WireShark使用心得V1.0.doc

WireShark 使用心得 V1 0 威发系统中国有限公司 2012 年 2 月 20 日 Wireshark 抓包指导 威发系统中国有限公司 上海市虹桥路 1452 号古北财富中心 601 室 第 2 页 共 15 页 目录 第 1 章WIRESHARK 过滤器介绍 3 1 1为什么要使用过滤器 3 1 2两种过滤器 3 第 2 章IP 地址过滤及其他过滤方式 4 2 1IP 地址过滤的语法结构 4 2 2逻辑符的使用 5 2 3协议子参数的使用 6 2 4其他协议的使用 7 第 3 章其他常用功能 8 3 1定时抓取报文并保存在特定文件中 8 3 2计算所抓取包大小和速率 10 第 4 章常见问题 11 4 1Win7 vista 无法识别到无线网卡 11 4 2无法抓到无线网卡数据 12 4 3抓取带有 802 1Q 标签的报文 13 Wireshark 抓包指导 威发系统中国有限公司 上海市虹桥路 1452 号古北财富中心 601 室 第 3 页 共 15 页 第 1 章 WireShark 过滤器介绍 1 1 为什么要使用过滤器 在我们日常的工作中 有时需要从抓取的大量报文中过滤出我们感兴趣的报 文 比方说处理客户端获取不到 DHCP 地址时 抓取客户端与服务器之间的 DHCP 报文 此时我们只需要看到 DHCP 报文 对于网络中其他的报文我们并不 关心 这时就需要将 DHCP 报文从所有报文中过滤出来 通过 WireShark 的过 滤功能 能有效提高我们的工作效率 1 2 两种过滤器 WireShark 的过滤器分为两种 一种称之为 显示过滤器 另一种称之为 抓取过滤器 显示过滤器 是在报文抓取结束后 从中过滤出我们想要的报 文 例如上面所提到的过滤出 DHCP 报文的例子 使用的就是显示过滤器 图一 中红框部分即为显示过滤器 另外一种 抓取过滤器 需要在抓包开始之前设置 通常用在故障处理期间 等待特定故障报文的出现 该过滤器只抓取符合条件报 文 可以尽量缩小抓包文件的大小 图二中红框部分即为抓取过滤器 图一 显示过滤器 Wireshark 抓包指导 威发系统中国有限公司 上海市虹桥路 1452 号古北财富中心 601 室 第 4 页 共 15 页 图二 抓取过滤器 第 2 章 IP 地址过滤及其他过滤方式 2 1 IP 地址过滤的语法结构 IP 地址的基本语法结构由四部分组成 分别是协议 参数 比较符和值 通 常情况下 我们利用这四种参数就可以完成很多基本的操作 协议参数比较符值 IP TCP UDP BOOTP HTTP 源地址 目的地址 源端口号 目的端口号 等于 不等于 大于 小于 小于等于 IP 地址 端口号 表一 IP 过滤基本组成 下面我们用一个具体的例子进行解释 Wireshark 抓包指导 威发系统中国有限公司 上海市虹桥路 1452 号古北财富中心 601 室 第 5 页 共 15 页 例一 查询所有报文中目的地址为 172 16 0 85 的报文 语法及显示结果如下 ip dst 172 16 0 85 图三 显示结果 2 2 逻辑符的使用 有时我们可能需要过滤多个参数 如需要同时匹配源地址和目的地址 此时 我们需要使用逻辑符 具体的逻辑符有以下几种 逻辑符符号表示含义 and 与 or 或 xor 异或 not 非 表二 逻辑符 逻辑符的使用请看例二 例二 查询目地址为 172 16 0 85 且协议为 HTTP 的报文 语法及显示结果如下 Wireshark 抓包指导 威发系统中国有限公司 上海市虹桥路 1452 号古北财富中心 601 室 第 6 页 共 15 页 ip dst 172 16 0 85 and http 图四 显示结果 2 3 协议子参数的使用 几乎每个每个协议都含有很多的子参数 如之前例子中 IP 协议的目的地址和 源地址 都属于 IP 协议中的子参数 子参数的格式如 IP dst 通过符号 表明后面携带的是子参数 我们利用例三说明一下子参数的含义 例三 查询 ARP 协议中 Send Mac 为特定地址的报文 首先利用显示过滤器 查找到 ARP 协议 我们看到其中包含了很多的子参数 如图五 Wireshark 抓包指导 威发系统中国有限公司 上海市虹桥路 1452 号古北财富中心 601 室 第 7 页 共 15 页 图五 ARP 的子参数 随后我们选择 arp src hw mac 这个子参数 比较方式为 等于 参数值为 我们希望查找的主机的 MAC 地址 最终生成的语法和显示结果如下 图六 arp src hw mac