1.什么是Wireshark
Wireshark 是(shi)(shi)網絡包(bao)分析工具,是(shi)(shi)今天能(neng)(neng)使用的(de)(de)(�������de)好的(de)(de)(de)開源(yuan)網絡分析軟件。網絡包(bao)分析工�����具的(de)(de)(de)主(zhu)要作用是(shi)(shi)嘗(chang)試捕(bu)獲網絡包(bao),并嘗(chang)試顯示(shi)包(bao)的(de)(de)(de)盡可能(neng)(neng)詳細的(de)(de)(de)情況。Wireshark是(shi)(shi)開源(yuan)軟件項目,用GPL協(xie)議發行,所(suo)有的(de)(de)(de)源(yuan)代碼在GPL框架下都(dou)可以免(mian)費使用。因(yin)為以上(shang)(shang)原因(yin),人們可以很容易在Wireshark上(shang)(shang)添(tian)加新(xin)的(de)(de)(de)協(xie)議,或者將其(qi)作為插件整合(he)到您的(de)(de)(de)程序(xu)里(li),這(zhe)種應用十分廣泛。
1.1主要應用
網(wang)絡管理(li)員用來(lai)解(jie)決網(wang)絡問題
網絡安全工程師用來(lai)檢測(ce)安全隱患
開(kai)發(fa)人員用來測(ce)試協議執行情況
用來學習網絡協議
1.2.特性
支(zhi)持UNIX和Windows平臺
在接口實時捕捉包
能詳細顯示包的(de)詳細協議信(xin)息
可以打開(kai)/保存捕(bu)捉的包
可以(yi)導(dao)�������入導(dao)出(chu)其(qi)他捕捉程序支持的包數據格(ge)式
可以通過多種方式過濾包
多種方式查找包
通過過濾以多種色彩(cai)顯示(shi)包
創建多(duo)種統計分析
…
1.3適合人群
網絡管理員
網絡工程師
安全工程師
IT運維人員…
1.4 平臺支持
Windows,linux,unix
1.5相關軟件
Sniffer,om�������nipeek,fiddler,httpwatch,科學網絡分析系統(tong)
抓包原理
(1) 網絡原理(li)
(a)本機環境(jing):直(zhi)接抓本機網卡進出(chu)流量
b) 集線器環境(jing):流量(liang)防洪,同(tong)一沖突域
C) 交換機環境:
端口鏡像
arp欺騙
mac泛洪
(2) 底層原理
① Win/libcap:wireshark抓包時依賴的庫文(wen)件(jian)
② Capture:抓包(bao)引(yin)擎,利用W�����in/libcap從底層抓取網絡數(shu)據包(bao),Win/libcap提(ti)供通用生物抓包(bao)借口,能從不同類型的(de)網絡接口獲取數(shu)據包(bao);
③ Wiretap:格式支(zhi)持,從(cong)抓包(bao)文件(ji����an������)中讀取數據包(bao),支(zhi)持多種格式
④ Core:核(he)心引擎,通過函數(shu)調用將其������他������模塊連(lian)接在一起,起到聯動(dong)調度的作用
��������� ⑤ GTK 1/2:圖形處理(li)(li)工具,處理(li)(li)用戶的輸(shu)入輸(shu)出(chu)顯示
2.wireshark使用
2.1安裝流程
參(can)考://jingyan.baidu.com/artic�����le/bad08e1e87d682�������09c9512153.html
2.2界面分析
2.3 Wireshark 主界面的操作菜單
File 打開文(wen)件
Open 打開文件
Open Recent 打開(kai)近期(qi)訪(fang)問過(guo)的文件
Merge…將幾(ji)個文件合并為一個文件
Close 關(guan)閉此文件
Save As…保(bao)存為…
File Set 文(wen)件屬性
Export 文件(jian)輸出
Print…打(da)印輸出
Quit 關閉
Edit 編輯
Find Packet…搜索數據包
Find Next 搜索(suo)下一個
Find Previous 搜索前一個
Mark Packet (toggle) 對數據包做標記(ji)(標定)
Find Next Mark 搜索下一個標記的包(bao)
Find Previous Mark 搜(sou)索前(qian)一個(ge)標記的包
Mark All Packets 對所有包做(zuo)標記
Unmark All Packets 去除所有(you)包的(de)標(biao)記
Set Time Reference (toggle) 設置參考時(shi)間(標定)
Find Next Reference 搜索下一(yi)個參考點
Find Previous Reference 搜(sou)索前一個參考點
Preferences 參(can)數選(xuan)擇
View 視圖
Main Toolbar 主工具欄
Filter Toolbar 過(guo)濾器工具(ju)欄
Wireless Toolbar 無線(xian)工具欄
Statusbar 運行狀況工具欄
Packet List 數據包列表
Packet Details 數據包細節(jie)
Packet Bytes 數據(ju)包字節
Time Display Format 時間顯示格式
Name resolution����� 名字(zi)解析(xi)(轉換:域名/IP地址,廠商(shang)名/MAC地址,端口號/端口名)
Colorize Packet List 顏色標識的(de)數據包列表
Auto S�����croll in Live Capture 現(xian)場(chang)捕(bu)獲時實時滾動
Zoom In 放大顯示
