WireShark使用教程

1、wireshark是非常流行的网络封包分析软件，功能十分企大。可以截取各种网络封包，显示网络封包的详细信息。使用 wireshark的人必须了解网络协议，否则就看不怪wireshark 了。为了安全考虑，wireshark只能査看封包，而不能修改封包的容，或者发送封包。wireshark能获取HTTP *也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的容，总结，如果是处 理HTTP, HTTPS还是用Fiddler,其他协议比如TCP, UDP就用wireshark.wireshark开始抓包开始界面wireshark是捕获机器上的某一块网卡的网络包，当你

2、的机器上有多块网卡的时候，你需要选择一个网卡。点击Caputre-Intcrfaces.出现下面对话框，选择正确的网卡。然后点击”Start”按钮 开始抓包WORD版木显示过滤落封包详细信息16进制數据地址栏0 1也蓉盘團EQ Q 報世）呎丸filter: iprc = 19216BJ102 or ip$t= 192.U8J.1027Expression-. Clcer Apply SveNo. TimeSourceDcsbnoboni 八“一“一 053 97 2501200 192.168.1 工0210C.187 94.210954 97.2503690106.187. 54.21019

3、02955 974460230192 168.1 102106丄87S4 210956 108.860594 0248957 109.011507 199.47 217 148192 105 ! 102958109.0114480248959 109.0130 W 192 108工丄 0248026703 199*4 7 2X7* 148192* X68 X* 102027505 199.47.117. M302027764 199.47.

4、 217.14802HTTHTT; ;STCPTCPSTCPTCPHTTPLength Infoy w 、 wj54 4mgse http ACK Seq 1277 Ack-$0S4 wfrM 247 KTTPA.1 200 OK (appllcatiorx/json)54 Irngwes hxxp ACK 5eq-1277 Ack-614 7 vdn-4.66 abbiccuray hxxp SYN Seq-0 win-8192 Len-0eo http abbaccuray SYN, ACK seq-o Acki win54 abbiccuray http ACK S

5、eq-1 Ack-1 win-1728 2 50 GET /suoscrlhe7ho$t1 nt-2748020wisjnap-ize.5 电 pttp ap严:cur ay RST. ACK? seq占 今53dbbacZdr* RST. ACK丁入&込54 http dbbaccuray RST. ACK seqY?81 A0：L9964 109.030555 0248TCP66 laplink 1niRST Seq-1,prame 963: 54 bytes on vire (432 bits). 54 byres captured ( ht

6、rp SYM seq-0 win-8192 ien-0 MS . Expression. Clear Apply SaveFilter:ip.src =二 192.1681.102 or ip.dst二=02刁 Expression. Clear ApplySave Filter 1023. Packct Details Pane（封包详细信息），显示封包中的字段4. Dissector Panc（16 进制数据）5. M i see 11 anous（地址栏，杂项）Filter: ip.$rc =02 or ip.dst=02

7、使用过滤是非常重要的，初学者使用wireshark时，将会得到大蚩的冗余信息，在几千甚至几万条记录中，以至于很难 找到自己需要的部分。搞得晕头转向。过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。过滤器有两种，一种是显示过滤器，就是主界面上那个，用来在捕荻的记录中找到所需要的记录种是扌甫获过滤器，用来过滤捕荻的封包，以免捕荻太多的记录。在Capture - Capture Miters中设置保存过滤在Filter栏上，填好Filter的表达式后，点击Save按纽1取个名字。比如”Filter 102”,Filter栏上就多了个MFilter 102”的按钮。过滤表达式的规则WORD版木表

8、达式规则1.协议过滤比如TCP，只显示TCP协议。2.IP过滤比如 ip. src =192.16& 1. 102 显示源地址为 192.16& 1.102，ip. dst=02,目标地址为 023.端口过滤tcp. port =80, 端口为 80 的tcp. srcport = 80,只显示TCP协议的愿端口为80的。4.Http模式过滤http, request, method二=八GET,只显示 HTTP GET 方法的。5.逻辑运算符为AND/ OR常用的过滤表达式过滤表达式用途http只査看HTTP协议的记录ip. src =192.16

