Wireshark入門教程

1、Wireshark 使用心得使用心得飲水思源 感謝感謝EtherealEthereal和和WiresharkWireshark的創(chuàng)建者的創(chuàng)建者GeraldGerald CombsCombs以及為以及為它們的發(fā)展而做出它們的發(fā)展而做出努力的上千名開發(fā)努力的上千名開發(fā)人員人員！下載/安裝/download.htmlWinpcap 自動檢測操作系統(tǒng)中已經(jīng)安裝的版本，建議卸載舊版本，使用安裝包中的最新版本。啟動抓包選擇抓包的網(wǎng)卡定義抓包選項Capture packets in promiscuous modeHUB環(huán)境中有效交換機環(huán)境中無效ARP欺騙交換

2、機端口鏡像抓包計算機雙網(wǎng)卡橋接在客戶機和交換機中間網(wǎng)卡混雜模式Windows Vista 1. 通過單擊“開始開始”按鈕，再依次單擊“控制面板控制面板”、“網(wǎng)絡(luò)和網(wǎng)絡(luò)和 Internet”、“網(wǎng)絡(luò)和共享中心網(wǎng)絡(luò)和共享中心”，然后單擊“管理網(wǎng)絡(luò)連接管理網(wǎng)絡(luò)連接”，進(jìn)入“網(wǎng)絡(luò)連接”文件夾。 2. 按住Ctrl鍵，然后點擊所有需要橋接的LAN網(wǎng)段。然后，右擊所選擇局域網(wǎng)連接對象中的一個，然后點擊“橋接” 。 3. 右鍵單擊網(wǎng)橋，然后單擊“屬性屬性”。 如果系統(tǒng)提示您輸入管理員密碼或進(jìn)行確認(rèn)，請鍵入密碼或提供確認(rèn)。 4. 在選項卡的“適配器適配器”下，選中要向網(wǎng)橋中添加的每個連接旁邊的復(fù)選框，然后單擊

3、“確定確定”。Windows XP 1. 通過單擊“開始開始”按鈕，再依次單擊“設(shè)置設(shè)置”、“控制面板控制面板”，打開“網(wǎng)絡(luò)連接”。 2. 按住Ctrl鍵，然后點擊所有需要橋接的LAN網(wǎng)段。然后，右擊所選擇局域網(wǎng)連接對象中的一個，然后點擊“橋接” 。 3. 右鍵單擊網(wǎng)絡(luò)橋，然后單擊“屬性屬性”。 4. 在“常規(guī)常規(guī)”選項卡的“適配器適配器”下，選中要向網(wǎng)橋中添加的每個連接旁邊的復(fù)選框，然后單擊“確定確定”。雙網(wǎng)卡橋接設(shè)置由于網(wǎng)橋工作在網(wǎng)絡(luò)的第二層，所以兩塊物理網(wǎng)卡和網(wǎng)橋的由于網(wǎng)橋工作在網(wǎng)絡(luò)的第二層，所以兩塊物理網(wǎng)卡和網(wǎng)橋的IP地址可以地址可以設(shè)置成和客戶不同的網(wǎng)段地址，抓包的計算機本身不能訪問

4、客戶網(wǎng)絡(luò)，設(shè)置成和客戶不同的網(wǎng)段地址，抓包的計算機本身不能訪問客戶網(wǎng)絡(luò)，只是作為一個二層的橋接設(shè)備。只是作為一個二層的橋接設(shè)備。如果讓抓包計算機也能夠訪問客戶網(wǎng)絡(luò)，只需在網(wǎng)橋上設(shè)置一個能夠如果讓抓包計算機也能夠訪問客戶網(wǎng)絡(luò)，只需在網(wǎng)橋上設(shè)置一個能夠訪問客戶網(wǎng)絡(luò)的有效訪問客戶網(wǎng)絡(luò)的有效IP地址即可。地址即可。抓包時可以選擇任意一個物理網(wǎng)卡進(jìn)行抓包，不能選擇網(wǎng)橋抓包。抓包時可以選擇任意一個物理網(wǎng)卡進(jìn)行抓包，不能選擇網(wǎng)橋抓包。網(wǎng)橋啟動后計算機不能進(jìn)入休眠或睡眠狀態(tài)，否則一旦網(wǎng)橋上的某一網(wǎng)橋啟動后計算機不能進(jìn)入休眠或睡眠狀態(tài)，否則一旦網(wǎng)橋上的某一個連接斷開，個連接斷開，Windows將無法恢復(fù)，只能完

5、全斷電后重啟。將無法恢復(fù)，只能完全斷電后重啟。抓包工作完成后在網(wǎng)橋?qū)傩灾袑蚪拥膬蓚€網(wǎng)絡(luò)接口復(fù)選框鉤掉，確抓包工作完成后在網(wǎng)橋?qū)傩灾袑蚪拥膬蓚€網(wǎng)絡(luò)接口復(fù)選框鉤掉，確認(rèn)后再鼠標(biāo)右鍵網(wǎng)橋選擇禁用，避免網(wǎng)橋啟動狀態(tài)帶來的不必要的麻認(rèn)后再鼠標(biāo)右鍵網(wǎng)橋選擇禁用，避免網(wǎng)橋啟動狀態(tài)帶來的不必要的麻煩。煩。TipsCapture filter直接輸入抓包過濾表達(dá)式此filter非彼filterCapture filter vs Display filter Capture filter 在抓包之前設(shè)置，是第一層過濾器，避免抓到大量的無用數(shù)據(jù)包。 Display filter在抓包后設(shè)置，是第二層過濾器，過濾