Zoom Out 縮小顯示
Normal Size 正常(chang)大小
Resize All Columns 改變(bian)所有列大小
Expan��������d Sub trees 擴(kuo)展開(kai)數(shu)據包(bao)內(nei)封裝協議的�������(de)子樹結構(gou)
Expand All 全部(bu)擴展(zhan)開(kai)
Collapse All 全部折疊收縮
Coloring Rules…����對不(bu)同類型的(de)數據包用不(bu)同顏色標識(shi)的(de)規則(ze)
Show Packet in New W�������indow 將數據(ju)�������包顯示在一(yi)個新的窗口
Reload 將數據文件(jian)重新加
Go 運行
Back 向后運行
Forward 向前(qian)運(yun)行
Go to packet…轉移(yi)到(dao)某(mou)數據(ju)包
Go to Correspon�����ding Packet 轉(zhuan)到(dao)相應���的數(shu)據包
Previous Packet 前一個數據包
Next Packet 下一(yi)個(ge)數據包
First Packet 第一個數據包(bao)
Last Packet 后一個(ge)數據(ju)包(bao)
Capture 捕獲網絡數據
Interfaces…選擇本機的網絡接(jie)口進行數據捕獲(huo)
Options…捕獲參數選擇
Start 開始捕獲網絡數據
Stop 停止捕獲網絡數據
Restart 重新開(kai)始(shi)捕獲
Capture Filters…選擇捕獲(huo)過濾器(qi)
Analyze 對(dui)已捕獲的(de)網絡數據進行(xing)分析
Display Filters…選擇顯示(shi)過濾器(qi)
Apply as Filter 將其應用為過濾(lv)器
Prepare a Filter 設計(ji)一個過濾器
Firewall ACL Rules 防火墻ACL規則(ze)
Enabled Protocols…已可以分析的(de)協議列表
Decode As������…將(jiang)網絡(luo)數據按(an)某協(xie)議規則解碼
User Specified Decodes…用戶自定義的��������解碼(m������a)規(gui)則
Follow TCP Stream 跟蹤(zong)TCP傳(chuan)輸(shu)控(kong)制協議的通信(xin)數據(ju)段,將分散傳(chua�������������n)輸(shu)的數據(ju)組裝還原
Follow SSL stream 跟(gen)蹤SSL 安全套(tao)接層協議的通信數���������據流
Expert Info 專家分析信息
Expert Info Composite 構(gou)������造(zao)專(zhuan)家分析信息
Statistics對(dui)已(yi)捕獲的網絡數據進行統計分析
Summary 已捕獲數據文件的總(zong)統計概況
Protocol Hierarchy 數據中的協議類型和層(ceng)次結構
Conversations 會話
Endpoints 定義統(tong)計分(fen)析的結束點
IO Graphs 輸入/輸出(chu)數據流量圖(tu)
Conversation List 會(hui)話列表
Endpoint List 統(tong)計分(fen)析(xi)結束點的列表
Service Response T����ime 從客戶端發出請求至收到服(fu)務器響�����應(ying)的時間間隔
ANSI 按照�������(zhao)美國標(b�����iao)準協(xie)會的ANSI協(xie)議(yi)分析
Fax T38 Analysis... 按照T38傳真規范進行分(fen)析(xi)
GSM 全球(qiu)移動通信系(xi)統GSM的數據
H.225 H.225協議的(de)數據(ju)
MTP3 MTP3協議的(de)數據
RTP 實時傳輸協議RTP的數據
SCTP 數(shu)據(ju)流控制傳輸協議SCTP的數(shu)據(ju)
SIP... 會(hui)話初(chu)始(shi)化協議SIP的數據
VoIP Calls 互聯網IP電(dian)話的(de)數據
WAP-WSP 無線應用協議WAP和WSP的數據
BOOTP-DHCP 引導協(xie)議和動(dong)態主機配置協(xie)議的數據
Destinations…通信目的端
Flow Graph…網絡通信流向圖
HTTP 超(chao)文本傳輸協(xie)議的數據(ju)
IP address…互聯網IP地址(zhi)
ISUP Messages… ISUP協議(yi)的(de)報文(wen)
Multicast Streams 多播數(shu)據流
ONC-RPC Programs
Packet Length 數據包的長(chang)度
Port Type…傳輸層通信端口類型
TCP Stream Graph 傳輸(shu)控制協(xie)議TCP數據流波形圖(tu)
Help 幫助(zhu)
Contents Wireshark 使用手冊(ce)
Supported Protocols Wireshark支持的(de)協議清單(dan)
Manual Pages 使用手冊(ce)(HTML網頁(ye))
Wireshark Online Wireshark 在線
About Wireshark 關于Wireshark
2.4 基本使用
(1) 選擇網(wang)絡接口,并雙(shuang)(shuang)擊選擇的網(wang)卡啟(qi)動抓包,如:雙(shuang)(shuang)擊以太網(wang�����)2
(2) 點擊紅框的按(an)鈕以結束
(3)保存
(4) 數據解析
