wireshark抓包应用指导说明书

1、杭州迪普科技有限公司 wiresharkwireshark 抓包应用指导说明书抓包应用指导说明书 拟制雷振华日期2015.4.10 评审人日期 签发日期 修订记录 日期修订版本描述作者 2015.4.10V1.0初稿完成雷振华 目 录 1 WIRESHARK 介绍.5 2 功能介绍 .5 3 图形界面抓报文.5 3.1 选择网卡抓报文.5 3.2 显示报文抓取时间.7 3.3 WIRESHARK 界面布局.8 3.4 报文过滤条件.9 3.4.1 常用过滤条件.10 3.4.2 WIRESHARK EXPRESSION.11 3.4.3 高级过滤条件.11 3.4.4 WIRESHARK CA

2、PTURE FILTER.14 4 命令行抓报文.15 4.1 选择网卡.15 4.2 命令行过滤条件.17 4.3 常用过滤条件.17 5 批量转换报文格式 .18 1Wireshark 介绍 Wireshark 是开源网络包分析工具，支持 Windows/Linux/Unix 环境。网络包分析工具的 主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。可以从网站下载最新版本 的 Wireshark (/download.html 。 Wireshark 通常在 4-8 周内发布一次 新版本 2功能介绍 Wireshark 支持图形和命令行

3、两种抓报文方式 3图形界面抓报文 3.1 选择网卡抓报文 第一步 打开 wireshark 抓包软件，点击“Capture-Interfaces”,如图 3-1 图 3-1 选择网卡 第二步 选择抓包的网卡，点击”Strart“开始抓包，这样将抓取流经此网卡的所有报文，并 临时保存在内存中。因此，如果持续抓包将消耗掉系统所有内存。如图 3-2 和图 3-3 图 3-2 启动抓包 图 3-3 抓包界面 图标说明 重新抓报文 停止抓报文 表 1-1 3.2 显示报文抓取时间 打开 wireshark 抓包软件，点击“View-TimeDisplay Format-Date and Time of

4、Day”， 如图 3-4 和图 3-5 图 3-4 效果图： 图 3-5 3.3 Wireshark 界面布局 Wireshark 界面主要分为三部分（如图 3-6），区域一显示抓取的报文，区域二显示选中 报文的包头详细信息，区域三显示选中报文的详细信息，默认以十六进制显示。 图 3-6 功能说明 区域一显示抓取的报文 区域二显示选中报文的包头详细信息 区域三显示选中报文的详细信息，默认以十六进制显示 Packets 抓取的所有报文计数 Displayed 满足过滤条件的报文计数 表 1-2 3.4 报文过滤条件 Wireshark 能够根据应用的需要设置灵活方便的过滤条件，迅速筛选出符合条件

5、的报文。 Wireshark 的 Filter 过滤能够自动检测语法合法性，如果过滤条件设置正确，则 Filter 输入框 为绿色，如果过滤条件设置错误，则 Filter 输入框为红色。如图 3-7 图 3-7 3.4.1 常用过滤条件 功能说明 ip.addr=13 源 IP 地址或目的 IP 地址是 13 的报文 ip.src=13 源 IP 地址是 13 ip.dst=13 目的 IP 地址是 13 ip.src=13 and ip.dst=13

6、 报文源 IP 地址是 13 且目的 IP 地址是 81 IPip udp/tcp.port=80 过滤 udp 或 tcp 源端口或目的端口是 80 的报文 udp/tcp.srcport=40004 过滤 udp 或 tcp 源端口是 40004 的报文 udp/tcp.dstport=80 过滤 udp 或 tcp 目的端口是 80 的报文 tcp.srcport=40004 and tcp.dstport=80 过滤 tcp 协议源端口是 40004 且目的端口是 80 的报文 tcp/udp/http 过滤 tcp/udp/http 报文 t

7、cp.flags.syn=0 x02 抓 tcp syn 报文 ip.id=0 xadcd 过滤 ip 报文 id 是 0 xadcd 的报文 表 1-3 3.4.2 Wireshark expression 当然，如果你对 Filter 过滤规则不熟悉或者不知道如何怎么写时，可以使用 wireshark 的 Expression，这里列出了 wireshark 所支持的所有过滤协议以及过滤方式 图 3-8 3.4.3 高级过滤条件 上述的过滤条件都是 wireshark 内置的，主要是根据已知的包头字段内容过滤。同时 wireshark 也支持根据报文负载内部过滤。 表 1-4 根据负载单字

8、节过滤，如图 3-9 图 3-9 项目说明 tcp/udpoffset:n从 tcp 或 udp 偏移指定字节后，命中指定 n 个 字节的内容 tcp20:8表示从 20 开始，取 8 个字节 udp8:3表示从 8 开始，取 3 个字节 udp8:3=81:60:03 不可以写为 udp8:3= 根据 udp 负载过滤双字节，如图 3-10 图 3-10 根据 tcp 包头后 3 字节内容，如图 3-11 图 3-11 3.4.4 Wireshark capture filter 根据 3.1 抓报文，wireshark 默认抓取所选网卡的所有报文，并且保存在内存中。如果忘 记停止抓报文，会

