wireshark 抓包工具使用說(shuō)明(2014 emily)

Wireshark網(wǎng)絡(luò)抓包工具使用說(shuō)明WireShark簡(jiǎn)介Wireshark是世界上最流行的網(wǎng)絡(luò)分析工具。這個(gè)強(qiáng)大的工具可以捕捉網(wǎng)絡(luò)中的數(shù)據(jù)，并為用戶提供關(guān)于網(wǎng)絡(luò)和上層協(xié)議的各種信息。與很多其他網(wǎng)絡(luò)工具一樣，Wireshark也使用pcapnetworklibrary來(lái)進(jìn)行封包捕捉。wireshark的原名是Ethereal，新名字是2006年起用的。當(dāng)時(shí)Ethereal的主要開發(fā)者決定離開他原來(lái)供職的公司，并繼續(xù)開發(fā)這個(gè)軟件。但由于Ethereal這個(gè)名稱的使用權(quán)已經(jīng)被原來(lái)那個(gè)公司注冊(cè)，Wireshark這個(gè)新名字也就應(yīng)運(yùn)而生了。官方網(wǎng)站：/軟件簡(jiǎn)介網(wǎng)絡(luò)管理員使用Wireshark來(lái)檢測(cè)網(wǎng)絡(luò)問題，網(wǎng)絡(luò)安全工程師使用Wireshark來(lái)檢查資訊安全相關(guān)問題，開發(fā)者使用Wireshark來(lái)為新的通訊協(xié)定除錯(cuò)，普通使用者使用Wireshark來(lái)學(xué)習(xí)網(wǎng)絡(luò)協(xié)定的相關(guān)知識(shí)當(dāng)然，有的人也會(huì)“居心叵測(cè)”的用它來(lái)尋找一些敏感信息……Wireshark不是入侵檢測(cè)軟件（IntrusionDetectionSoftware,IDS）。對(duì)于網(wǎng)絡(luò)上的異常流量行為，Wireshark不會(huì)產(chǎn)生警示或是任何提示。然而，仔細(xì)分析Wireshark截取的封包能夠幫助使用者對(duì)于網(wǎng)絡(luò)行為有更清楚的了解。Wireshark不會(huì)對(duì)網(wǎng)絡(luò)封包產(chǎn)生內(nèi)容的修改，它只會(huì)反映出目前流通的封包資訊。Wireshark本身也不會(huì)送出封包至網(wǎng)絡(luò)上。1.4協(xié)議分析Wireshark簡(jiǎn)介主界面

1.4協(xié)議分析查看和分析數(shù)據(jù)包

非混雜模式及混雜模式下抓包非混雜模式指：WireShark只抓取指定網(wǎng)卡上的發(fā)出與接收的數(shù)據(jù)包，與指定網(wǎng)卡無(wú)關(guān)的數(shù)據(jù)包將被忽略。混雜模式（promiscuousmode)指：WireShark能夠抓取主機(jī)所在局域網(wǎng)內(nèi)的全部網(wǎng)絡(luò)包，即接收所有經(jīng)過網(wǎng)卡的數(shù)據(jù)包，包括不是發(fā)給本機(jī)的包。WireShark界面介紹1.MENUS（菜單）2.SHORTCUTS（快捷方式）3.DISPLAYFILTER（顯示過濾器）4.PACKETLISTPANE（封包列表)5.PACKETDETAILSPANE（封包詳細(xì)信息）6.DISSECTORPANE（16進(jìn)制數(shù)據(jù)）7.MISCELLANOUS（雜項(xiàng)）

