wireshark抓包应用指导说明书.doc

内部公开 1 24 内部文件 请勿扩散 杭州迪普科技有限公司 wiresharkwireshark 抓包应用指导说明书抓包应用指导说明书 拟制雷振华日期2015 4 10 评审人日期 签发日期 内部公开 2 24 内部文件 请勿扩散 内部公开 3 24 内部文件 请勿扩散 修订记录 日期修订版本描述作者 2015 4 10V1 0初稿完成雷振华 内部公开 4 24 内部文件 请勿扩散 目 录 1 WIRESHARK 介绍 5 2 功能介绍 5 3 图形界面抓报文 5 3 1 选择网卡抓报文 5 3 2 显示报文抓取时间 7 3 3 WIRESHARK 界面布局 8 3 4 报文过滤条件 9 3 4 1 常用过滤条件 10 3 4 2 WIRESHARK EXPRESSION 11 3 4 3 高级过滤条件 11 3 4 4 WIRESHARK CAPTURE FILTER 14 4 命令行抓报文 15 4 1 选择网卡 15 4 2 命令行过滤条件 17 4 3 常用过滤条件 17 5 批量转换报文格式 18 内部公开 5 24 内部文件 请勿扩散 1Wireshark 介绍 Wireshark 是开源网络包分析工具 支持 Windows Linux Unix 环境 网络包分析工具的 主要作用是尝试捕获网络包 并尝试显示包的尽可能详细的情况 可以从网站下载最新版本 的 Wireshark http www wireshark org download html Wireshark 通常在 4 8 周内发布一次 新版本 2功能介绍 Wireshark 支持图形和命令行两种抓报文方式 3图形界面抓报文 3 1 选择网卡抓报文 第一步 打开 wireshark 抓包软件 点击 Capture Interfaces 如图 3 1 内部公开 6 24 内部文件 请勿扩散 图 3 1 选择网卡 第二步 选择抓包的网卡 点击 Strart 开始抓包 这样将抓取流经此网卡的所有报文 并 临时保存在内存中 因此 如果持续抓包将消耗掉系统所有内存 如图 3 2 和图 3 3 图 3 2 启动抓包 内部公开 7 24 内部文件 请勿扩散 图 3 3 抓包界面 图标说明 重新抓报文 停止抓报文 表 1 1 3 2 显示报文抓取时间 打开 wireshark 抓包软件 点击 View TimeDisplay Format Date and Time of Day 如图 3 4 和图 3 5 内部公开 8 24 内部文件 请勿扩散 图 3 4 效果图 图 3 5 3 3 Wireshark 界面布局 Wireshark 界面主要分为三部分 如图 3 6 区域一显示抓取的报文 区域二显示选中 报文的包头详细信息 区域三显示选中报文的详细信息 默认以十六进制显示 内部公开 9 24 内部文件 请勿扩散 图 3 6 功能说明 区域一显示抓取的报文 区域二显示选中报文的包头详细信息 区域三显示选中报文的详细信息 默认以十六进制显示 Packets 抓取的所有报文计数 Displayed 满足过滤条件的报文计数 表 1 2 内部公开 10 24 内部文件 请勿扩散 3 4 报文过滤条件 Wireshark 能够根据应用的需要设置灵活方便的过滤条件 迅速筛选出符合条件的报文 Wireshark 的 Filter 过滤能够自动检测语法合法性 如果过滤条件设置正确 则 Filter 输入框 为绿色 如果过滤条件设置错误 则 Filter 输入框为红色 如图 3 7 图 3 7 3 4 1 常用过滤条件 功能说明 ip addr 10 23 7 113 源 IP 地址或目的 IP 地址是 10 23 7 113 的报文 ip src 10 23 7 113 源 IP 地址是 10 23 7 113 ip dst 10 23 7 113 目的 IP 地址是 10 23 7 113 ip src 10 23 7 113 and ip dst 10 23 7 113 报文源 IP 地址是 10 23 7 113 且目的 IP 地址是 106 28 142 181 IPip udp tcp port 80 过滤 udp 或 tcp 源端口或目的端口是 80 的报文 udp tcp srcport 40004 过滤 udp 或 tcp 源端口是 40004 的报文 udp tcp dstport 80 过滤 udp 或 tcp 目的端口是 80 的报文 tcp srcport 40004 and tcp dstport 80 过滤 tcp 协议源端口是 40004 且目的端口是 80 的报文 tcp udp http 过滤 tcp udp http 报文 内部公开 11 24 内部文件 请勿扩散 tcp flags syn 0 x02 抓 tcp syn 报文 ip id 0 xadcd 过滤 ip 报文 id 是 0 xadcd 的报文 表 1 3 3 4 2 Wireshark expression 当然 如果你对 Filter 过滤规则不熟悉或者不知道如何怎么写时 可以使用 wireshark 的 Expression 这里列出了 wireshark 所支持的所有过滤协议以及过滤方式 图 3 8 3 4 3 高级过滤条件 上述的过滤条件都是 wireshark 内置的 主要是根据已知的包头字段内容过滤 同时 wireshark 也支持根据报文负载内部过滤 内部公开 12 24 内部文件 请勿扩散 表 1 4 根据负载单字节过滤 如图 3 9 图 3 9 项目说明 tcp udp offset n 从 tcp 或 udp 偏移指定字节后 命中指定 n 个 字节的内容 tcp 20 8 表示从 20 开始 取 8 个字节 udp 8 3 表示从 8 开始 取 3 个字节 udp 8 3 81 60 03 不可以写为 udp 8 3 