6、規(guī)則更細(xì)，幫助迅速準(zhǔn)確地找到所需記錄。 Capture filter 語法Capture filter語法：語法：ProtocolDirectionHost(s)ValueLogical OperationsOther expression例子：tcpdst80andtcp dst 3128Protocol（協(xié)議）（協(xié)議） 可能的值: ether、fddi、ip、arp、rarp、decnet、lat、sca、moprc、mopdl、tcp and udp. 如果沒有特別指明是什么協(xié)議，則默認(rèn)使用所有支持的協(xié)議。 Direction（方向）（方向） 可能的值:

7、 src、dst、src and dst、src or dst 如果沒有特別指明來源或目的地，則默認(rèn)使用 “src or dst” 作為關(guān)鍵字。 例如，host 與src or dst host 是一樣的Capture filterHost(s) 可能的值: net、port、host、portrange 如果沒有指定此值，則默認(rèn)使用“host”關(guān)鍵字。 例如，src 與src host 相同Logical Operations（邏輯運算）（邏輯運算） 可能的值: not、and、or 否(not)具有最高的優(yōu)先級?；?or)和與

8、(and)具有相同的優(yōu)先級，運算時從左至右進(jìn)行。 例如，not tcp port 3128 and tcp port 23與(not tcp port 3128) and tcp port 23相同。not tcp port 3128 and tcp port 23與not (tcp port 3128 and tcp port 23)不同。Capture filter例子tcp dst port 3128 顯示目的TCP端口為3128的數(shù)據(jù)包。ip src host 顯示來源IP地址為的數(shù)據(jù)包。host 顯示目的或來源IP地址為10.1.2

9、.3的數(shù)據(jù)包。src portrange 2000-2500 顯示來源為UDP或TCP，并且端口號在2000至2500范圍內(nèi)的數(shù)據(jù)包。not imcp 顯示除了icmp以外的所有數(shù)據(jù)包。（icmp通常被ping工具使用）src host 2 and not dst net /16 顯示來源IP地址為2，但目的地不是/16的數(shù)據(jù)包。當(dāng)使用關(guān)鍵字作為值時，需使用反斜杠當(dāng)使用關(guān)鍵字作為值時，需使用反斜杠“”。“ether proto ip” (與關(guān)鍵字與關(guān)鍵字“ip”相同相同)。這樣寫將會以這樣寫將會以IP協(xié)議作為目標(biāo)。協(xié)議作為

10、目標(biāo)?！癷p proto icmp” (與關(guān)鍵字與關(guān)鍵字“icmp”相同相同)。這樣寫將會以這樣寫將會以ping工具常用的工具常用的icmp作為目標(biāo)。作為目標(biāo)?？梢栽诳梢栽凇癷p”或或“ether”后面使用后面使用“multicast”及及“broadcast”關(guān)鍵字。當(dāng)您想關(guān)鍵字。當(dāng)您想排除廣播請求時，排除廣播請求時，no broadcast就會非常有用。就會非常有用。過濾表達(dá)式可以參考過濾表達(dá)式可以參考 /tcpdump_man.htmlTipsCapture filter profileUpdate list of packets in real

11、 time（實時更新抓包列表）Automatic scrolling in live capture （抓包的時候自動滾動到最后一行）Hide capture info dialog（不顯示捕獲的數(shù)據(jù)包的數(shù)量的統(tǒng)計數(shù)據(jù)）抓包顯示選項Start開始抓包Stop停止抓包Display filter此filter非彼filterCapture filter vs Display filter Capture filter 在抓包之前設(shè)置，是第一層過濾器，避免抓到大量的無用數(shù)據(jù)包。 Display filter在抓包后設(shè)置，是第二層過濾器，過濾規(guī)則更細(xì)，幫助迅速準(zhǔn)確地找到所需記錄。 Display f

12、ilter 語法Display filter語語法：法：ProtocolString 1String 2ComparisonoperatorValueLogicalOperationsOther expression例子：ftppassiveip=xoricmp.typeProtocol（協(xié)議）（協(xié)議） 可以使用大量位于OSI模型第2至7層的協(xié)議。點擊Expression.按鈕后，可以看到它們。 比如：IP，TCP，DNS，SSH。 Display filterString1，String2（可選項可選項） 協(xié)議的子類。 點擊相關(guān)父類旁的+號，然后選擇其子類。Display f

