Wireshark入门教程ppt课件

1、.1Wireshark 使用心得使用心得.2饮水思源 感谢感谢EtherealEthereal和和WiresharkWireshark的创建者的创建者GeraldGerald CombsCombs以及为以及为它们的发展而做出它们的发展而做出努力的上千名开发努力的上千名开发人员人员！.3下载/安装.4启动抓包.5选择抓包的网卡.6定义抓包选项.7网卡混杂模式.8双网卡桥接设置.9Tips.10Capture filter.11Capture filter语法： ProtocolDirectionHost(s)ValueLogical OperationsOther expression例子：tc

2、pdst80andtcp dst 3128.12Capture filter.13Capture filter.14例子.15Tips.16Capture filter profile.17抓包显示选项.18开始抓包.19停止抓包.20Display filter.21Display filter语法：ProtocolString 1String 2ComparisonoperatorValueLogicalOperationsOther expression例子：ftppassiveip=xoricmp.type.22Display filt

3、er.23Display filter.24Display filter英文写法：C语言写法：含义：eq = 等于ne != 不等于gt 大于lt = 大于等于le = 小于等于contains contains 包含matchesmatches符合.25Display filter.26Display filter英文写法：C语言写法：含义：and& 逻辑与or | 逻辑或xor 逻辑异或not ! 逻辑非.27例子 表达式正确表达式正确 表达式错误表达式错误如果过滤器的语法是正确的，表达式的背景呈绿色。如果呈红色，说明表达式有误.28Tips.29Display filter.30

4、Display filter.31Display filter.32察看数据包.33抓客户端证书演示.34抓客户端证书演示.35抓客户端证书演示.36直接抓客户端证书演示.37直接抓客户端证书演示.38Tips.39Tips.40Tips.41Tips - Preferences.42Tips - Preferences.43Tips Decode As.44Tips Decode As.45Tips Decode As.46王翊心王翊心Wireshark 高阶高阶.47使用Profile定制Wireshark.48使用Profile定制Wireshark鼠标右键单击Wireshark界面右下

5、角Profile选择配置profile.49使用Profile定制Wireshark鼠标左键单击Wireshark界面右下角Profile选择不同的profile.50使用Profile定制Wireshark.51Expert Info CompositenChat (灰色灰色): HTTP Gets, Application calls, TCP SYNs, FINs, 基本工作流信息nNote (青绿色青绿色): TCP Retransmissions, Resets, Keep-Alives, Duplicate ACKs, SNMP 等问题以及常见的应用错误代码例如HTTP 404nW

6、arn (黄色黄色): 警告, 错序的数据包和非常见的应用错误代码nError (红色红色): 严重问题, 畸形数据包和校验和错误.52TCP 序列号分析.53TCP 序号分析nTCP Retransmission : 发生在ACK超时限后发送方重传数据包nTCP Fast Retransmission : 发生在ACK计时器到期之前发送方就开始重传数据包。发送方接收到一些数据包，这些包的TCP序号大于ACK过的数据包TCP序号。发送方收到3个以上DUP ACK时应该启动快速重传。nTCP_Out-of-order : 在一个连接中收到数据包的TCP序号小于之前收到的数据包的TCP序号nTCP

7、 Previous segment lost : 在一个连接中收到的数据包的TCP序号大于期望的下一个应该收到的数据包的TCP序号，表明中间有一个或多个数据包没有按预期到达。通常回和TCP Retransmission伴生.54TCP 序号分析nTCP_ACKed_lost_segment : 收到的ACK和发送的数据数据包段不匹配。nTCP Keep-Alive : 发生在TCP序号等于上一个数据包中的数据的最后一个字节。用来让接收方发送一个ACK。nTCP Keep-Alive ACK : 对于 TCP Keep-Alive响应的ACK数据包nTCP DupACK : 发生在看到同样的AC

8、K号并且小于发送方发送的数据的最后一个字节。如果接收方发觉接收到数据包的TCP序号间有间隔，它将为这个连接上每一个后续的数据包生成一个DUP ACK，直到丢失的数据包被成功接收（重传成功）。 它可以明确的表明有丢弃/丢失的数据包。.55TCP 序号分析nTCP ZeroWindow : 发生在接收方声明它的接收窗口大小为零。这会告诉发送方停止发送数据，因为接收方的接收缓冲区已经满了。这表明接收方有资源方面的问题，应用不能及时地从TCP缓冲区中提取数据。nTCP ZerowindowProbe : 发送方通过发送数据的下一个字节以触发接收方回应一个ACK，看看接收方接收窗口满的情形是否继续存在。

