Wireshark入门教程

1、Wireshark 使用心得使用心得饮水思源 感谢感谢EtherealEthereal和和WiresharkWireshark的创建者的创建者GeraldGerald CombsCombs以及为以及为它们的发展而做出它们的发展而做出努力的上千名开发努力的上千名开发人员人员！下载/安装/download.htmlWinpcap 自动检测操作系统中已经安装的版本，建议卸载旧版本，使用安装包中的最新版本。启动抓包选择抓包的网卡定义抓包选项Capture packets in promiscuous modeHUB环境中有效交换机环境中无效ARP欺骗交换

2、机端口镜像抓包计算机双网卡桥接在客户机和交换机中间网卡混杂模式Windows Vista 1. 通过单击“开始开始”按钮，再依次单击“控制面板控制面板”、“网络和网络和 Internet”、“网络和共享中心网络和共享中心”，然后单击“管理网络连接管理网络连接”，进入“网络连接”文件夹。 2. 按住Ctrl键，然后点击所有需要桥接的LAN网段。然后，右击所选择局域网连接对象中的一个，然后点击“桥接” 。 3. 右键单击网桥，然后单击“属性属性”。 如果系统提示您输入管理员密码或进行确认，请键入密码或提供确认。 4. 在选项卡的“适配器适配器”下，选中要向网桥中添加的每个连接旁边的复选框，然后单击

3、“确定确定”。Windows XP 1. 通过单击“开始开始”按钮，再依次单击“设置设置”、“控制面板控制面板”，打开“网络连接”。 2. 按住Ctrl键，然后点击所有需要桥接的LAN网段。然后，右击所选择局域网连接对象中的一个，然后点击“桥接” 。 3. 右键单击网络桥，然后单击“属性属性”。 4. 在“常规常规”选项卡的“适配器适配器”下，选中要向网桥中添加的每个连接旁边的复选框，然后单击“确定确定”。双网卡桥接设置由于网桥工作在网络的第二层，所以两块物理网卡和网桥的由于网桥工作在网络的第二层，所以两块物理网卡和网桥的IP地址可以地址可以设置成和客户不同的网段地址，抓包的计算机本身不能访问

4、客户网络，设置成和客户不同的网段地址，抓包的计算机本身不能访问客户网络，只是作为一个二层的桥接设备。只是作为一个二层的桥接设备。如果让抓包计算机也能够访问客户网络，只需在网桥上设置一个能够如果让抓包计算机也能够访问客户网络，只需在网桥上设置一个能够访问客户网络的有效访问客户网络的有效IP地址即可。地址即可。抓包时可以选择任意一个物理网卡进行抓包，不能选择网桥抓包。抓包时可以选择任意一个物理网卡进行抓包，不能选择网桥抓包。网桥启动后计算机不能进入休眠或睡眠状态，否则一旦网桥上的某一网桥启动后计算机不能进入休眠或睡眠状态，否则一旦网桥上的某一个连接断开，个连接断开，Windows将无法恢复，只能完

5、全断电后重启。将无法恢复，只能完全断电后重启。抓包工作完成后在网桥属性中将桥接的两个网络接口复选框钩掉，确抓包工作完成后在网桥属性中将桥接的两个网络接口复选框钩掉，确认后再鼠标右键网桥选择禁用，避免网桥启动状态带来的不必要的麻认后再鼠标右键网桥选择禁用，避免网桥启动状态带来的不必要的麻烦。烦。TipsCapture filter直接输入抓包过滤表达式此filter非彼filterCapture filter vs Display filter Capture filter 在抓包之前设置，是第一层过滤器，避免抓到大量的无用数据包。 Display filter在抓包后设置，是第二层过滤器，过滤

6、规则更细，帮助迅速准确地找到所需记录。 Capture filter 语法Capture filter语法：语法：ProtocolDirectionHost(s)ValueLogical OperationsOther expression例子：tcpdst80andtcp dst 3128Protocol（协议）（协议） 可能的值: ether、fddi、ip、arp、rarp、decnet、lat、sca、moprc、mopdl、tcp and udp. 如果没有特别指明是什么协议，则默认使用所有支持的协议。 Direction（方向）（方向） 可能的值:

7、 src、dst、src and dst、src or dst 如果没有特别指明来源或目的地，则默认使用 “src or dst” 作为关键字。 例如，host 与src or dst host 是一样的Capture filterHost(s) 可能的值: net、port、host、portrange 如果没有指定此值，则默认使用“host”关键字。 例如，src 与src host 相同Logical Operations（逻辑运算）（逻辑运算） 可能的值: not、and、or 否(not)具有最高的优先级。或(or)和与

8、(and)具有相同的优先级，运算时从左至右进行。 例如，not tcp port 3128 and tcp port 23与(not tcp port 3128) and tcp port 23相同。not tcp port 3128 and tcp port 23与not (tcp port 3128 and tcp port 23)不同。Capture filter例子tcp dst port 3128 显示目的TCP端口为3128的数据包。ip src host 显示来源IP地址为的数据包。host 显示目的或来源IP地址为10.1.2

