wireshark抓包应用指导说明书.doc

学习参考 杭州迪普科技有限公司杭州迪普科技有限公司 wiresharkwireshark 抓包应用指导说明书抓包应用指导说明书 拟制雷振华日期2015 4 10 评审人日期 签发日期 学习参考 学习参考 修订记录修订记录 日期修订版本描述作者 2015 4 10V1 0 初稿完成雷振华 学习参考 目目 录录 1 1 WIRESHARKWIRESHARK 介绍介绍 5 5 2 2 功能介绍功能介绍 5 5 3 3 图形界面抓报文图形界面抓报文 5 5 3 1 选择网卡抓报文 5 3 2 显示报文抓取时间 7 3 3 WIRESHARK 界面布局 8 3 4 报文过滤条件 9 3 4 1 常用过滤条件 10 3 4 2 WIRESHARK EXPRESSION 11 3 4 3 高级过滤条件 11 3 4 4 WIRESHARK CAPTURE FILTER 14 4 4 命令行抓报文命令行抓报文 1515 4 1 选择网卡 15 4 2 命令行过滤条件 17 4 3 常用过滤条件 17 5 5 批量转换报文格式批量转换报文格式 1818 学习参考 1 1WiresharkWireshark 介绍介绍 Wireshark 是开源网络包分析工具 支持 Windows Linux Unix 环境 网络包分析工具的 主要作用是尝试捕获网络包 并尝试显示包的尽可能详细的情况 可以从网站下载最新版本 的 Wireshark http www wireshark org download html Wireshark 通常在 4 8 周内发 布一次新版本 2 2功能介绍功能介绍 Wireshark 支持图形和命令行两种抓报文方式 3 3图形界面抓报文图形界面抓报文 3 13 1 选择网卡抓报文选择网卡抓报文 第一步 打开 wireshark 抓包软件 点击 Capture Interfaces 如图 3 1 学习参考 图 3 1 选择网卡 第二步 选择抓包的网卡 点击 Strart 开始抓包 这样将抓取流经此网卡的所有报文 并 临时保存在内存中 因此 如果持续抓包将消耗掉系统所有内存 如图 3 2 和图 3 3 图 3 2 启动抓包 学习参考 图 3 3 抓包界面 图标说明 重新抓报文 停止抓报文 表 1 1 3 23 2 显示报文抓取时间显示报文抓取时间 打开 wireshark 抓包软件 点击 View TimeDisplay Format Date and Time of Day 如图 3 4 和图 3 5 学习参考 图 3 4 效果图 图 3 5 3 33 3 WiresharkWireshark 界面布局界面布局 Wireshark 界面主要分为三部分 如图 3 6 区域一显示抓取的报文 区域二显示选中 报文的包头详细信息 区域三显示选中报文的详细信息 默认以十六进制显示 学习参考 图 3 6 功能说明 区域一显示抓取的报文 区域二显示选中报文的包头详细信息 区域三显示选中报文的详细信息 默认以十六进制显示 Packets 抓取的所有报文计数 Displayed 满足过滤条件的报文计数 表 1 2 3 43 4 报文过滤条件报文过滤条件 Wireshark 能够根据应用的需要设置灵活方便的过滤条件 迅速筛选出符合条件的报文 学习参考 Wireshark 的 Filter 过滤能够自动检测语法合法性 如果过滤条件设置正确 则 Filter 输 入框为绿色 如果过滤条件设置错误 则 Filter 输入框为红色 如图 3 7 图 3 7 3 4 13 4 1 常用过滤条件常用过滤条件 功能说明 ip addr 10 23 7 113源 IP 地址或目的 IP 地址是 10 23 7 113 的报文 ip src 10 23 7 113源 IP 地址是 10 23 7 113 ip dst 10 23 7 113目的 IP 地址是 10 23 7 113 ip src 10 23 7 113 and ip dst 10 23 7 113 报文源 IP 地址是 10 23 7 113 且目的 IP 地址是 106 28 142 181 IPip udp tcp port 80 过滤 udp 或 tcp 源端口或目的端口是 80 的报文 udp tcp srcport 40004 过滤 udp 或 tcp 源端口是 40004 的报文 udp tcp dstport 80过滤 udp 或 tcp 目的端口是 80 的报文 tcp srcport 40004 and tcp dstport 80过滤 tcp 协议源端口是 40004 且目的端口是 80 的报文 tcp udp http过滤 tcp udp http 报文 tcp flags syn 0 x02抓 tcp syn 报文 ip id 0 xadcd过滤 ip 报文 id 是 0 xadcd 的报文 表 1 3 学习参考 3 4 23 4 2 WiresharkWireshark expressionexpression 当然 如果你对 Filter 过滤规则不熟悉或者不知道如何怎么写时 可以使用 wireshark 的 Expression 这里列出了 wireshark 所支持的所有过滤协议以及过滤方式 图 3 8 3 4 33 4 3 高级过滤条件高级过滤条件 上述的过滤条件都是 wireshark 内置的 主要是根据已知的包头字段内容过滤 同时 wireshark 也支持根据报文负载内部过滤 项目说明 tcp udp offset n 从 tcp 或 udp 偏移指定字节后 命中指定 n 个字节的内容 tcp 20 8 表示从 20 开始 取 8 个字节 学习参考 表 1 4 根据负载单字节过滤 如图 3 9 图 3 9 根据 udp 负载过滤双字节 如图 3 10 udp 8 3 表示从 8 开始 取 3 个字节 udp 8 3 81 60 03 不可以写为 udp 8 3 816003 学习参考 图 3 10 根据 tcp 包头后 3 字节内容 如图 3 11 图 3 11 学习参考 3 4 43 4 4 WiresharkWireshark