WireShark使用说明.ppt

WireShark使用说明 培训目的 通过本课程的学习 您将能够 了解WireShark的界面组成熟悉WireShark的基本操作适用对象 测试 开发 网络工程人员 概述 Wireshark是网络包分析工具 网络包分析工具的主要作用是在接口实时捕捉网络包 并详细显示包的详细协议信息 Wireshark可以捕捉多种网络接口类型的包 哪怕是无线局域网接口 Wireshark可以打开多种网络分析软件捕捉的包 可以支持许多协议的解码 我们可以用它来检测网络安全隐患 解决网络问题 也可以用它来学习网络协议 测试协议执行情况等 Wireshark不会处理网络事务 它仅仅是 测量 监视 网络 Wireshark不会发送网络包或做其它交互性的事情 安装注意事项 安装文件获取 172 16 0 2 softtool toolsLib 抓包工具在安装组件时候选择所有组件 界面风格建议选择Wireshark GTK2userinterface 安装注意事项 勾选下图选项 以支持多种其他网络包分析工具支持的文件格式 安装注意事项 Wireshark安装文件自带WinPcap最新版本 选择安装 Wireshark的使用 1 Wireshark的主窗口 Wireshark的使用 2 网络数据流的监测接入点在被监测计算机上直接捕获 利用集线器将被检测端口的数据分为多路进行捕获 利用交换机的端口数据映射功能进行捕获 Wireshark的使用 3 实时捕获数据包使用按钮 CaptureOptions 开始捕获取对话框 选择正确的NIC进行捕获 注意 windows平台下不支持环回接口捕获 即接口列表中的第一个接口 Wireshark的使用 3 实时捕获数据包设置捕获缓存大小 Buffersize 设置写入数据到磁盘前保留在核心缓存中捕捉数据的大小 如果你发现丢包 可尝试增大该值 设置网卡是否为混杂捕获模式 Capturepacketsinpromiscuousmode 指定Wireshark捕捉包时 设置接口是否为混合接收模式 在非混杂模式下 Wireshark捕获满足以下条件的包 含本网卡地址单播包 具有多播地址且与本网卡地址配置相吻合的数据包 广播包 而在混杂模式下 Wireshark除捕获上述类型的数据包外 与本网卡地址配置不吻合的组播包也会被捕获下来 设置捕获过滤规则Wireshark使用libpcap过滤语句进行捕捉过滤 过滤语句的形式为 not primitive and or not primitive Wireshark的使用 常用的基本单元 primitive 类型 src dst host过滤主机ip地址或名称 通过指定src dst关键词来确定所关注的是源地址还是目标地址 如果未指定 则指定的地址出现在源地址或目标地址中的包会被抓取 ether src dst host过滤主机以太网地址 通过指定关键词src dst来确定所关注的是源地址还是目标地址 如果未指定 则指定的地址出现在源地址或目标地址中的包会被抓取 tcp udp src dst port选择在以太网层或是ip层的指定协议的包例1 捕捉来自特定主机的telnet协议 tcpport23andhost10 0 0 5例2 捕捉所有不是来自10 0 0 5的telnet通信 tcpport23andnotsrchost10 0 0 5 Wireshark的使用 设置多文件连续存储Usemultiplefiles如果指定条件达到临界值 Wireshark将会自动生成一个新文件 Nextfileeverynmegabyte s 如果捕捉文件容量达到指定值 将会生成切换到新文件Nextfileeverynminutes s 如果捕捉文件持续时间达到指定值 将会切换到新文件 Ringbufferwithnfiles仅生成制定数目的文件 Stopcaputureafternfile s 当生成指定数目文件时 停止捕捉 Wireshark的使用 设置停止捕获规则afternpacket s 在捕捉到指定数目数据包后停止捕捉 afternmegabytes s 在捕捉到指定容量的数据后停止捕捉 如果使用 usermultiplefiles 该选项将是灰色 afternminute s 在达到指定时间后停止捕捉 