9、.3的数据包。src portrange 2000-2500 显示来源为UDP或TCP，并且端口号在2000至2500范围内的数据包。not imcp 显示除了icmp以外的所有数据包。（icmp通常被ping工具使用）src host 2 and not dst net /16 显示来源IP地址为2，但目的地不是/16的数据包。当使用关键字作为值时，需使用反斜杠当使用关键字作为值时，需使用反斜杠“”。“ether proto ip” (与关键字与关键字“ip”相同相同)。这样写将会以这样写将会以IP协议作为目标。协议作为

10、目标。“ip proto icmp” (与关键字与关键字“icmp”相同相同)。这样写将会以这样写将会以ping工具常用的工具常用的icmp作为目标。作为目标。可以在可以在“ip”或或“ether”后面使用后面使用“multicast”及及“broadcast”关键字。当您想关键字。当您想排除广播请求时，排除广播请求时，no broadcast就会非常有用。就会非常有用。过滤表达式可以参考过滤表达式可以参考 /tcpdump_man.htmlTipsCapture filter profileUpdate list of packets in real

11、 time（实时更新抓包列表）Automatic scrolling in live capture （抓包的时候自动滚动到最后一行）Hide capture info dialog（不显示捕获的数据包的数量的统计数据）抓包显示选项Start开始抓包Stop停止抓包Display filter此filter非彼filterCapture filter vs Display filter Capture filter 在抓包之前设置，是第一层过滤器，避免抓到大量的无用数据包。 Display filter在抓包后设置，是第二层过滤器，过滤规则更细，帮助迅速准确地找到所需记录。 Display f

12、ilter 语法Display filter语语法：法：ProtocolString 1String 2ComparisonoperatorValueLogicalOperationsOther expression例子：ftppassiveip=xoricmp.typeProtocol（协议）（协议） 可以使用大量位于OSI模型第2至7层的协议。点击Expression.按钮后，可以看到它们。 比如：IP，TCP，DNS，SSH。 Display filterString1，String2（可选项可选项） 协议的子类。 点击相关父类旁的+号，然后选择其子类。Display f

13、ilterComparison operators （比较运算符）（比较运算符）可以使用8种比较运算符。Display filter英文写法：英文写法：C语言写法：语言写法：含义：含义：eq = 等于ne != 不等于gt 大于lt = 大于等于le “Folders”-”Personal configuration”找到Expert Info CompositeExpert Info 根据问题的严重性分为四级，在界面左下角使用不同颜色的指示灯表示nChat (灰色灰色): HTTP Gets, Application calls, TCP SYNs, FINs, 基本工作流信息nNote (

14、青绿色青绿色): TCP Retransmissions, Resets, Keep-Alives, Duplicate ACKs, SNMP 等问题以及常见的应用错误代码例如HTTP 404nWarn (黄色黄色): 警告, 错序的数据包和非常见的应用错误代码nError (红色红色): 严重问题, 畸形数据包和校验和错误TCP 序列号分析Wireshark默认会自动根据捕获数据包中的信息分析TCP协议在数据传输过程中发生的事件，并显示出来。TCP 序号分析各提示含义nTCP Retransmission : 发生在ACK超时限后发送方重传数据包nTCP Fast Retransmissio

15、n : 发生在ACK计时器到期之前发送方就开始重传数据包。发送方接收到一些数据包，这些包的TCP序号大于ACK过的数据包TCP序号。发送方收到3个以上DUP ACK时应该启动快速重传。nTCP_Out-of-order : 在一个连接中收到数据包的TCP序号小于之前收到的数据包的TCP序号nTCP Previous segment lost : 在一个连接中收到的数据包的TCP序号大于期望的下一个应该收到的数据包的TCP序号，表明中间有一个或多个数据包没有按预期到达。通常回和TCP Retransmission伴生TCP 序号分析各提示含义nTCP_ACKed_lost_segment : 收

16、到的ACK和发送的数据数据包段不匹配。nTCP Keep-Alive : 发生在TCP序号等于上一个数据包中的数据的最后一个字节。用来让接收方发送一个ACK。nTCP Keep-Alive ACK : 对于 TCP Keep-Alive响应的ACK数据包nTCP DupACK : 发生在看到同样的ACK号并且小于发送方发送的数据的最后一个字节。如果接收方发觉接收到数据包的TCP序号间有间隔，它将为这个连接上每一个后续的数据包生成一个DUP ACK，直到丢失的数据包被成功接收（重传成功）。 它可以明确的表明有丢弃/丢失的数据包。TCP 序号分析各提示含义nTCP ZeroWindow : 发生在