9、8.1.102 or ip. dst=192. 168.1.102源地址或者目标地址是192.16& 1. 102(Pa cket List Pane)封包列表的面板中显示，编号，时间戳，源地址，目标地址，协议，长度，以及封包信息。你可以看到不同的协议用了 不同的颜色显示。WORD版木你也可以修改这些显示颜色的规则，View -Coloring Rules.No.TimeSourceDestin 合 tionProtocol Length Info265 工5 8906110 192 1681 1QZ56TCP66 LTCP Xp ACK 2 57*4 1 8577 r

10、ttp ACK5eq-37Z266 ：L5 8921280 74 125 12 3 15602TCPLA84 TCP RGtranstnission LTCP scqitin* of a roasson267 15.8921780 0256TCP66 TCP DUpACK 257#5 8577 hTip ACK 5eq=?7? |268 15.8926100 5602TCP630 TCP Retranstnissnonj |TCP segment o* a rcasseij209

11、15 892 654 0 192 168 1 10256TCP65 TCP DupACK 2 5 7#b 8577 hiTTp ACK SGq-372 I270 16. 5576320002HTTP264 HTTP/1. 0304 Not Modifned2 71 丄6 5680360 192 168.1 10218DNS76 Standardquery 0 x30ee A wwb log java .net272 丄6. 5685810021BDNS

12、了5 STandardquery Oxdabe A VW273 16. 56953800218DNS75 Standardquery OxbaOa A 274 16. 7500800 020TCP54 85bl hTtp ACKJAck=421 Mn=16860 L275 16.8642490002HTTP264 TCP Retransmissnonj HTTP/1.0 304 Not Modifner|276 二0 863460192 1681 1021

13、14 80142 90TCP65 TCP DupACK 274#-J 8561 hittp LACK Seq-2094277515280180 168 2 55：LL802DNS91 STandardquery respons oxdube A 6：L 155：L69：1278 17.0637590021BDNS77 5tandardquery 0 x7272 A 279 17 066174 0 180.168. 2 55.118D2DNS169 ST andardquery rasponsa Oxba

14、Oa CAMU VAW. huji280 丄7 0682610 0218DNS74 STandardquery Oxac94 Ach1 rA：z.ucim281 17.069052 0180.168.2 5 5.11802DNS92 Standardquery response 0 x30ee A 282 丄7 075 3 54 0 192 丄68工.102180工682551工3DNS71 STandardquery oxoal6 A blog39nex283 17.1430580180.168.2

15、55.118284 17.145 514 002021BDNSDNS175 5tandard75 Standardquery response 0 x7272 CMAMEhjerquery 0 x5493 A 封包详细信息(Packet De tai Is Pane)这个面板是我们最重要的，用来查看协议中的毎一个字段。各行信息分别为Frame:物理层的数据帧概况Ethernet II:数据犍路层以太网帧头部信息Internet Protocol Version 4:互联网层 IP部信息Transmission Control

16、 Protocol:传输层T的数損段头部信息，此处是TCPHypertext Transfer Protocol:应用层的信息，此处是HTTP协议WORD版木TimeSourceDesti nation6 0. 7195 5800 0216 5. 72025000 02505029 6. 05659500 0236 6.085537000248199 47.217.：M849 6 72037400192.168丄.10266 10.

17、 6614 540 02501602000Protocol Length Info 55DP 55DP HTTP HTTP S5DP HTTP HTTP HTTP HTTP HTTP175 M-5E丿175 M-5E丿250 GET z250 GET ,175 M-SG 1156 GET $958 HTTP, 1029 GET , 104-4 GET $ 104 3 GET z .Frame 29: 250 bytes on wn

18、re2000 bits), 250 bytes captured (2000 bits) orEther net II, 5rc: Prodrnve_26:12:bf (00:0f :11:26:12:bf), Dst: Tp-Li nkT_74: Tnter net Protocol Version 4, s匚：192168.1102 (192 168:L102), D5t: 199. Transmission Control Protocol, Src Port: ssslog-mgr (1204), Ost Port: http Hyperiexu Transfer proiocolTC