1.MENUS（菜單）“File”（文件）“Edit”（編輯）“View”（查看）“Go”（轉(zhuǎn)到）“Capture”（捕獲）“Analyze”（分析）“Statistics”（統(tǒng)計(jì)）"Help"（幫助）打開或保存捕獲的信息。查找或標(biāo)記封包。進(jìn)行全局設(shè)置。設(shè)置Wireshark的視圖。跳轉(zhuǎn)到捕獲的數(shù)據(jù)。設(shè)置捕捉過濾器并開始捕捉。設(shè)置分析選項(xiàng)。查看Wireshark的統(tǒng)計(jì)信息。查看本地或者在線支持。2.SHORTCUTS（快捷方式）在菜單下面，是一些常用的快捷按鈕。列表顯示所有可用的抓包接口；顯示抓包選項(xiàng)，一般都是點(diǎn)這個(gè)按鈕開始抓包；開始新的抓包，停止抓包清空當(dāng)前已經(jīng)抓到的數(shù)據(jù)包，也可以防止抓包時(shí)間過長(zhǎng)機(jī)器變卡。3.DISPLAYFILTER（顯示過濾器）顯示過濾器用于查找捕捉記錄中的內(nèi)容。

請(qǐng)不要將捕捉過濾器和顯示過濾器的概念相混淆。請(qǐng)參考Wireshark過濾器中的詳細(xì)內(nèi)容。4.PACKETLISTPANE（封包列表）封包列表中顯示所有已經(jīng)捕獲的封包。在這里您可以看到發(fā)送或接收方的MAC/IP地址，TCP/UDP端口號(hào)，協(xié)議或者封包的內(nèi)容。如果捕獲的是一個(gè)OSIlayer2的封包，您在Source（來(lái)源）和Destination（目的地）列中看到的將是MAC地址，當(dāng)然，此時(shí)Port（端口）列將會(huì)為空。如果捕獲的是一個(gè)OSIlayer3或者更高層的封包，您在Source（來(lái)源）和Destination（目的地）列中看到的將是IP地址。Port（端口）列僅會(huì)在這個(gè)封包屬于第4或者更高層時(shí)才會(huì)顯示。您可以在這里添加/刪除列或者改變各列的顏色：

Editmenu->Preferences5.

PACKETDETAILSPANE（封包詳細(xì)信息）這里顯示的是在封包列表中被選中項(xiàng)目的詳細(xì)信息。信息按照不同的OSIlayer進(jìn)行了分組，您可以展開每個(gè)項(xiàng)目查看。下面截圖中展開的是HTTP信息。6.DISSECTORPANE（16進(jìn)制數(shù)據(jù)）“解析器”在Wireshark中也被叫做“16進(jìn)制數(shù)據(jù)查看面板”。這里顯示的內(nèi)容與“封包詳細(xì)信息”中相同，只是改為以16進(jìn)制的格式表述。

在上面的例子里，我們?cè)凇胺獍敿?xì)信息”中選擇查看TCP端口（80），其對(duì)應(yīng)的16進(jìn)制數(shù)據(jù)將自動(dòng)顯示在下面的面板中（0050）。MENUS（菜單）SHORTCUTS（快捷方式）

DISPLAYFILTER（顯示過濾器）PACKETLISTPANE（封包列表)PACKETDETAILSPANE（封包詳細(xì)信息）DISSECTORPANE（16進(jìn)制數(shù)據(jù)）MISCELLANOUS（雜項(xiàng)）Help幫助ContentsWireshark使用手冊(cè)SupportedProtocolsWireshark支持的協(xié)議清單ManualPages使用手冊(cè)（HTML網(wǎng)頁(yè)）WiresharkOnlineWireshark在線AboutWireshark關(guān)于WiresharkANSI

按照美國(guó)國(guó)家標(biāo)準(zhǔn)協(xié)會(huì)的ANSI協(xié)議分析FaxT38Analysis...

按照T38傳真規(guī)范進(jìn)行分析GSM

全球移動(dòng)通信系統(tǒng)GSM的數(shù)據(jù)H.225H.225

協(xié)議的數(shù)據(jù)MTP3MTP3

協(xié)議的數(shù)據(jù)RTP

實(shí)時(shí)傳輸協(xié)議RTP的數(shù)據(jù)SCTP

數(shù)據(jù)流控制傳輸協(xié)議SCTP的數(shù)據(jù)SIP...

