Wireshark抓包软件使用教程PPT课件

15计接本孟亚超2016年4月,Wireshark抓包软件使用教程,1,-,启动后的界面,2,-,功能界面介绍,3,-,MENUS（菜单）,SHORTCUTS（快捷方式）,DISPLAYFILTER（显示过滤器）,PACKETLISTPANE（封包列表),PACKETDETAILSPANE（封包详细信息）,DISSECTORPANE（16进制数据）,MISCELLANOUS（杂项）,4,-,对应的协议分层,5,-,File（文件）打开或保存捕获的信息。Edit（编辑）查找或标记封包。进行全局设置。View（查看）设置Wireshark的视图。Go（转到）跳转到捕获的数据。Capture（捕获）设置捕捉过滤器并开始捕捉。Analyze（分析）设置分析选项。Statistics（统计）查看Wireshark的统计信息。Help（帮助）查看本地或者在线支持。,6,-,在菜单下面，是一些常用的快捷按钮。您可以将鼠标指针移动到某个图标上以获得其功能说明。,显示过滤器用于查找捕捉记录中的内容。注意，不要将捕捉过滤器和显示过滤器的概念相混淆。,7,-,封包列表中显示所有已经捕获的封包。在这里可以看到发送或接收方的MAC/IP地址，TCP/UDP端口号，协议或者封包的内容。如果捕获的是一个OSIlayer2的封包，在Source（来源）和Destination（目的地）列中看到的将是MAC地址，当然，此时Port（端口）列将会为空。如果捕获的是一个OSIlayer3或者更高层的封包，在Source（来源）和Destination（目的地）列中看到的将是IP地址。Port（端口）列仅会在这个封包属于第4或者更高层时才会显示。在Editmenu-Preferences下可以添加/删除列或者改变各列的颜色：,8,-,这里显示的是在封包列表中被选中项目的详细信息。信息按照不同的OSIlayer进行了分组，可以展开每个项目查看。下面截图中展开的是HTTP信息。,9,-,“解析器”在Wireshark中也被叫做“16进制数据查看面板”。这里显示的内容与“封包详细信息”中相同，只是改为以16进制的格式表述。在上面的例子里，我们在“封包详细信息”中选择查看TCP端口（80），其对应的16进制数据将自动显示在下面的面板中（0050）。,10,-,通过Ctrl+F快捷键打开查找窗口，可以在已经捕捉到的包中查找你需要的信息（查找文本比较方便）常用的查找类型是String，查找包的详细内容Packetdetails举例，查找捕获的包中解码出来的内容包含index的包,11,-,使用Wireshark时最常见的问题，是使用默认设置时，会得到大量冗余信息，以至于很难找到自己需要的部分。因此，过滤器的使用可以提高分析的效率捕捉过滤器：用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。显示过滤器：在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。两种过滤器的目的是不同的捕捉过滤器是数据经过的第一层过滤器，用于控制捕捉数据的数量，以避免产生过大的日志文件。显示过滤器是一种更为强大和复杂的过滤器。用于在已经捕获的数据包中迅速准确地找到所需要的记录。,12,-,捕捉过滤器,13,-,点击showthecaptureoptions,14,-,一：选择本地的网络适配器,二：设置捕捉过滤,填写capturefilter栏或者点击capturefilter按钮为您的过滤器起一个名字并保存，以便在今后的捕捉中继续使用这个过滤器。,15,-,16,-,17,-,捕捉过滤器Protocol（协议）:可能的值:ether,fddi,ip,arp,rarp,decnet,lat,sca,moprc,mopdl,tcpandudp.如果没有特别指明是什么协议，则默认使用所有支持的协议。Direction（方向）:可能的值:src,dst,srcanddst,srcordst如果没有特别指明来源或目的地，则默认使用“srcordst”作为关键字。例如，”host与”srcordsthost是一样的。Host(s):可能的值：net,port,host,portrange.如果没有指定此值，则默认使用”host”关键字。例如，”src与”srchost相同。LogicalOperations（逻辑运算）:可能的值：not,and,or.否(“not”)具有最高的优先级。或(“or”)和与(“and”)具有相同的优先级，运算时从左至右进行。例如，“nottcpport3128andtcpport23与”(nottcpport3128)andtcpport23相同。“nottcpport3128andtcpport23与”not(tcpport3128andtcpport23)”不同。,18,-,例子：tcpdstport3128/捕捉目的TCP端口为3128的封包。ipsrchost/捕捉来源IP地址为的封包。host/捕捉目的或来源IP地址为的封包。etherhoste0-05-c5-44-b1-3c/捕捉目的或来源MAC地址为e0-05-c5-44-b1-3c的封包。如果你想抓本机与所有外网通讯的数据包时，可以将这里的mac地址换成路由的mac地址即可。