9、耗尽系统内存。我们完全可以设置 wireshark 只抓取满足过滤条件的报文。 图 3-12 点击图中的“Options”选择，进入图 3-13 图 3-13 设置好过滤条件后，点击”Start“，wireshark 就只抓取符合过滤条件的报文。 在”Capture Filter“输入框内输入过滤条件。语法正确，输入框背景显示为绿色，语法错 误，输入框背景显示为红色。请注意，此处的语法与 3.4.1 不相同。 常用过滤条件： 表 1-5 4命令行抓报文 命令行抓包可以让抓取的报文直接保存在硬盘上，这样既不用担心 wireshark 抓大流量报 文时（例如笔记本抓 1Gbps 速率的报文）崩溃，

10、又不用担心迅速耗尽系统内存的风险。 4.1 选择网卡 使用 cmd 进入 wireshark 的安装目录，如图 4-1 图 4-1 功能说明 Host 13 源 IP 地址或目的 IP 地址是 13 的报文 host 13 and tcp port 4444 源 IP 地址或目的 IP 地址是 13 的报文且 tcp 端口是 4444 的报文 udp port 69 udp 端口是 69 的报文 执行 dumpcap.exe -D 列出所有网卡 图 4-2 根据 wireshark 图形界面，选择你需要抓包接口 ID 图

11、4-3 4.2 命令行过滤条件 Dumpcap.exe -i 1 -s 0 -B 256 filesize:10000 -w f:1.pcap -f “ tcp port 80” 图 4-4 项目说明 -i 1接口 ID 值，可使用 dumpcap.exe -D 查看 -s 0指定抓取报文的长度，0 表示抓取报文全部长 度 -B 256size of kernel buffer，即系统内核缓存。默认 是 2M Filesizes:10000每 10M 一个文件保存 -w f:1.pcap抓取的报文保存在 F 盘，文件名为 1.pcap -f “tcp port 80”抓报文的过滤条件 表 1-

12、6 4.3 常用过滤条件 1、dumpcap.exe -i 4 -s 65535 -b filesize: -w F:radius_filter_test.pcap -f udp30:4=0 x 2、dumpcap.exe -i 1 -s 65535 -B 256 -b filesize: -w F:pcap13.pcap -f udp port 1813 3、dumpcap.exe -i 2 -s 65535 -B 256 -b filesize:10000 -w F:pcacp3.pcap -f host 05 5批量转换报文格式 在我们的日常工作中排查一些局点问

13、题，往往需要从前方局点抓一些报文在公司进行回 放测试，以帮助分析和定位问题，但往往通过 wireshark 自动执行抓包后保存的报文格式默 认是.pcapng 类型，使用公司的报文回放工具 SendPcap_v1.1.exe 因识别不了此类格式的报 文而无法进行回放，若通过手动方式将报文一个一个打开后再保存为我们能用的格式，工作 量是非常大的。这个时候我们就需要借助自动化脚本进行批量转化，大大简化工作量来达到 我们的目的。本文重点介绍通过自动化执行脚本方式来批量转化报文的方法。按照本文介绍 的方法，我们可以很轻松的实现将大批量的报文在短时间内进行转化。 步骤 1、确定 wireshark 安装

14、目录，如图 5-1 图 5-1 步骤 2、操作方法：【计算机】=【属性】=【高级系统设置】=【高级】=【环境变 量】 在弹出的窗口中确认“用户变量”有没有“path”变量，如果没有则选择“新建” ，在弹 出的窗口中“变量名”为“path” ，对应的变量值则为 wireshark 的安装路径。若已经存在 “path”变量，则只需要编辑“path”变量，将 wireshark 的安装路径作为变量值输入，注 意：若“path”变量中已存在其他变量，则需要用“；”分号将各个变量隔开。系统变量的 设置方法与用户变量的设置方法一致。 【说明】 “用户变量”与“系统变量”的区别：用户变量只对当前用户有效，而

15、系统变量对所有 用户都生效。所以如果需要此设置对其他用户也生效，则只需设置系统变量即可。 图 5-2 图 5-3 图 5-4 步骤 3、操作方法：将下面的内容复制到记事本中，然后保存为.bat 格式，命名为“批 量转化报文格式.bat” if exist subdirs.txt del subdirs.txtnul dir /d /b /a:-d subdirs.txt for /f %i in (subdirs.txt ) do tshark -r %i -F pcap -w converted/%i pause del subdirs.txtnul 图 5-5 步骤 4、操作方法：将上一步创建的脚本放到需要转化的报文目录下，然后新建一个文 件夹并命名为“converted” ，用于存放格式转化后的报文。 图 5-6 步骤 5、操作方法：双击脚本“批量转化报文