Wireshark介绍PPT

1、实验一Wireshark 介绍,王佳军 2014.10.9,1,数据通信和计算机网络,王佳军 邮 箱： 实验室：张江校区计算机楼314,讲解内容,基础知识 Wireshark历史 Wireshark的功能特点 Wireshark的使用,OSI 模型,Internet 参考模型,Internet参考模型,应用层能与应用程序界面沟通，以达到展示给用户的目的。 在此常见的协议有: HTTP，HTTPS，FTP，TELNET，SSH，SMTP，POP3等。 运输层在应用层之下，为在不同主机上运行的应用进程之间提供逻辑服务。在运输层中最普遍用到的协议是TCP协议和UDP协议。尽管在网络中可能会发生分组丢

2、失和重排序，但是TCP能够提供可靠的、顺序的数据传输，而 UDP是一个不可靠的传输协议。 网络层负责把传送的数据从网络中的一台机器传送到另一台机器。在网络中，Internet网络中网络层的协议是IP协议。它根据分组中的IP目的地址，尽力完成端到端（源主机与目的主机）的传输。 网络层通信的路径由一系列通信链路组成，从源主机开始，经过一系列的网络设备如路由器，在目的主机结束。分组是如何通过各段独立链路的？数据链路层的任务是将网络层的数据报通过路径中的单段链路从一个节点“移动”到临近的节点。,Wireshark 基本情况,Wireshark 是网络包分析工具(packet sniffer)。网络包分

3、析工具的主要作用是尝试捕获网络包， 并尝试显示包的尽可能详细的情况，Wireshark可能是今天能使用的最好的开源网络分析软件 目前最新开发版1.12.0rc3，稳定版1.12.1 下载:免费使用（GNU GPL 包括帮助文件） /download.html,Wiresahrk简史,1997年，Gerald Combs 需要一个工具追踪网络问题并想学习网络知识，开始开发Ethereal (Wireshark项目以前的名称)。 1998年，0.2.0版诞生了。 Gilbert Ramirez发现它的潜力，并为其开发了一个底层分解器。 1998年10月

4、，Guy Harris开始为Ethereal进行改进，并开发分解器。 1998年以后，Richard Sharpe 开始从事Ethereal的分析及改进。 2006年，Ethereal项目更名为Wireshark Source：/docs/wsug_html_chunked/ChIntroHistory.html,Wireshark功能,支持UNIX和Windows等多平台 在接口实时捕捉包 能详细显示包的详细协议信息 可以打开/保存捕捉的包 可以导入导出其他捕捉程序支持的包数据格式 可以通过多种方式过滤包 多种方式查找包 通过过滤以多种色彩显示

5、包 创建多种统计分析 ,Wireshark实现,基于分解器（dissector） 网络上每一层的协议都有对应的分解器，分解器的作用是把每一层的信息分解，显示出首部字段，把有效载荷字段（payload）传递给向上一层的分解器，以达到逐层分解的目的 分解器有两种实现方式：作为主程序中的模块实现，或作为插件实现,Wireshark不能做的事,Wireshark不是入侵检测系统。 Wireshark不会处理网络事务，它仅仅是“测量”(监视)网络。,Wireshark 主界面,Capture Options,Capture Options,Capture Options选项,Interface: 指定在

6、哪个接口（网卡）上抓包。单网卡下使用缺省的就可以了。如果同时拥有以太网接口和无线网络接口，必须选择一个进行监测。,Capture Options选项,Use promiscuous mode on all interfaces: 是否打开混杂模式。如果打开，抓取所有的数据包。一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。 在混杂模式下，捕获分组前，必须得到网络管理员的允许或网络用户的同意。,Capture Options选项,Capture Filter：抓包过滤器。只抓取满足过滤规则的包，用在抓包过程中限制捕获的数据量。 抓包过滤器使用的是libcap过滤器语言，在Wire

7、shark help中有详细的解释。基本结构是： not primitive andor not primitive . 。 例如: not tcp port 3389，tcp port http,Capture Options选项,File：如果需要将抓到的包写到文件中，在这里输入文件名称。use multiple files： 是否使用循环缓冲。注意，循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲，还需要设置文件的数目，文件多大时回卷。,Capture Options选项,其他的项选缺省值就可以。 Display options(显示选项):默认情况下，分组的显示与它们被捕获时的状态

8、不一样。可以选择观察实时更新的分组项，然后可选择让显示屏自动滚动最后捕获的分组。 Name resolution(名字解析):把分组中的数字转化成名字。默认是:MAC地址解析和传输名字解析。,Capture Options选项,Stop Capture Automatically After: 控制在一定数量的分组、跟踪记录到达一定的大小或者一个特定的时间后停止跟踪。 点击Start， Wireshark就开始捕获分组并显示捕获统计窗口。 点击Stop，停止捕获。,Wireshark显示过滤器,显示过滤器:在显示所有分组的同时限制所显示的分组。 可以根据协议、是否存在某个域、域值、域值之间的比

9、较来查找你感兴趣的包. 在Wireshark窗口的左上角的Filter 中输入过滤条件。 注意:只有在Filter的背景是绿色，你设定的Filter是正确的。当背景是红色的，说明你设定的Filter是Wireshark不允许的。,Display Filter,值比较表达式可以使用下面的操作符:= , !=, , 表达式组合可以使用下面的逻辑操作符:&, |, ! 例如: 显示从IP发出和发往它的分组: 输入( ip.dst = )|(ip.src = ) 查看使用tcp协议的包:输入tcp,通过界面设置Display Filte

10、r,Display Filter Reference,Display Filter Reference：/docs/dfref/ 如：对于IP协议，显示过滤器可参见/docs/dfref/i/ip.html,跟踪记录,在一定时间内抓包，把跟踪结果存放在一个文件中，如test.cap文件中。 然后打开文件进行查看。 对捕获的分组进行分析。,包分析,跟踪列表框,协议层框,原始分组层,列表框,显示所捕获分组的列表,编号,时间,源IP,目的IP,最高层协议,分组长度,信息,协议层框,协议层框显示所选分组的各层的分层协议:链路层帧（frame）、网络层数据报（datagram）、运输层的报文段（segment）、应用层的报文（m