17、接收方声明它的接收窗口大小为零。这会告诉发送方停止发送数据，因为接收方的接收缓冲区已经满了。这表明接收方有资源方面的问题，应用不能及时地从TCP缓冲区中提取数据。nTCP ZerowindowProbe : 发送方通过发送数据的下一个字节以触发接收方回应一个ACK，看看接收方接收窗口满的情形是否继续存在。如果接收窗口还是零，发送方在下一次试探之前将其维持计数器的事件乘二。nTCP ZeroWindowViolation : 发送方不理睬接收窗口为零的信息，继续发送数据。TCP 序号分析各提示含义nTCP WindowUpdate : 当应用从TCP接收缓冲区中收走数据后，会在TCP层发送一个W

18、indowUpdate数据包给发送方，表明接收缓冲区中有更多的空间来接收数据。通常都发生在ZeroWindow后，并且在WindowUpdate数据包中告知接收缓冲区的大小。nTCP WindowFull : 当数据包段中载荷数据将全部填满另一端的接收缓冲区时，这个标志将被设在该数据包段中。发送方知道它已经发送的数据足以填满接收缓冲区，必须马上停止发送数据直到至少有一些数据被确认收到。这会引起发送方和接收方之间数据传递的延迟，降低吞吐量。这个事件发生时，另一端的接收方也许会发生ZeroWindow的情况，并发回TCP ZeroWindow 。需要注意的是即便没有ZeroWindow，这种情形也

19、会发生。Coloring Rule根据条件在海量数据包中明显标明感兴趣的数据包n规则名称n规则条件n前端颜色（字体颜色）n后端颜色（背景颜色）n规则顺序（上端的规则首先被执行）Conversations快速分离不同的会话，“Statistics”-“Conversations”nA端地址、端口nB端地址、端口nA端到B端数据量、数据包数nB端到A端的数据量、数据包数n起始时间n持续时间（通过Duration和数据包数量和大小可以找出通信时间较长的会话，配合tcp.time_delta 过滤条件可以比较容易地定位发送方或接收方的性能问题）nA端到B端bpsnB端到A端bpstcp.time_de

20、lta一个TCP stream中上一个数据包和下一个数据包之间的时间差需要勾选Calculate conversation timestamps 选项方能生效添加tcp.time_delta显示列添加一个tcp.time_delta显示列时，“Field type”选择“custom”, “Field name”填写“tcp.time_delta”添加tcp.time_delta Coloring rule添加一个“tcp.time_delta” Coloring rule时，“Name”填写“tcp.time_delta”, “String”填写“tcp.time_delta=某时间值”，时

21、间逻辑条件可根据需要自行定义，单位为秒解密SSL数据包需要提供SSL服务器证书（域名证书）私钥必须是一个完整的SSL会话过程，即包含SSL全握手过程，否则没有必要的密钥信息，不能解密没有前面没有SSL全握手过程的后续半握手过程数据包（SSL session reuse）使用临时RSA 或 DH 算法的SSL数据包不能被解密 (SSL握手过程中有ServerKeyExchange 出现)支持双向SSL（客户端证书验证）数据包解密解密SSL数据包Wireshark 1.6以后版的本支持同时解密一个数据包文件中的多个不同的SSL会话过程数据解密SSL数据包IP address: SSL 服务器地址P

22、ort: SSL服务器的SSL服务端口，例如443Protocol: 解密后按何种协议进行解码并显示，例如HTTPKey File: 没有私钥保护口令的PEM格式私钥文件或带私钥的PKCS#12格式证书文件（允许有私钥保护口令）Password: PKCS#12格式证书文件的私钥保护口令解密SSL数据包私钥文件必须是没有私钥保护口令的PEM格式不带私钥保护口令的PEM格式私钥文件:-BEGIN RSA PRIVATE KEY-MIICXgIBAAKBgQDrHdbb+yGE6m6EZ03bXURpZCjch2H6g97ZAkJVGrjLZFfettBAEYa8vYYxWsf8KBpEZeksS

23、CsDA9MnU2H6QDjzqdOnaSWfeXMAr4OsCOpauStpreq7q1hk8iOqy+f4KijRrhWplh1QW1A8gtSIg137pyUhW+WsfwxKwmzjGIC1SwIDAQABAoGBAMneA9U6KIxjb+JUg/99c7h9W6wEvTYHNTXjf6psWA+hpuQ82E65/ZJdszL6.b6QKMh16r5wd6smQ+CmhOEnqqyT5AIwwl2RIr9GbfIpTbtbRQw/EcQOCx9wFiEfotGSsEFi72rHK+DpJqRI9AkEA72gdyXRgPfGOS3rfQ3DBcImBQvDSCBa4cuU1XJ1/MO93a8v9Vj87/yDm4xsBDsoz2PyBepawHVlIvZ6jDD0aXw=-END RSA PRIVATE KEY-带私钥保护口令的PEM格式私钥文件:-BEGIN RSA PRIVATE KEY-Proc-Type: 4,ENCRYPTEDDEK-Info: DES-EDE3-CBC,F6C218D4FA3C8B66FR2cnmkkFHH45Dcsty1qDiIUy/uXn+9m/xeQMVRxtiSAmBmnUDUFIFCDDiDc9yifERok2jPr2BzAazl5RBxS2TY/+7x0/dHD11sF3LnJUoNruo77TERxqgzO