WireShark教程详解PPT总结

WireShark教程版本1.2.5，概述，WireShark名为以太网，新名称始于2006年。 当时Ethereal的主要开发者决定离开他所在的公司，继续开发这个软件。 因为以太网这个名字的使用权已经在原来的公司注册了，所以产生了Wireshark这个新名字。 Wireshark的优点：易于安装。 使用方便的界面。 提供丰富的功能。 软件概述，网络管理员使用Wireshark检测网络问题，网络安全工程师使用Wireshark检查与信息安全相关的问题，开发人员使用Wireshark调试新协议一般用户使用Wireshark学习有关网络协议的知识，有些人在寻找“缺乏自信”的机密信息Wireshark不是入侵检测软件。 Wireshark不会对网络上的异常通信行为产生警告或提示。 但是，仔细分析Wireshark截取的数据包有助于用户更清楚地理解网络的行为。 Wireshark仅反映当前流通的包信息，而不会更改网络包的内容。 Wireshark本身也不会向网络发送数据包。启动后的接口、功能接口介绍：MENUS (菜单)，SHORTCUTS (快捷方式)，DISPLAYFILTER (显示过滤器)，PACKETLISTPANE (包列表)，PACKETDETAILSPANE 打开或保存DISSECTORPANE(16进制数据)、MISCELLANOUS (其他)、file (文件)捕获的信息。 查找或标记“Edit”(编辑)包。 进行全局设定。 设置“View”(查看) Wireshark的视图。 跳转到“Go”(转到)捕获的数据。 设置“Capture”(捕获)捕获过滤器并开始捕获。 设置“Analyze”(分析)分析选项。 统计信息显示Wireshark的统计信息。 “Help”(帮助)显示本地或联机支持。Help帮助ContentsWireshark文档supportedprotioncosswireshark支持的协议列表手册(HTML页) 关于WiresharkOnlineWireshark在线aboutwiresharkwireshark根据ANSI美国标准协会的ANSI协议的fami 38 analysis.t 38传真标准的GSM全球移动通信系统GSM的数据h.28 tamp3MTP 3协议的数据RTP实时传输协议RTP的数据SCTP数据流控制传输协议SCTP的数据SIP.会话初始化协议SIP的数量使用VoIPCalls因特网IP电话的数据WAP-WSP无线电应用p的数据BOOTP-DHCP引导协议和动态主机配置协议的数据Destinations通信目的地FlowGraph网络通信流程图HTTP超文本传输协议的数据IPaddress因特网IP地址ISUP MP 消息组播流ONC-RPCProgramsPacketLength分组的长度PortType传输层通信端口类型TCPStreamGraph传输控制协议TCP流波形图Statistics 分析摘要检索到的数据文件的统计信息ProtocolHierarchy数据的协议类型和层次结构Conversations会话结束点定义统计信息分析的结束点IOGraphs输入/输出数据流图表ConversationList会话列表端点列表ServiceResponseTime从客户端发出请求到从服务器收到响应之间的时间间隔由Analyze捕获的网络Filters选择过滤器ApplyasFilter并将其应用于过滤器preparationfilter。 过滤器FirewallACLRules防火墙ACL规则EnabledProtocols可分析的协议列表DecodeAs使网络数据成为某物的协议规则解码UserSpecifiedDecodes用户CPStream跟踪TCP传输控制协议的通信数据段并且恢复分布式传输的数据的组合FollowSSLstream或SSL安全套接字协议的通信数据流ExpertInfo专家分析信息expertinfocomm Capture捕获网络数据接口选择本机的网络接口来捕获数据的Options捕获参数选择开始捕获Start网络数据停止捕获网络数据停止Restart o执行Back执行Forward执行Gotopacket迁移到某个包GotoCorrespondingPacket是该包的PreviousPacket之前的包NextPacket的下一个包FirstPacket的第一个包let View视图主工具栏FilterToolbar过滤器工具栏WirelessToolbar无线工具栏Statusbar运行状况工具栏PacketList包列表PacketDetails包详细信息packet 显示格式时间显示格式Nam eresolution名称解析(转换：域名/IP地址、制造商名/MAC地址端口号/端口名) 以ColorizePacketList颜色标识的包列表AutoScrollinLiveCapture实时捕获时实时滚动ZoomIn放大显示ZoomOut缩小显示NormalSize正常大小ResizeAllColumns全部ees扩展包内封装协议的子树ExpandAll扩展CollapseAll缩小ColoringRules用不同的颜色识别不同种类的包的规则在新窗口中显示ShowPacketinNewWindow包reload deployment findpacket的编辑检索包FindNext检索在下一个FindPrevious检索前的MarkPacket(toggle )包标记(标定) FindNextMark查找下一个标记的包FindPreviousMark查找上一个标记的包MarkAllPackets标记所有包的UnmarkAllPackets删除所有包的标记的设置引用FindNextReference检索设定下一个参照点FindPreviousReference检索前的参照点Preferences参数选择，文件打开的文件Open打开的文件OpenRecent最近访问的文件Merge Close此文件另存为save asfileset文件属性Export文件输出Print打印输出Quit已关闭，菜单下方有一些常用快捷键按钮。