9、如果接收窗口还是零，发送方在下一次试探之前将其维持计数器的事件乘二。nTCP ZeroWindowViolation : 发送方不理睬接收窗口为零的信息，继续发送数据。.56TCP 序号分析nTCP WindowUpdate : 当应用从TCP接收缓冲区中收走数据后，会在TCP层发送一个WindowUpdate数据包给发送方，表明接收缓冲区中有更多的空间来接收数据。通常都发生在ZeroWindow后，并且在WindowUpdate数据包中告知接收缓冲区的大小。nTCP WindowFull : 当数据包段中载荷数据将全部填满另一端的接收缓冲区时，这个标志将被设在该数据包段中。发送方知道它已经发

10、送的数据足以填满接收缓冲区，必须马上停止发送数据直到至少有一些数据被确认收到。这会引起发送方和接收方之间数据传递的延迟，降低吞吐量。这个事件发生时，另一端的接收方也许会发生ZeroWindow的情况，并发回TCP ZeroWindow 。需要注意的是即便没有ZeroWindow，这种情形也会发生。.57Coloring Rulen规则名称n规则条件n前端颜色（字体颜色）n后端颜色（背景颜色）n规则顺序（上端的规则首先被执行）.58ConversationsnA端地址、端口nB端地址、端口nA端到B端数据量、数据包数nB端到A端的数据量、数据包数n起始时间n持续时间（通过Duration和数据包

11、数量和大小可以找出通信时间较长的会话，配合tcp.time_delta 过滤条件可以比较容易地定位发送方或接收方的性能问题）nA端到B端bpsnB端到A端bps.59tcp.time_delta.60添加tcp.time_delta显示列.61添加tcp.time_delta Coloring rule.62解密SSL数据包.63解密SSL数据包.64解密SSL数据包.65解密SSL数据包不带私钥保护口令的PEM格式私钥文件:-BEGIN RSA PRIVATE KEY-MIICXgIBAAKBgQDrHdbb+yGE6m6EZ03bXURpZCjch2H6g97ZAkJVGrjLZFfett

12、BAEYa8vYYxWsf8KBpEZeksSCsDA9MnU2H6QDjzqdOnaSWfeXMAr4OsCOpauStpreq7q1hk8iOqy+f4KijRrhWplh1QW1A8gtSIg137pyUhW+WsfwxKwmzjGIC1SwIDAQABAoGBAMneA9U6KIxjb+JUg/99c7h9W6wEvTYHNTXjf6psWA+hpuQ82E65/ZJdszL6.b6QKMh16r5wd6smQ+CmhOEnqqyT5AIwwl2RIr9GbfIpTbtbRQw/EcQOCx9wFiEfotGSsEFi72rHK+DpJqRI9AkEA72gdyXRgPfGOS3rfQ

13、3DBcImBQvDSCBa4cuU1XJ1/MO93a8v9Vj87/yDm4xsBDsoz2PyBepawHVlIvZ6jDD0aXw=-END RSA PRIVATE KEY-带私钥保护口令的PEM格式私钥文件:-BEGIN RSA PRIVATE KEY-Proc-Type: 4,ENCRYPTEDDEK-Info: DES-EDE3-CBC,F6C218D4FA3C8B66FR2cnmkkFHH45Dcsty1qDiIUy/uXn+9m/xeQMVRxtiSAmBmnUDUFIFCDDiDc9yifERok2jPr2BzAazl5RBxS2TY/+7x0/dHD11sF3LnJUoN

14、ruo77TERxqgzOI0W1VDRA.ygw5JslxgiN18F36E/cEP5rKvVYvfEPMa6IsiRhfZk1jLAuZihVWc7JodDf+6RKVyBXrK/bDtdEih+bOnYu+ZDvjAzVz9GhggCW4QHNboDpTxrrYPkj5Nw=-END RSA PRIVATE KEY-.66解密SSL数据包rootlocalhost# openssl rsa -in encrypted.key -out cleartext.keyEnter pass phrase for encrypted.key: writing RSA keyrootlocalhost#rootlocalhost# openssl pkcs12 -in pem.cert -inkey pem.key -export -out cert.pkcs12 Enter Export Password: Verifying - Enter Export Password: rootlocalhos