816003 内部公开 13 24 内部文件 请勿扩散 根据 udp 负载过滤双字节 如图 3 10 图 3 10 根据 tcp 包头后 3 字节内容 如图 3 11 图 3 11 内部公开 14 24 内部文件 请勿扩散 3 4 4 Wireshark capture filter 根据 3 1 抓报文 wireshark 默认抓取所选网卡的所有报文 并且保存在内存中 如果忘 记停止抓报文 会耗尽系统内存 我们完全可以设置 wireshark 只抓取满足过滤条件的报文 图 3 12 点击图中的 Options 选择 进入图 3 13 图 3 13 设置好过滤条件后 点击 Start wireshark 就只抓取符合过滤条件的报文 内部公开 15 24 内部文件 请勿扩散 在 Capture Filter 输入框内输入过滤条件 语法正确 输入框背景显示为绿色 语法错 误 输入框背景显示为红色 请注意 此处的语法与 3 4 1 不相同 常用过滤条件 表 1 5 4命令行抓报文 命令行抓包可以让抓取的报文直接保存在硬盘上 这样既不用担心 wireshark 抓大流量报 文时 例如笔记本抓 1Gbps 速率的报文 崩溃 又不用担心迅速耗尽系统内存的风险 4 1 选择网卡 使用 cmd 进入 wireshark 的安装目录 如图 4 1 图 4 1 功能说明 Host 10 23 7 113 源 IP 地址或目的 IP 地址是 10 23 7 113 的报文 host 10 23 7 113 and tcp port 4444 源 IP 地址或目的 IP 地址是 10 23 7 113 的报文且 tcp 端口是 4444 的报文 udp port 69 udp 端口是 69 的报文 内部公开 16 24 内部文件 请勿扩散 执行 dumpcap exe D 列出所有网卡 图 4 2 根据 wireshark 图形界面 选择你需要抓包接口 ID 内部公开 17 24 内部文件 请勿扩散 图 4 3 4 2 命令行过滤条件 Dumpcap exe i 1 s 0 B 256 filesize 10000 w f 1 pcap f tcp port 80 图 4 4 项目说明 i 1接口 ID 值 可使用 dumpcap exe D 查看 s 0指定抓取报文的长度 0 表示抓取报文全部长 度 B 256size of kernel buffer 即系统内核缓存 默认 是 2M Filesizes 10000每 10M 一个文件保存 w f 1 pcap抓取的报文保存在 F 盘 文件名为 1 pcap f tcp port 80 抓报文的过滤条件 表 1 6 4 3 常用过滤条件 1 dumpcap exe i 4 s 65535 b filesize 100000 w F radius filter test pcap f udp 30 4 0 x30383734 内部公开 18 24 内部文件 请勿扩散 2 dumpcap exe i 1 s 65535 B 256 b filesize 200000 w F pcap1 3 pcap f udp port 1813 3 dumpcap exe i 2 s 65535 B 256 b filesize 10000 w F pcacp 3 pcap f host 182 244 157 105 5批量转换报文格式 在我们的日常工作中排查一些局点问题 往往需要从前方局点抓一些报文在公司进行回 放测试 以帮助分析和定位问题 但往往通过 wireshark 自动执行抓包后保存的报文格式默 认是 pcapng 类型 使用公司的报文回放工具 SendPcap v1 1 exe 因识别不了此类格式的报 文而无法进行回放 若通过手动方式将报文一个一个打开后再保存为我们能用的格式 工作 量是非常大的 这个时候我们就需要借助自动化脚本进行批量转化 大大简化工作量来达到 我们的目的 本文重点介绍通过自动化执行脚本方式来批量转化报文的方法 按照本文介绍 的方法 我们可以很轻松的实现将大批量的报文在短时间内进行转化 步骤 1 确定 wireshark 安装目录 如图 5 1 图 5 1 内部公开 19 24 内部文件 请勿扩散 步骤 2 操作方法 计算机 属性 高级系统设置 高级 环境变 量 在弹出的窗口中确认 用户变量 有没有 path 变量 如果没有则选择 新建 在弹 出的窗口中 变量名 为 path 对应的变量值则为 wireshark 的安装路径 若已经存在 path 变量 则只需要编辑 path 变量 将 wireshark 的安装路径作为变量值输入 注 意 若 path 变量中已存在其他变量 则需要用 分号将各个变量隔开 系统变量的 设置方法与用户变量的设置方法一致 说明 用户变量 与 系统变量 的区别 用户变量只对当前用户有效 而系统变量对所有 用户都生效 所以如果需要此设置对其他用户也生效 则只需设置系统变量即可 图 5 2 内部公开 20 24 内部文件 请勿扩散 图 5 3 内部公开 21 24 内部文件 请勿扩散 图 5 4 步骤 3 操作方法 将下面的内容复制到记事本中 然后保存为 bat 格式 命名为 批 量转化报文格式 bat if exist subdirs txt del subdirs txt nul dir d b a d subdirs txt for f i in subdirs txt do tshark r i F pcap w converted i pause del subdirs txt nul 内部公开 22 24 内部文件 请勿扩散 图 5 5 步骤 4 操作方法 将上一步创建的脚本放到需要转化的报文目录下 然后新建一个文 件夹并命名为 converted 用于存放格式转化后的报文 图 5 6 步骤 5 操作方法 双击脚本 批量转化报文格式 bat 弹出一个 cm