d4 20 6d cf 6b ef 图六 显示结果 2 4 其他协议的使用 除了常用的 IP 协议外 WireShark 还可以采集及过滤其他报文 如 HTTP 协 议 具体例子如下 例四 查询访问过新浪网页的报文 语法及显示结果如下 http contains sina 图七 显示结果 Wireshark 抓包指导 威发系统中国有限公司 上海市虹桥路 1452 号古北财富中心 601 室 第 8 页 共 15 页 非 IP 协议相较于 IP 协议 还有两种运算符 分别是 contains 包含 和 matches 匹配 这两个运算符只能针对文字内容 不适用于 IP 地址 MAC 地 址等其他参数 第 3 章 其他常用功能 3 1 定时抓取报文并保存在特定文件中 有时遇到疑难故障需要长时间抓取特定报文时 通常的一个抓包文件可能不 方便进行故障排查 如果能够按照每天或者每几个小时为单位 定时抓取特定报 文 并以时间作为名称保存起来 就会给我们的故障排查提供很多便利 WireShark 完全可以支持这样的功能 具体的使用方法如下 1 打开 WireShark 点击网卡图标 出现下图界面 图八 列出所有网卡界面 2 选择用于采集的网卡 点击上图中的 options 按钮 3 如图九 选择需要保存的目录 需要抓取的报文和间隔保存时间 然后 点击 start 就可以开始抓包了 除了以时间为间隔进行抓包外 还 支持以抓取到的数据大小 总文件数量来决定抓包的起始 Wireshark 抓包指导 威发系统中国有限公司 上海市虹桥路 1452 号古北财富中心 601 室 第 9 页 共 15 页 图九 设置界面 4 最终保存文件的结果如下图 可以看到是以 人工命名 序号 时间 组 成的 Wireshark 抓包指导 威发系统中国有限公司 上海市虹桥路 1452 号古北财富中心 601 室 第 10 页 共 15页 图十 抓包文件在计算中的保存形式 3 2 计算所抓取包大小和速率 有时我们可能需要统计所抓数据包的大小和速率 WireShark 可以很方便的 进行统计 具体步骤如下 1 使用 FTP 协议进行一次下载 速度在 70 80KB S 如图十一所示 图十一 FTP 下载速度 2 进行下载的同时抓包 一段时间后停止抓包 3 点击 WireShark 菜单栏中的 statistics protocol hierarchy 出现如图 十二的界面 我们可以看到其中的 FTP Data 的速率为 0 605Mbits s 与实际中的下 载速度近似 Wireshark 抓包指导 威发系统中国有限公司 上海市虹桥路 1452 号古北财富中心 601 室 第 11 页 共 15页 第 4 章 常见问题 4 1 Win7 vista 无法识别到无线网卡 问题现象 实际的电脑网卡如下图 WireShark 中问题如下图所示 在 WireShark 中看不到系统的无线网卡 解决方法 在 WireShark 中其中一块 Microsoft 的网卡其实就是无线网卡 只是微 软使用了一个中间驱动将 802 11 的数据转化为 802 3 的数据 所以在 WireShark 中只能抓到无线数据报文 但是无法抓到无线相关的认证报文 如 wpa 认证 可以先移除其他网络接口 只保留无线网卡 然后 ping 某个地址 某块网 卡后面的计数值会不断增加 则该网卡就是系统内的无线网卡 如下图 Wireshark 抓包指导 威发系统中国有限公司 上海市虹桥路 1452 号古北财富中心 601 室 第 12 页 共 15页 4 2 无法抓到无线网卡数据 在 Capture options 中 取消 Capture packets in promiscuous mode 选项的勾选 如下图所示 Wireshark 抓包指导 威发系统中国有限公司 上海市虹桥路 1452 号古北财富中心 601 室 第 13 页 共 15页 4 3 抓取带有 802 1Q 标签的报文 有时我们可能需要抓取带 TAG 的报文用于学习 WireShark 一样可以支持 由于我的笔记本网卡为 intel 的网卡 故目前先放出 intel 网卡的设置办法 1 更新 intel 网卡的驱动 我目前使用的驱动版本如下 2 修改电脑注册表 路径如下 HKEY LOCAL MACHINE SYSTEM ControlSet001 Control Class 4D36E972 E325 11CE BFC1 08002BE10318 00 xx 最后一个 00 xx 值不固定 可以通过下图中的描述来确定网卡的信息 Wireshark