Wireshark入门教程及破解PPT课件

1、.,1,Wireshark使用心得,.,2,饮水思源,感谢Ethereal和Wireshark的创建者GeraldCombs以及为它们的发展而做出努力的上千名开发人员！,.,3,下载/安装,.,4,启动抓包,.,5,选择抓包的网卡,.,6,定义抓包选项,.,7,网卡混杂模式,.,8,双网卡桥接设置,.,9,Tips,.,10,Capturefilter,.,11,Capturefilter,.,12,Capturefilter,.,13,Capturefilter,.,14,例子,.,15,Tips,.,16,Capturefilterprofile,.,17,抓包显示选项,.,18,开始抓包

2、,.,19,停止抓包,.,20,Displayfilter,.,21,Displayfilter,.,22,Displayfilter,.,23,Displayfilter,.,24,Displayfilter,.,25,Displayfilter,.,26,Displayfilter,.,27,例子,如果过滤器的语法是正确的，表达式的背景呈绿色。如果呈红色，说明表达式有误,.,28,Tips,.,29,Displayfilter,.,30,Displayfilter,.,31,Displayfilter,.,32,察看数据包,.,33,抓客户端证书演示,.,34,抓客户端证书演示,.,35,

3、抓客户端证书演示,.,36,直接抓客户端证书演示,.,37,直接抓客户端证书演示,.,38,Tips,.,39,Tips,.,40,Tips,.,41,Tips-Preferences,.,42,Tips-Preferences,.,43,TipsDecodeAs,.,44,TipsDecodeAs,.,45,TipsDecodeAs,.,46,王翊心,Wireshark高阶,.,47,使用Profile定制Wireshark,.,48,使用Profile定制Wireshark,鼠标右键单击Wireshark界面右下角Profile选择配置profile,.,49,使用Profile定制Wir

4、eshark,鼠标左键单击Wireshark界面右下角Profile选择不同的profile,.,50,使用Profile定制Wireshark,.,51,ExpertInfoComposite,Chat(灰色):HTTPGets,Applicationcalls,TCPSYNs,FINs,基本工作流信息Note(青绿色):TCPRetransmissions,Resets,Keep-Alives,DuplicateACKs,SNMP等问题以及常见的应用错误代码例如HTTP404Warn(黄色):警告,错序的数据包和非常见的应用错误代码Error(红色):严重问题,畸形数据包和校验和错误,.,

5、52,TCP序列号分析,.,53,TCP序号分析,TCPRetransmission:发生在ACK超时限后发送方重传数据包TCPFastRetransmission:发生在ACK计时器到期之前发送方就开始重传数据包。发送方接收到一些数据包，这些包的TCP序号大于ACK过的数据包TCP序号。发送方收到3个以上DUPACK时应该启动快速重传。TCP_Out-of-order:在一个连接中收到数据包的TCP序号小于之前收到的数据包的TCP序号TCPPrevioussegmentlost:在一个连接中收到的数据包的TCP序号大于期望的下一个应该收到的数据包的TCP序号，表明中间有一个或多个数据包没有按

6、预期到达。通常回和TCPRetransmission伴生,.,54,TCP序号分析,TCP_ACKed_lost_segment:收到的ACK和发送的数据数据包段不匹配。TCPKeep-Alive:发生在TCP序号等于上一个数据包中的数据的最后一个字节。用来让接收方发送一个ACK。TCPKeep-AliveACK:对于TCPKeep-Alive响应的ACK数据包TCPDupACK:发生在看到同样的ACK号并且小于发送方发送的数据的最后一个字节。如果接收方发觉接收到数据包的TCP序号间有间隔，它将为这个连接上每一个后续的数据包生成一个DUPACK，直到丢失的数据包被成功接收（重传成功）。它可以明

7、确的表明有丢弃/丢失的数据包。,.,55,TCP序号分析,TCPZeroWindow:发生在接收方声明它的接收窗口大小为零。这会告诉发送方停止发送数据，因为接收方的接收缓冲区已经满了。这表明接收方有资源方面的问题，应用不能及时地从TCP缓冲区中提取数据。TCPZerowindowProbe:发送方通过发送数据的下一个字节以触发接收方回应一个ACK，看看接收方接收窗口满的情形是否继续存在。如果接收窗口还是零，发送方在下一次试探之前将其维持计数器的事件乘二。TCPZeroWindowViolation:发送方不理睬接收窗口为零的信息，继续发送数据。,.,56,TCP序号分析,TCPWindowUp