srcportrange2000-2500/捕捉来源为UDP或TCP，并且端口号在2000至2500范围内的封包。notimcp/显示除了icmp以外的所有封包。（icmp通常被ping工具使用）srchost2andnotdstnet/16/显示来源IP地址为2，但目的地不是/16的封包。(srchost2orsrcnet/16)andtcpdstportrange200-10000anddstnet/8/捕捉来源IP为2或者来源网络为/16，目的地TCP端口号在200至10000之间，并且目的位于网络/8内的所有封包。srcnet/24srcnetmask/捕捉源地址为网络内的所有封包。,19,-,注意事项：当使用关键字作为值时，需使用反斜杠“/”。“etherproto/ip”(与关键字”ip”相同).这样写将会以IP协议作为捕捉目标。“ipproto/icmp”(与关键字”icmp”相同).这样写将会以icmp作为捕捉目标。可以在”ip”或”ether”后面使用”multicast”及”broadcast”关键字。想排除广播请求时，”nobroadcast”就会非常有用。,20,-,填写capturefilter栏或者点击capturefilter按钮为您的过滤器起一个名字并保存，以便在今后的捕捉中继续使用这个过滤器。,三：点击开始,21,-,显示过滤器,22,-,可以使用大量位于OSI模型第2至7层的协议。点击Expression.按钮后，可以看到它们。比如：IP，TCP，DNS，SSH,23,-,可以在如下所示位置找到所支持的协议：,24,-,Wireshark的网站提供了对各种协议以及它们子类的说明。,25,-,显示过滤器,Protocol（协议）:您可以使用大量位于OSI模型第2至7层的协议。点击”Expression”按钮后，您可以看到它们。比如：IP，TCP，DNS，SSHString1,String2(可选项):协议的子类。点击相关父类旁的”+”号，然后选择其子类。Comparisonoperators（比较运算符）:可以使用6种比较运算符：Logicalexpressions（逻辑运算符）:,26,-,Comparisonoperators（比较运算符）:可以使用6种比较运算符：,还可以使用contains判断一个协议，字段或者分片包含一个值matches判断一个协议或者字符串匹配一个给定的Perl表达式contains操作符允许一个过滤器搜索一串字符，其形式为字符串，或者字节，或者字节组。例如在搜索一个HTTPURL地址，可以使用下面的过滤器：httpcontains“”；contains操作符不能被用于原子型的字段，比如数字和ip地址。matches操作符允许一个过滤器使用与Perl兼容的正则表达式（PCRE）。“matches”操作符只能应用于协议或者字符串类型的协议字段。例如：搜索一个给定的WAPWSPUser-Agent，可以这样写过滤器：wsp.user_agentmatches(?i)cldc,27,-,Logicalexpressions（逻辑运算符）:,28,-,例子：snmp|dns|icmp/显示SNMP或DNS或ICMP封包。ip.addr=/显示来源或目的IP地址为的封包。ip.src!=orip.dst!=/显示来源不为或者目的不为的封包。换句话说，显示的封包将会为：来源IP：除了以外任意；目的IP：任意；以及来源IP：任意；目的IP：除了以外任意ip.src!=andip.dst!=/显示来源不为并且目的IP不为的封包。换句话说，显示的封包将会为：来源IP：除了以外任意；同时须满足，目的IP：除了以外任意tcp.port=25/显示来源或目的TCP端口号为25的封包。tcp.dstport=25/显示目的TCP端口号为25的封包。tcp.flags/显示包含TCP标志的封包。tcp.flags.syn=002/显示包含TCPSYN标志的封包。,29,-,显示过滤器使用小技巧如果在抓包文件中已经找到一个你想看到的包，希望快速查找整个抓包文件中这种类型的包，可以在相关的显示内容处，右键-ApplyasFilter，即可快速的筛选出真个抓包文件中需要找到的相同类型的包,30,-,举例：想在抓到的内容中筛选出所有HTTPGET类型的包如果用显示过滤器来写，要写http.request.method=“GET”，比较复杂可以找一个包，里面有HTTPGET的在这里点右键,31,-,选择后，软件会自动过滤出所有包含HTTPGET的包，并且在显示过滤器处写好了正确的语法,32,-,注意：无论是捕捉过滤器还是显示过滤器，如果过滤器的语法是正确的，表达式的背景呈绿色。如果呈红色，说明表达式有误。,表达式错误,表达式正确,33,-,统计工具,34,-,Summary（显示摘要信息）,35,-,在综合窗口里可以看到全局的统计信息：-保存捕捉结果的文件-捕捉时间-捕捉过滤器的信息。-显示过滤器的信息。,36,-,ProtocolHierarchy（协议类型和层次结构）,37,-,协议层：显示按照OSIlayer分类后的统计数据。,38,-,Conversations（会话）,39,-,Ethernet会话：每种协议后面会有一个数字，这个数字表示的是使用这种