會(huì)話初始化協(xié)議SIP的數(shù)據(jù)VoIPCalls

互聯(lián)網(wǎng)IP電話的數(shù)據(jù)WAP-WSP

無(wú)線應(yīng)用協(xié)議WAP和WSP的數(shù)據(jù)BOOTP-DHCP

引導(dǎo)協(xié)議和動(dòng)態(tài)主機(jī)配置協(xié)議的數(shù)據(jù)Destinations…

通信目的端FlowGraph…

網(wǎng)絡(luò)通信流向圖HTTP

超文本傳輸協(xié)議的數(shù)據(jù)IPaddress…

互聯(lián)網(wǎng)IP地址ISUPMessages…ISUP

協(xié)議的報(bào)文MulticastStreams

多播數(shù)據(jù)流ONC-RPCProgramsPacketLength

數(shù)據(jù)包的長(zhǎng)度PortType…

傳輸層通信端口類型TCPStreamGraph

傳輸控制協(xié)議TCP數(shù)據(jù)流波形圖Statistics對(duì)已捕獲的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析Summary

已捕獲數(shù)據(jù)文件的總統(tǒng)計(jì)概況ProtocolHierarchy

數(shù)據(jù)中的協(xié)議類型和層次結(jié)構(gòu)Conversations

會(huì)話Endpoints

定義統(tǒng)計(jì)分析的結(jié)束點(diǎn)IOGraphs

輸入/輸出數(shù)據(jù)流量圖ConversationList

會(huì)話列表EndpointList

統(tǒng)計(jì)分析結(jié)束點(diǎn)的列表ServiceResponseTime

從客戶端發(fā)出請(qǐng)求至收到服務(wù)器

響應(yīng)的時(shí)間間隔Analyze對(duì)已捕獲的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析DisplayFilters…

選擇顯示過濾器ApplyasFilter

將其應(yīng)用為過濾器PrepareaFilter

設(shè)計(jì)一個(gè)過濾器FirewallACLRules

防火墻ACL規(guī)則EnabledProtocols…

已可以分析的協(xié)議列表DecodeAs…

將網(wǎng)絡(luò)數(shù)據(jù)按某協(xié)議規(guī)則解碼UserSpecifiedDecodes…

用戶自定義的解碼規(guī)則FollowTCPStream

跟蹤TCP傳輸控制協(xié)議的通信數(shù)據(jù)段，

將分散傳輸?shù)臄?shù)據(jù)組裝還原FollowSSLstream

跟蹤SSL安全套接層協(xié)議的通信數(shù)據(jù)流ExpertInfo

專家分析信息ExpertInfoComposite

構(gòu)造專家分析信息Capture捕獲網(wǎng)絡(luò)數(shù)據(jù)Interfaces…

選擇本機(jī)的網(wǎng)絡(luò)接口

進(jìn)行數(shù)據(jù)捕獲Options…

捕獲參數(shù)選擇Start

開始捕獲網(wǎng)絡(luò)數(shù)據(jù)Stop

停止捕獲網(wǎng)絡(luò)數(shù)據(jù)Restart

重新開始捕獲CaptureFilters…

選擇捕獲過濾器Go運(yùn)行Back

向后運(yùn)行Forward

向前運(yùn)行Gotopacket…

轉(zhuǎn)移到某數(shù)據(jù)包GotoCorrespondingPacket

轉(zhuǎn)到相應(yīng)的數(shù)據(jù)包PreviousPacket

前一個(gè)數(shù)據(jù)包NextPacket

下一個(gè)數(shù)據(jù)包FirstPacket

第一個(gè)數(shù)據(jù)包LastPacket

最后一個(gè)數(shù)據(jù)包View視圖MainToolbar

主工具欄FilterToolbar

過濾器工具欄WirelessToolbar

無(wú)線工具欄Statusbar

運(yùn)行狀況工具欄PacketList

數(shù)據(jù)包列表PacketDetails

數(shù)據(jù)包細(xì)節(jié)PacketBytes

數(shù)據(jù)包字節(jié)TimeDisplayFormat

時(shí)間顯示格式Nameresolution

名字解析（轉(zhuǎn)換：

域名/IP地址，

廠商名/MAC地址,端口號(hào)/端口名）ColorizePacketList

顏色標(biāo)識(shí)的數(shù)據(jù)包列表AutoScrollinLiveCapture現(xiàn)場(chǎng)捕獲時(shí)實(shí)時(shí)滾動(dòng)ZoomIn