选择开始按钮 进行捕获 选择停止按钮 停止捕获 Wireshark的使用 4 处理已经捕获的包浏览已经捕获的包在已经捕捉完成之后 或者打开先前保存的数据包文件时 通过点击包列表面版中的包 就可以在包详情面板看到关于这个数据包的树状结构以及字节面板 通过点击左侧 标记或者选择右键菜单 ExpandSubtrees 展开数据包当前选择的子树 也可以通过右键选择 ExpandAll 展开数据包的所有子树 Wireshark的使用 浏览过滤包显示过滤可以隐藏一些你不感兴趣的包 让你可以集中注意力在你感兴趣的那些包上面 在包列表面板中选择所需要的包 右键菜单选择 ApplyasFilter selected 即可过滤其他数据包 Wireshark的使用 另外 也可以构建过滤表达式 来过滤那些不感兴趣的数据包 Wireshark提供了简单而强大的过滤语法 你可以用它们建立复杂的过滤表达式 包详情面板的每个字段都可以作为比较值 通过在许多不同的比较操作建立比较过滤 应用这些作为过滤将会仅显示包含该字段的包 例如 过滤字符串 TCP将会显示所有包含TCP协议的包 表1显示过滤比较操作符 也可以用逻辑操作符将过滤表达式组合在一起使用 表2显示过滤逻辑操作符 查找目标包选择菜单 Edit FindPacket 在对话框中输入要查找包的关键字或表达式就可以了 用户可以选择是针对过滤的包进行查找还是通过16进制值进行查找 或是通过字符串进行查找 查找到目标包以后可以通过ctrl n组合键继续查找下一个 ctrl b查找上一个 Wireshark的使用 标记包为了方便查找与操作 我们可以将感兴趣的包做上标记以便迅速找到 选中某个包 然后点击右键菜单 选择 Markpacket 就可以了 Wireshark的使用 标记包除了标记单个包 可以选择 Edit Markallpacket 对所有包进行标记 Wireshark的使用 反标记包被标记的包都会变成黑色 同样可以选择 Edit UnMarkallpacket 对所有包进行还原 反标记 Wireshark的使用 Wireshark常用快捷键介绍从可用网络接口列表开始抓包 点击 工具栏 左边第一个按钮 Wireshark的使用 Wireshark常用快捷键介绍从网络接口列表中选择一个网卡 点击 Start 开始抓包 Wireshark的使用 Wireshark常用快捷键介绍点击 工具栏 左边第二个按钮 Wireshark的使用 Wireshark常用快捷键介绍以下是抓包的选项设置 可以对抓包规则进行详细设定 Wireshark的使用 Wireshark常用快捷键介绍点击 工具栏 左边第三个按钮 可以进行实时抓包 Wireshark的使用 Wireshark常用快捷键介绍点击 工具栏 左边第4个按钮 停止抓包 Wireshark的使用 Wireshark的使用 常见错误 在组合表达式中使用 操作符 像eth addr ip addr tcp port udp port等元素可能会产生非预期效果 例如要构造表达式来排除ip地址为1 2 3 4的包 正确的表达式应该是 ip addr 1 2 3 4 而不是ip addr 1 2 3 4 Wireshark的使用 按指定协议解析数据包在包列表面板选中包 右键选择 DecodeAs 在DecodeAs对话框选择协议 按指定的协议解析数据包 Wireshark的使用 5 文件输入输出打开已捕获的数据包文件Wireshark可以读取以前保存的文件 想读取这些文件 只需选择菜单或工具栏的 File Open Wireshark将会弹出打开文件对话框 你可以在打开文件后修改显示过滤器和名称解析设置 但在一些大文件中进行这些操作将会占用大量的时间 在这种情况下建议在打开文件之前就进行相关过滤 解析设置 另外 也可以直接从文件管理器拖动你想要打开的文件到Wireshark主窗口 Wireshark的使用 保存已捕获的数据包通过File SaveAs 菜单保存已捕获的数据包 在保存时可以选择保存哪些包 以什么格式保存 输入指定的文件名 选择保存的目录 选择保存包的范围 通过点击 保存类型 下拉列表指定保存文件的格式 可以将Wireshark捕获的包保存为其默认格式文件 libpcap 也可以保存为其他格式供其他工具进行读取分析 