Wireshark介绍PPT课件

1,实验一Wireshark介绍,王佳军2014.10.9,数据通信和计算机网络,王佳军邮箱验室：张江校区计算机楼314,讲解内容,基础知识Wireshark历史Wireshark的功能特点Wireshark的使用,OSI模型,Internet参考模型,Internet参考模型,应用层能与应用程序界面沟通，以达到展示给用户的目的。在此常见的协议有:HTTP，HTTPS，FTP，TELNET，SSH，SMTP，POP3等。运输层在应用层之下，为在不同主机上运行的应用进程之间提供逻辑服务。在运输层中最普遍用到的协议是TCP协议和UDP协议。尽管在网络中可能会发生分组丢失和重排序，但是TCP能够提供可靠的、顺序的数据传输，而UDP是一个不可靠的传输协议。网络层负责把传送的数据从网络中的一台机器传送到另一台机器。在网络中，Internet网络中网络层的协议是IP协议。它根据分组中的IP目的地址，尽力完成端到端（源主机与目的主机）的传输。网络层通信的路径由一系列通信链路组成，从源主机开始，经过一系列的网络设备如路由器，在目的主机结束。分组是如何通过各段独立链路的？数据链路层的任务是将网络层的数据报通过路径中的单段链路从一个节点“移动”到临近的节点。,Wireshark基本情况,Wireshark是网络包分析工具(packetsniffer)。网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况，Wireshark可能是今天能使用的最好的开源网络分析软件目前最新开发版1.12.0rc3，稳定版1.12.1下载:免费使用（GNUGPL包括帮助文件）/download.html,Wiresahrk简史,1997年，GeraldCombs需要一个工具追踪网络问题并想学习网络知识，开始开发Ethereal(Wireshark项目以前的名称)。1998年，0.2.0版诞生了。GilbertRamirez发现它的潜力，并为其开发了一个底层分解器。1998年10月，GuyHarris开始为Ethereal进行改进，并开发分解器。1998年以后，RichardSharpe开始从事Ethereal的分析及改进。2006年，Ethereal项目更名为WiresharkSource：/docs/wsug_html_chunked/ChIntroHistory.html,Wireshark功能,支持UNIX和Windows等多平台在接口实时捕捉包能详细显示包的详细协议信息可以打开/保存捕捉的包可以导入导出其他捕捉程序支持的包数据格式可以通过多种方式过滤包多种方式查找包通过过滤以多种色彩显示包创建多种统计分析,Wireshark实现,基于分解器（dissector）网络上每一层的协议都有对应的分解器，分解器的作用是把每一层的信息分解，显示出首部字段，把有效载荷字段（payload）传递给向上一层的分解器，以达到逐层分解的目的分解器有两种实现方式：作为主程序中的模块实现，或作为插件实现,Wireshark不能做的事,Wireshark不是入侵检测系统。Wireshark不会处理网络事务，它仅仅是“测量”(监视)网络。,Wireshark主界面,CaptureOptions,CaptureOptions,CaptureOptions选项,Interface:指定在哪个接口（网卡）上抓包。单网卡下使用缺省的就可以了。如果同时拥有以太网接口和无线网络接口，必须选择一个进行监测。,CaptureOptions选项,Usepromiscuousmodeonallinterfaces:是否打开混杂模式。如果打开，抓取所有的数据包。一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。在混杂模式下，捕获分组前，必须得到网络管理员的允许或网络用户的同意。,CaptureOptions选项,CaptureFilter：抓包过滤器。只抓取满足过滤规则的包，用在抓包过程中限制捕获的数据量。抓包过滤器使用的是libcap过滤器语言，在Wiresharkhelp中有详细的解释。基本结构是：notprimitiveandornotprimitive.。例如:nottcpport3389，tcpporthttp,CaptureOptions选项,File：如果需要将抓到的包写到文件中，在这里输入文件名称。usemultiplefiles：是否使用循环缓冲。注意，循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲，还需要设置文件的数目，文件多大时回卷。,CaptureOptions选项,其他的项选缺省值就可以。Displayoptions(显示选项):默认情况下，分组的显示与它们被捕获时的状态不一样。可以选择观察实时更新的分组项，然后可选择让显示屏自动滚动最后捕获的分组。Nameresolution(名字解析):把分组中的数字转化成名字。默认是:MAC地址解析和传输名字解析。,CaptureOptions选项,StopCaptureAutomaticallyAfter:控制在一定数量的分组、跟踪记录到达一定的大小或者一个特定的时间后停止跟踪。点击Start，Wireshark就开始捕获分组并显示捕获统计窗口。点击Stop，停止捕获。,Wireshark显示过滤器,显示过滤器:在显示所有分组的同时限制所显示的分组。可以根据协议、是否存在某个域、域值、域值之间的比较来查找你感兴趣的包.在Wireshark窗口的左上角的Filter中输入过滤条件。注意:只有在Filter的背景是绿色，你设定的Filter是正确的。当背景是红色的，说明你设定的Filter是Wireshark不允许的。,DisplayFilter,值比较表达式可以使用下面的操作符:=,!=,表达式组合可以使用下面的逻辑操作符:&,|,!例如:显示从IP发出和发往它的分组:输入(ip.dst=)|(ip.src=)查看使用tcp协议的包:输入tcp,通过界面设置DisplayFilter,DisplayFilterReference,DisplayFilterReference：/docs/dfref/如：对于IP协议，显示过滤器可参见/docs/dfref/i/ip.html,跟踪记录,在一定时间内抓包，把跟踪结果存放在一个文件中，如test.cap文件中。然后打开文件进行查看。对捕获的分组进行分析。,包分析,跟踪列表框,协议层框,原始分组层,列表框,显示所捕获分组的列表,编号,时间,源IP,目的IP,最高层协议,分组长度,信息,协议层框,协议层框显示所选分组的各层的分层协议:链路层帧（frame）、网络层数据报（datagram）、运输层的报文段（segment）、应用层的报文（messa