放大顯示ZoomOut

縮小顯示NormalSize

正常大小ResizeAllColumns

改變所有列大小ExpandSubtrees

擴(kuò)展開數(shù)據(jù)包內(nèi)封裝協(xié)議的子樹結(jié)構(gòu)ExpandAll

全部擴(kuò)展開CollapseAll

全部折疊收縮ColoringRules…

對(duì)不同類型的數(shù)據(jù)包用不同顏色標(biāo)識(shí)的規(guī)則ShowPacketinNewWindow

將數(shù)據(jù)包顯示在一個(gè)新的窗口Reload

將數(shù)據(jù)文件重新加Edit編輯FindPacket…

搜索數(shù)據(jù)包FindNext

搜索下一個(gè)FindPrevious

搜索前一個(gè)MarkPacket(toggle)

對(duì)數(shù)據(jù)包做標(biāo)記（標(biāo)定）FindNextMark

搜索下一個(gè)標(biāo)記的包FindPreviousMark

搜索前一個(gè)標(biāo)記的包MarkAllPackets

對(duì)所有包做標(biāo)記UnmarkAllPackets

去除所有包的標(biāo)記SetTimeReference(toggle)

設(shè)置參考時(shí)間（標(biāo)定）FindNextReference

搜索下一個(gè)參考點(diǎn)FindPreviousReference

搜索前一個(gè)參考點(diǎn)Preferences

參數(shù)選擇File打開文件Open打開文件OpenRecent打開近期訪問過的文件Merge…將幾個(gè)文件合并為一個(gè)文件Close關(guān)閉此文件SaveAs…保存為…FileSet文件屬性Export文件輸出Print…打印輸出Quit關(guān)閉4.過濾器捕捉過濾器（CaptureFilters）：用于決定將什么樣的信息記錄在捕捉結(jié)果中。需要在開始捕捉前設(shè)置。顯示過濾器（DisplayFilters）：在捕捉結(jié)果中進(jìn)行詳細(xì)查找。他們可以在得到捕捉結(jié)果后隨意修改。

那么我們應(yīng)該使用哪一種過濾器呢？

兩種過濾器的目的是不同的。捕捉過濾器是數(shù)據(jù)經(jīng)過的第一層過濾器，它用于控制捕捉數(shù)據(jù)的數(shù)量，以避免產(chǎn)生過大的日志文件。顯示過濾器是一種更為強(qiáng)大（復(fù)雜）的過濾器。它允許您在日志文件中迅速準(zhǔn)確地找到所需要的記錄。兩種過濾器使用的語(yǔ)法是完全不同的。1.

捕捉過濾器捕捉過濾器也就是對(duì)要獲取的數(shù)據(jù)定義一個(gè)捕獲條件，因?yàn)槟憧赡苤粚?duì)某種協(xié)議相關(guān)或某主機(jī)相關(guān)的數(shù)據(jù)包感興趣（比如TCP相關(guān)的數(shù)據(jù)包），所以沒有必要將其它協(xié)議的數(shù)據(jù)也一并捕獲下來(lái)。設(shè)置捕捉過濾器的步驟是：選擇capture->options。填寫“capturefilter”欄或者點(diǎn)擊“capturefilter”按鈕為您的過濾器起一個(gè)名字并保存，以便在今后的捕捉中繼續(xù)使用這個(gè)過濾器。點(diǎn)擊開始（Start）進(jìn)行捕捉。捕獲過濾器簡(jiǎn)單語(yǔ)法如果只想捕獲UDP協(xié)議，填udp即可.如果想捕獲dns數(shù)據(jù),填udpport53如果想捕獲訪問網(wǎng)站數(shù)據(jù),填tcpport80如果想捕獲與主機(jī)相關(guān)的數(shù)據(jù)，填host如果想捕獲arp數(shù)據(jù)，填arp即可如果想捕獲arp和tcp數(shù)據(jù)，填arp||tcp即可捕捉過濾器語(yǔ)法Protocol（協(xié)議）:

可能的值:ip,arp,rarp,tcpandudp，ftp等.

