過擷取封包了解用戶端如何與向DNS伺服器做查詢 123456788.1 抓取封包12345 首先，開始擷取封包。8.1.2 皆下來在命令提示字元中，使用nslookup的指定，詢問記錄。8.1.3 接下來，【停止擷取封包】，在封包列表窗格中，會看到各種的協(xié)定，有TCP、ARP、HCP、DNS等封包資訊。