8、date:当应用从TCP接收缓冲区中收走数据后，会在TCP层发送一个WindowUpdate数据包给发送方，表明接收缓冲区中有更多的空间来接收数据。通常都发生在ZeroWindow后，并且在WindowUpdate数据包中告知接收缓冲区的大小。TCPWindowFull:当数据包段中载荷数据将全部填满另一端的接收缓冲区时，这个标志将被设在该数据包段中。发送方知道它已经发送的数据足以填满接收缓冲区，必须马上停止发送数据直到至少有一些数据被确认收到。这会引起发送方和接收方之间数据传递的延迟，降低吞吐量。这个事件发生时，另一端的接收方也许会发生ZeroWindow的情况，并发回TCPZeroWind

9、ow。需要注意的是即便没有ZeroWindow，这种情形也会发生。,.,57,ColoringRule,规则名称规则条件前端颜色（字体颜色）后端颜色（背景颜色）规则顺序（上端的规则首先被执行）,.,58,Conversations,A端地址、端口B端地址、端口A端到B端数据量、数据包数B端到A端的数据量、数据包数起始时间持续时间（通过Duration和数据包数量和大小可以找出通信时间较长的会话，配合tcp.time_delta过滤条件可以比较容易地定位发送方或接收方的性能问题）A端到B端bpsB端到A端bps,.,59,tcp.time_delta,.,60,添加tcp.time_delta显

10、示列,.,61,添加tcp.time_deltaColoringrule,.,62,解密SSL数据包,.,63,解密SSL数据包,.,64,解密SSL数据包,.,65,解密SSL数据包,不带私钥保护口令的PEM格式私钥文件:-BEGINRSAPRIVATEKEY-MIICXgIBAAKBgQDrHdbb+yGE6m6EZ03bXURpZCjch2H6g97ZAkJVGrjLZFfettBAEYa8vYYxWsf8KBpEZeksSCsDA9MnU2H6QDjzqdOnaSWfeXMAr4OsCOpauStpreq7q1hk8iOqy+f4KijRrhWplh1QW1A8gtSIg137pyUh

11、W+WsfwxKwmzjGIC1SwIDAQABAoGBAMneA9U6KIxjb+JUg/99c7h9W6wEvTYHNTXjf6psWA+hpuQ82E65/ZJdszL6.b6QKMh16r5wd6smQ+CmhOEnqqyT5AIwwl2RIr9GbfIpTbtbRQw/EcQOCx9wFiEfotGSsEFi72rHK+DpJqRI9AkEA72gdyXRgPfGOS3rfQ3DBcImBQvDSCBa4cuU1XJ1/MO93a8v9Vj87/yDm4xsBDsoz2PyBepawHVlIvZ6jDD0aXw=-ENDRSAPRIVATEKEY-,带私钥保护口令的PEM格式私钥文件

12、:-BEGINRSAPRIVATEKEY-Proc-Type:4,ENCRYPTEDDEK-Info:DES-EDE3-CBC,F6C218D4FA3C8B66FR2cnmkkFHH45Dcsty1qDiIUy/uXn+9m/xeQMVRxtiSAmBmnUDUFIFCDDiDc9yifERok2jPr2BzAazl5RBxS2TY/+7x0/dHD11sF3LnJUoNruo77TERxqgzOI0W1VDRA.ygw5JslxgiN18F36E/cEP5rKvVYvfEPMa6IsiRhfZk1jLAuZihVWc7JodDf+6RKVyBXrK/bDtdEih+bOnYu+ZDvjAzV

13、z9GhggCW4QHNboDpTxrrYPkj5Nw=-ENDRSAPRIVATEKEY-,.,66,解密SSL数据包,rootlocalhost#opensslrsa-inencrypted.key-outcleartext.keyEnterpassphraseforencrypted.key:writingRSAkeyrootlocalhost#,rootlocalhost#opensslpkcs12-inpem.cert-inkeypem.key-export-outcert.pkcs12EnterExportPassword:Verifying-EnterExportPassword:rootlocalhost#,rootlocalhost#ope