如果沒有特別指明是什么協(xié)議，則默認(rèn)使用所有支持的協(xié)議。Direction（方向）:

可能的值:src,dst,srcanddst,srcordst

如果沒有特別指明來(lái)源或目的地，則默認(rèn)使用“srcordst”作為關(guān)鍵字。

例如，“host”與“srcordsthost”是一樣的。語(yǔ)法ProtocolDirectionHost(s)ValueLogicalOperationsOtherexpression_r例子tcpdst80andtcpdst3128捕捉過濾器語(yǔ)法Host(s):

可能的值：net,port,host,portrange.

如果沒有指定此值，則默認(rèn)使用“host”關(guān)鍵字。

例如，“src”與“srchost”相同。LogicalOperations（邏輯運(yùn)算）:

可能的值：not(!),and(&&),or(||).

否("not")具有最高的優(yōu)先級(jí)?；?"or")和與("and")具有相同的優(yōu)先級(jí)，運(yùn)算時(shí)從左至右進(jìn)行。

例如，

"nottcpport3128andtcpport23"與"(nottcpport3128)andtcpport23"相同。

"nottcpport3128andtcpport23"與"not(tcpport3128andtcpport23)"不同。捕捉過濾器語(yǔ)法舉例tcpdstport3128捕捉目的TCP端口為3128的封包。ipsrchost捕捉來(lái)源IP地址為的封包。host捕捉目的或來(lái)源IP地址為的封包。srcportrange2000-2500捕捉來(lái)源為UDP或TCP，并且端口號(hào)在2000至2500范圍內(nèi)的封包。捕捉過濾器語(yǔ)法舉例notimcp顯示除了icmp以外的所有封包。（icmp通常被ping工具使用）srchost2andnotdstnet/16顯示來(lái)源IP地址為2，但目的地不是/16的封包。(srchost2orsrcnet/16)andtcpdstportrange200-10000anddstnet/8顯示來(lái)源IP為2或者來(lái)源網(wǎng)絡(luò)為/16，目的地TCP端口號(hào)在200至10000之間，并且目的位于網(wǎng)絡(luò)/8內(nèi)的所有封包。注意事項(xiàng)當(dāng)使用關(guān)鍵字作為值時(shí)，需使用反斜杠“\”。

“etherproto\ip”(與關(guān)鍵字“ip”相同).

這樣寫將會(huì)以IP協(xié)議作為目標(biāo)。“ipproto\icmp”(與關(guān)鍵字“icmp”相同).

這樣寫將會(huì)以ping工具常用的icmp作為目標(biāo)。可以在“ip”或“ether”后面使用“multicast”及“broadcast”關(guān)鍵字。當(dāng)您想排除廣播請(qǐng)求時(shí)，"nobroadcast"就會(huì)非常有用。

2.顯示過濾器通常經(jīng)過捕捉過濾器過濾后的數(shù)據(jù)還是很復(fù)雜。此時(shí)您可以使用顯示過濾器進(jìn)行更加細(xì)致的查找。它的功能比捕捉過濾器更為強(qiáng)大，而且在您想修改過濾器條件時(shí)，并不需要重新捕捉一次。顯示過濾器簡(jiǎn)單語(yǔ)法如果只想看tcp80端口的數(shù)據(jù)，填tcp.port==80如果想看tcp數(shù)據(jù)，填tcp即可如果想看和之間的通訊數(shù)據(jù)，填ip.addr==&&ip.addr==如果想看發(fā)送的數(shù)據(jù),填ip.src==顯示過濾器語(yǔ)法

Protocol（協(xié)議）您可以使用大量位于OSI模型第2至7層的協(xié)議。點(diǎn)擊“Expression...”按鈕后，您可以看到它們。比如：IP，TCP，DNS，SSH語(yǔ)法ProtocolString1String2Comparison

operatorValueLogical

OperationsOther

expression_r例子ftppassiveip==xoricmp