capturecapture filterfilter 根据 3 1 抓报文 wireshark 默认抓取所选网卡的所有报文 并且保存在内存中 如果 忘记停止抓报文 会耗尽系统内存 我们完全可以设置 wireshark 只抓取满足过滤条件的报 文 图 3 12 点击图中的 Options 选择 进入图 3 13 图 3 13 设置好过滤条件后 点击 Start wireshark 就只抓取符合过滤条件的报文 在 Capture Filter 输入框内输入过滤条件 语法正确 输入框背景显示为绿色 语 法错误 输入框背景显示为红色 请注意 此处的语法与 3 4 1 不相同 学习参考 常用过滤条件 表 1 5 4 4命令行抓报文命令行抓报文 命令行抓包可以让抓取的报文直接保存在硬盘上 这样既不用担心 wireshark 抓大流量 报文时 例如笔记本抓 1Gbps 速率的报文 崩溃 又不用担心迅速耗尽系统内存的风险 4 14 1 选择网卡选择网卡 使用 cmd 进入 wireshark 的安装目录 如图 4 1 图 4 1 执行 dumpcap exe D 列出所有网卡 功能说明 Host 10 23 7 113源 IP 地址或目的 IP 地址是 10 23 7 113 的报文 host 10 23 7 113 and tcp port 4444 源 IP 地址或目的 IP 地址是 10 23 7 113 的报文且 tcp 端口是 4444 的报文 udp port 69udp 端口是 69 的报文 学习参考 图 4 2 根据 wireshark 图形界面 选择你需要抓包接口 ID 图 4 3 学习参考 4 24 2 命令行过滤条件命令行过滤条件 Dumpcap exe i 1 s 0 B 256 filesize 10000 w f 1 pcap f tcp port 80 图 4 4 项目说明 i 1接口 ID 值 可使用 dumpcap exe D 查看 s 0指定抓取报文的长度 0 表示抓取报文全部长 度 B 256size of kernel buffer 即系统内核缓存 默认是 2M Filesizes 10000每 10M 一个文件保存 w f 1 pcap抓取的报文保存在 F 盘 文件名为 1 pcap f tcp port 80 抓报文的过滤条件 表 1 6 4 34 3 常用过滤条件常用过滤条件 1 dumpcap exe i 4 s 65535 b filesize 100000 w F radius filter test pcap f udp 30 4 0 x30383734 2 dumpcap exe i 1 s 65535 B 256 b filesize 200000 w F pcap1 3 pcap f udp port 1813 学习参考 3 dumpcap exe i 2 s 65535 B 256 b filesize 10000 w F pcacp 3 pcap f host 182 244 157 105 5 5批量转换报文格式批量转换报文格式 在我们的日常工作中排查一些局点问题 往往需要从前方局点抓一些报文在公司进行回 放测试 以帮助分析和定位问题 但往往通过 wireshark 自动执行抓包后保存的报文格式默 认是 pcapng 类型 使用公司的报文回放工具 SendPcap v1 1 exe 因识别不了此类格式的报 文而无法进行回放 若通过手动方式将报文一个一个打开后再保存为我们能用的格式 工作 量是非常大的 这个时候我们就需要借助自动化脚本进行批量转化 大大简化工作量来达到 我们的目的 本文重点介绍通过自动化执行脚本方式来批量转化报文的方法 按照本文介绍 的方法 我们可以很轻松的实现将大批量的报文在短时间内进行转化 步骤 1 确定 wireshark 安装目录 如图 5 1 图 5 1 步骤 2 操作方法 计算机 属性 高级系统设置 高级 环境变 学习参考 量 在弹出的窗口中确认 用户变量 有没有 path 变量 如果没有则选择 新建 在弹 出的窗口中 变量名 为 path 对应的变量值则为 wireshark 的安装路径 若已经存在 path 变量 则只需要编辑 path 变量 将 wireshark 的安装路径作为变量值输入 注 意 若 path 变量中已存在其他变量 则需要用 分号将各个变量隔开 系统变量的 设置方法与用户变量的设置方法一致 说明 用户变量 与 系统变量 的区别 用户变量只对当前用户有效 而系统变量对所有 用户都生效 所以如果需要此设置对其他用户也生效 则只需设置系统变量即可 图 5 2 学习参考 图 5 3 学习参考 图 5 4 步骤 3 操作方法 将下面的内容复制到记事本中 然后保存为 bat 格式 命名为 批 量转化报文格式 bat if exist subdirs txt del subdirs txt nul dir d b a d subdirs txt for f i in subdirs txt do tshark r i F pcap w converted i pause del subdirs txt nul 学习参考 图 5 5 步骤 4 操作方法 将上一步创建的脚本放到需要转化的报文目录下 然后新建一个文 件夹并命名为 converted 用于存放格式转化后的报文 图 5 6 步骤 5 操作方法 双击脚本 批量转化报文格式 bat 弹出一个 cmd 窗口会显示脚本 正在执行转化的状态 文件转化完成后会显示如下图所示文字提醒 请按任意键继续 敲击 学习参考 任意键即可完成脚本执行 脚本自动退出 图 5 7 步骤 6 操作方法 脚本执行过程中会自动生成 subdirs txt 该文件内容记录的是成功 完成转化的报文列表 打开 converted 目录 我们就可以看到已完成格式转化的报文了 学习参考 图 5 8 打开 converted 目录 图 5 9 学习参考 更多信息请访问 www wireshark org1 若不给自己设限 则人生中就没有限制你发挥的藩篱 2 若不是心宽似海 哪有人生风平浪静 在纷杂的尘世里 为自己留下一