将鼠标指针移动到图标上方可查看功能说明。 以显示用于在捕获记录中查找内容的过滤器。 不要混淆捕获过滤器和显示过滤器的概念。 有关Wireshark过滤器的详细信息。 的双曲馀弦值。 显示收发者的MAC/IP地址、TCP/UDP端口号、协议或包的内容。 捕获osi第2层包时，Source (源)和Destination (目标)列将显示MAC地址，端口(端口)列为空。 如果捕获了OSIlayer3或更高版本的包，IP地址将显示在Source (源)和Destination (目标)列中。 仅当此包属于第四个或更高级别时，才显示Port (端口)列。 在Editmenu-Preferences中，可以添加或删除列或更改列的颜色。 此处显示包列表中所选项目的详细信息。 信息按不同的OSIlayer分组，可以展开和显示每个项目。 以下屏幕截图展开了HTTP消息。 “解析器”在Wireshark中也称为“十六进制数据显示面板”。 此处显示的内容与“数据包详细信息”相同，但更改为以十六进制表示。 在上面的示例中，选择在包详细信息中显示TCP端口(80 )，以便在下面的面板(0050 )中自动显示相应的十六进制数据。 -正在捕获的网络设备。 -捕获是开始还是停止。 -捕获结果的保存位置。 -捕获的数据量。 -捕获的数据包数量。 (P)-显示的数据包数量。 (d ) (经过显示过滤器过滤后仍显示的包) -标记的包数。 (运行Wireshark开始分析网络非常简单。 使用Wireshark最常见的问题是，使用默认设置可以获得大量冗馀信息，并且很难找到所需的部分。 这就是为什么过滤器很重要的原因。 他们有助于我们在复杂结果中迅速找到必要的信息。 捕获过滤器：用于确定捕获结果中记录的信息。 必须在开始捕获之前进行配置。 显示筛选器：在捕获结果中进行详细搜索。 他们得到捕捉结果后，可以自由修正。 两个过滤器的目的是，不同的捕获过滤器是数据通过的第一级过滤器，控制捕获数据的量，以防止生成大的日志文件。 显示过滤器是更强大(更复杂)的过滤器。 在日志文件中快速准确地找到所需的记录。 捕捉过滤器单击显示过滤器，选择showthecaptureoptions，1 :本地网络适配器，2 :设置捕捉过滤器，输入“捕捉过滤器”栏或“捕捉过滤器”按钮协议(协议) :可能的值：以太网、fddi、ip、arp、rarp、decnet、lat、sca、moprc、mopdl、tcpandudp。 如果未特别指定协议，则默认情况下将使用所有支持的协议。 Direction (方向) :的可能值：src、dst、srcanddst、srcordst默认情况下使用“srcordst”作为关键字(如果未特别指定源或目标)。 例如，“主机”和“srcordsthost”相同。 Host(s):的可能值为net、port、host、portrange .如果未指定此值，则默认使用host关键字。 例如，src与srchost相同。 逻辑操作(逻辑运算) :的值优先于not，and，or.no(not”)。 或( or )和( and )具有相同的优先级，运算从左向右进行。 例如，“not tcpport 3128和tcpport 23”与“not tcpport 3128和tcpport 23”相同。 “not tcpport 3128和tcpport 23”与“not (tcpport 3128和tcpport 23 )”不同。 另外，tcpdstport3128显示目的地的TCP端口为3128的分组。 显示ipsrchost.1源IP地址为10.1.1的包。 host显示目标或源IP地址为的包。srcportrange2000-2500显示从UDP或TCP发送的端口号在2000到2500之间的数据包。 noticmp显示除icmp之外的所有数据包。 (icmp通常用于ping工具) srchost 2 andnotdstnet /16指示源IP地址为2且目标不是/16的包。 (srchost 2 orsrconet /16 )对于andtcpdstportrange 200-10000 anddstnet /8，源IP为2或源网络为/16 您可以输入capturefilter栏，也可以按一下capturefilter按钮储存筛选器的名称，并继续使用此筛选器进行未来撷取。 3 :点击开始。 注：如果要使用关键字作为值，请使用反斜杠“”。 “etherprotoip”(与关键字“ip”相同)。 这种写操作以ip协议为目标。 “ipprotoicmp”(与关键字“icmp”相同)。 这些写操作以ping工具中常用的icmp为目标。 “ip”和“ether”后面可以使用“multicast”和“broadcast”的关键词。 “无广播”在排除广播请求时非常有用。 捕获过滤器显示过滤器，可以使用OSI模型的第2-7层中的许多协议。 单击“expression.”(expression.)按钮将显示它们。 例如，IP、TCP、DNS、SSH和支持的协议在Wireshark网站上描述了各种协议及其子类。 Comparisonoperators (比较运算符) :可以使用六种比较运算符：Logicalexpressions (逻辑运算符) :为程序员所知的逻辑差异或专有or。 如果在筛选器的两个条件之间使用，则只有在满足其中一个条件时，结果才会显示在屏幕上。 例