比如保存文件时候选择格式NASniffer Windows 2 00 x cap 以便Sniffer进行读取分析 点击 保存 S 按钮保存 Wireshark的使用 合并数据包文件有时候你需要将多个捕捉文件合并到一起 例如 如果你对多个接口同时进行捕捉 合并就非常有用 可以使用如下方法合并捕捉文件 1 从 File Merge 打开合并对话框 通过该对话框可以选择需要合并的文件 与当前打开的数据包文件进行合并 可以通过以下三种方式合并 将包插入已存在文件前 按时间顺序合并文件 追加包到当前文件 2 使用拖放功能 将多个文件同时拖放到主窗口 Wireshark会创建一个临时文件尝试对拖放的文件按时间顺序进行合并 如果你只拖放一个文件 Wireshark只是简单地替换已经打开的文件 Wireshark的使用 文件集在进行捕捉时如果设置 MultipleFiles 多文件 选项 捕捉数据会分割为多个文件 称为文件集合 大量文件手动管理十分困难 Wirreshark的文件集合特性可以让文件管理变得方便一点 使用 File 菜单项的子菜单 FileSet 可以对文件集合集合进行很方便的控制 如下图 单击单选钮 当前文件会被关闭 同时载入对应的文件 注意 前提是你目前打开的文件为文件集中的某个文件才能使 FileSet 命令有效 Wireshark的使用 导出数据Wireshark支持多种方法 多种格式导出包数据 从 File Export File 打开导出数据对话框 指定导出包数据的文件名 选择文件保存路径 选择文件保存类型 导出包数据为文本文件 常用于打印数据包 导出包数据摘要为CVS格式 可以被Excel使用 常用来做相关统计 选择需要导出的数据包范围 选择保存按钮 Wireshark的使用 统计分析Wireshark提供了多种多样的网络统计功能 包括捕获数据包文件的基本信息 比如包的数量 对指定协议的统计 例如 统计包文件内HTPP请求和应答数 等等 统计摘要统计摘要主要包括当前网络数据包文件的一些基本信息 比如文件名 文件大小 第一个包和最后一个包的时间戳 网络传输的相关统计等 如果设置了显示过滤 统计信息会显示成两列 Captured列显示过滤前的信息 Displayed列显示过滤后对应的信息 Wireshark的使用 会话统计一个网络会话 指的是两个特定端点之间发生的通信 例如 一个IP会话是两个IP地址间的所有通信 从 Statistics Conversations 打开会话统计信息窗口 在该窗口中 每个支持的协议 都显示为一个选项卡 选项标签显示被捕捉端点数目 例如 Ethernet 30 表示有30个Ethernet端点被捕捉到 如果某个协议没有端点被捕捉到 选项标签显示为灰色 列表中每行显示单个端点的统计信息 Wireshark的使用 流量统计曲线图 从 Statistics IOGraphs 打开流量统计信息窗口 Wireshark根据用户配置生成曲线图 用户可以对一下内容进行设置 GraphsGraph1 5 开启1 5图表 默认仅开启graph1 Color 图表的颜色 不可修改 Filter 指定显示过滤器Style 图表样式 Line Impulse FBar XAxisTickinterval设置X轴的每格代表的时间 10 1 0 1 0 01 0 001seconds Pixelspertick设置X轴每格占用像素 10 5 2 1pixels YAxisUnity轴的单位 Packets Tick Bytes Tick Bits Tick Advanced SsaleY轴单位的刻度 10 20 50 100 200 500 Wireshark的使用 服务响应时间服务响应时间是发送请求到产生应答之间的时间间隔 响应时间在很多协议中可用 比如H 225RAS 从 Statistics ServiceResponseTime 选择所要查看的协议类型 打开服务响应时间信息窗口 下图为H 225RAS服务响应时间 Wireshark的使用 FQA 使用接口列表中默认的第一个接口时候 为什么捕获不到数据 接口列表中的第一个接口为环回接口 Wireshark在windows平台下不支持环回接口捕获 选择正确的接口然后进行数据包捕获 在接口列表中显示多个接口 如何确定哪个接口为本pc的网