19、P包的具体容从下图可以看到wireshark捕获到的TCP包中的每个字段。目的瑞口号看到这，基本上对wireshak有了初步了解，现在我们看一个TCP三次握手的实例三次握手过程为WORD版木ZJ Microsoft： DeviceNPFJZo553-22 1501 1=4D-8G67 DC616S1A5F9C Wireshark.Fite Edit View Go Capture Analyze Statistics Tetephonr Tools Internds Ffefc) 副會甑象毅丨三宙滋昌 氏诊尊吞迢 PIQ I QExpression.87 11.34 57020 61.155.

20、169.11613111. 673 5230 0213211. 6839850 0213311. 6847080 02 re 勺 cr*rcr/s fr c c s s zxfNo.31确认号*44选项数据35 的/?0 徑Btu Ictecbcrrf loofc 胪时8 瞬 x 0 7 a 二 a 致 ose 103: 331on 5隹(2648 bits). 331 &ytes captured (2648 bits) on0Erhernex src: prodr1ve_26:l2:bf 00:0f :11:26:12:bf

21、). ost: Tp-iJnkj74：bf:対(b0：48:7a:74： internet Protcx: 2Sequence rwibor : 1 (rcitivo coquoncc rsr)Ht sequence nurber: 278 (r*lacnv svquarvz* nunbr)3Acknovledgment nuvber： 1 (reldi5ve acl: nunfcer) Meader lenxh: 20 bytes刁 Flags； 0*018 “州.ACK)binders sue value： 4320calculated window 列ze; 17280wind/v sc

22、aling factor: * Check sun: 0 x：(M8 validation disabled)SCQ/AO flight; 277_OestinMion4* | Sqsroy女on Gear 2pi, $veProtocol Lengt*i InfoHTTP 331 CCT A3/54rcup_app. TirrSource103 29572150002滩靖口号fit久羁佩曲校脸和TCP*文格式容户端客户端发送律口 报文，并置发送序 号为XTCP三次握手SYN=1 = XI服务端SYN=1 ACK=X+1 Sjtg = Y服务端发送

23、am土B.K报文，并置 发送序号为丫，在确 认序号为X+1客户端发送辺慮报文, 并置发送序号为乙 在确认序号为丫十1这图我都看过很多遍了 这次我们用wireshark实际分析下三次握手的过程。打开wireshark,打开浏览器输入.crl73.在wireshark中输入http过滤然后选中GET /tankxiao HTTP/1. 1的那条记录9右键然后点击Follow TCP Stream11,这样做的目的是为了得到与浏览器打开相关的数据包，将得到如下图WORD版木Filter:tcp.stream eq 5No. TimeSourceDestination58 20. 6015100192

24、.16B.1.861.155.169116 TCPTCP n6 TUPHTTPTCP63 2O.673765O6L.155.169.116 19J http S/N Seq=0 Win=8192 Len=0 M!66 http fol nocorp SVN, ACK Sq=0 Ack=l Win=8：54 fol-i ocorp http ACK Seq-1 Ack-l win-16944 I94 8 GET /tankx-iao HTTP/L.11466 LTCP segment or a reassenbled PDU1466 TCP segment of a reassembled PD

25、U54 foliocorp http ACK Seq=895 Ack=282 5 win=HHIira (7584 bits), 94 8 hytQS captured (7584 bits) on interface 0e_26:12 :bf (00: Of :11:26:12 : bf) , Dst: Huawei De_65 :be :c6 (54 : a5 :1b :65 : be: http SYN Seq-0 Win-Blf66 http fol iocorp 5YN, ACK 5eq=0 A http ACK seq=l Ack=l 1 948 GET /tankxiao HTT

26、P/1.13 Frame 58: 66 byees on wire (528 bits), 66 bytes captured (528 bits) on interface 0)Ethernet II, src: Prodrive_26:12 :bf (00:0f :11:26:12 :bf), Dst: Hua押KDR_65 :bc:c6 (54 :a5:lb:65 :be +1 internet Protocol Version 4. src: 192.168.1. 8 C). Dst: 16 C1 -Tracsmrs

27、sFon control Protocol, Src Port: Fol nocorp (2242) , Dst Port: http (80) , Seq: 0, Len: 0TCP第一次握手 Capturing :rotn Microsoft; Dev：ceNPFJA9559F22-1504-4F4D-8067-DC61681A9F9C Wireshark 1.8.2 (SVN Rev 44520 from /trunk-1.8：Edit View Go Capture Analyze Statistics Tefephony Tools Internals Help 寥鼻臣務畅燧鐸昌头诊

28、令番曇丨亘(3 ：Q致巳辿国解I Expression.Clear Apply Save Filter 102图中可以看到wireshark截获到了三次握手的三个数損包。第四个包才是HTTP的，这说明HTTP的确是使用TCP建立连第一次握手数据包客户端发送一个TCP 标志位为SYN，序列号为0，代表客户端请求建立连接。如下图 Capturing from Microsoft. DcvkeNPFJA9559F22-1534-4F4D-8067-DC61681A$F9C) V/ireshark 1&2 (SVN R旦 JE -Fils Edit View Go Capture Analyze St

29、atistics Tolspho 仃 y Tools Internals l-telpK彫翠図I鬆盪芻昌丨臥勿苓聂冈覘彩丨FlSource port: Foliocorp (2242)Destnnaticn port: http (80)5iream Index: 51 sequencm number: jo| (relative sequencm number)Header 1engt h: 32 byt esE)flags: 0 x002 (SYN) |window size AIUS! 8192Calculated wi ndow si : 8192(3 Checksum: 0 x4ba

30、a validation disabled options : (12 bytes) , Maxitnufti segment size, No-Operation NOF) ； window scale, No-Operation (NOIWORD版木第二次握手的数据包服务器发回确认包，标志位为SYN,ACK将确认序号(Acknowledgement Number)设置为客户的I SN加1以.即0+1=1,如下图辺J Capturing from Microsoft: DeviceNPFJA9559F22-1504-4F4D-8067-DC61681A9F9C ?A!ireshark 1&2

31、 (SVN R h囤File Edt View Go Captire Analyze Statistics Telephony Tools Internals Help就象象禅弥I醪易翁参马F Q Q醪尊奋匡I Q丨汶3叹門丨淖区1側魏No.TimeSourceDestinationProtocolLength Info5820.6015100 16TCP66 foliocorp httpSYN Seq=0 Win=81 foliocorpSYN, ACK Seq=0 Al6020.6199200 16

32、TCP54 foliocorp httpACKseq=l Ack=l 6120.6244780 16HTTP948 GET /tankxiao HTTP/1.1Filter:tcp.stream eq 5 Expression.Clear Apply Save川E Frame 59: 66 bytes on wire (528 bits), 66 bytes captured (528 bits) on imerface 0S Ethernet II, sre: HuaweiDe_65:bc:c6 (54:a5:lb:65:bc:c6), Dst:

33、 Prodrive_26:12:bf (00:0f:11:26:12 E internet Protocol version 4, Src: 16 (61.155.169Dst: (192.168.1.:- Transmission uontrol Protocol, sre Port: http (80), Dst Port: foliocorp (2242), Seq: 0, Ack: 1,source port: http (80)Destination port: foliocorp (2242)TCP第二次握工stream index:

34、 sequence number Acknow!edgment(relative sequenee number) :j 1 | (relafiVQ ack number)Header 1ength： 32 bvtes (3 Flags： 0 x012 (SYN, ACK)window si2e value: yzcalculated window size: 8192()Checksum: OxSebd Cvalidation disabledE) options: (12 bytes), Maximum segment size, No-operation (NOP), windew scale, No-operation (NOIE) SEQ/ACK analysis第三次握手的数据包客户端再次发送确认包(ACK)SYM标志位为O,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方并且在数据段放写ISN的+1,如下图：WORD版木File Edit view GO capture Analyze statistics Telephony Tools internals HelpK笏缓禅渔丨篦囚篦参昌丨Q 殄不蚩(国 0Q収巳皿区I胡毙Filte