13、ilterComparison operators （比較運算符）（比較運算符）可以使用8種比較運算符。Display filter英文寫法：英文寫法：C語言寫法：語言寫法：含義：含義：eq = 等于ne != 不等于gt 大于lt = 大于等于le “Folders”-”Personal configuration”找到Expert Info CompositeExpert Info 根據(jù)問題的嚴(yán)重性分為四級，在界面左下角使用不同顏色的指示燈表示nChat (灰色灰色): HTTP Gets, Application calls, TCP SYNs, FINs, 基本工作流信息nNote (

14、青綠色青綠色): TCP Retransmissions, Resets, Keep-Alives, Duplicate ACKs, SNMP 等問題以及常見的應(yīng)用錯誤代碼例如HTTP 404nWarn (黃色黃色): 警告, 錯序的數(shù)據(jù)包和非常見的應(yīng)用錯誤代碼nError (紅色紅色): 嚴(yán)重問題, 畸形數(shù)據(jù)包和校驗和錯誤TCP 序列號分析Wireshark默認(rèn)會自動根據(jù)捕獲數(shù)據(jù)包中的信息分析TCP協(xié)議在數(shù)據(jù)傳輸過程中發(fā)生的事件，并顯示出來。TCP 序號分析各提示含義nTCP Retransmission : 發(fā)生在ACK超時限后發(fā)送方重傳數(shù)據(jù)包nTCP Fast Retransmissio

15、n : 發(fā)生在ACK計時器到期之前發(fā)送方就開始重傳數(shù)據(jù)包。發(fā)送方接收到一些數(shù)據(jù)包，這些包的TCP序號大于ACK過的數(shù)據(jù)包TCP序號。發(fā)送方收到3個以上DUP ACK時應(yīng)該啟動快速重傳。nTCP_Out-of-order : 在一個連接中收到數(shù)據(jù)包的TCP序號小于之前收到的數(shù)據(jù)包的TCP序號nTCP Previous segment lost : 在一個連接中收到的數(shù)據(jù)包的TCP序號大于期望的下一個應(yīng)該收到的數(shù)據(jù)包的TCP序號，表明中間有一個或多個數(shù)據(jù)包沒有按預(yù)期到達(dá)。通?；睾蚑CP Retransmission伴生TCP 序號分析各提示含義nTCP_ACKed_lost_segment : 收

16、到的ACK和發(fā)送的數(shù)據(jù)數(shù)據(jù)包段不匹配。nTCP Keep-Alive : 發(fā)生在TCP序號等于上一個數(shù)據(jù)包中的數(shù)據(jù)的最后一個字節(jié)。用來讓接收方發(fā)送一個ACK。nTCP Keep-Alive ACK : 對于 TCP Keep-Alive響應(yīng)的ACK數(shù)據(jù)包nTCP DupACK : 發(fā)生在看到同樣的ACK號并且小于發(fā)送方發(fā)送的數(shù)據(jù)的最后一個字節(jié)。如果接收方發(fā)覺接收到數(shù)據(jù)包的TCP序號間有間隔，它將為這個連接上每一個后續(xù)的數(shù)據(jù)包生成一個DUP ACK，直到丟失的數(shù)據(jù)包被成功接收（重傳成功）。 它可以明確的表明有丟棄/丟失的數(shù)據(jù)包。TCP 序號分析各提示含義nTCP ZeroWindow : 發(fā)生在

17、接收方聲明它的接收窗口大小為零。這會告訴發(fā)送方停止發(fā)送數(shù)據(jù)，因為接收方的接收緩沖區(qū)已經(jīng)滿了。這表明接收方有資源方面的問題，應(yīng)用不能及時地從TCP緩沖區(qū)中提取數(shù)據(jù)。nTCP ZerowindowProbe : 發(fā)送方通過發(fā)送數(shù)據(jù)的下一個字節(jié)以觸發(fā)接收方回應(yīng)一個ACK，看看接收方接收窗口滿的情形是否繼續(xù)存在。如果接收窗口還是零，發(fā)送方在下一次試探之前將其維持計數(shù)器的事件乘二。nTCP ZeroWindowViolation : 發(fā)送方不理睬接收窗口為零的信息，繼續(xù)發(fā)送數(shù)據(jù)。TCP 序號分析各提示含義nTCP WindowUpdate : 當(dāng)應(yīng)用從TCP接收緩沖區(qū)中收走數(shù)據(jù)后，會在TCP層發(fā)送一個W

18、indowUpdate數(shù)據(jù)包給發(fā)送方，表明接收緩沖區(qū)中有更多的空間來接收數(shù)據(jù)。通常都發(fā)生在ZeroWindow后，并且在WindowUpdate數(shù)據(jù)包中告知接收緩沖區(qū)的大小。nTCP WindowFull : 當(dāng)數(shù)據(jù)包段中載荷數(shù)據(jù)將全部填滿另一端的接收緩沖區(qū)時，這個標(biāo)志將被設(shè)在該數(shù)據(jù)包段中。發(fā)送方知道它已經(jīng)發(fā)送的數(shù)據(jù)足以填滿接收緩沖區(qū)，必須馬上停止發(fā)送數(shù)據(jù)直到至少有一些數(shù)據(jù)被確認(rèn)收到。這會引起發(fā)送方和接收方之間數(shù)據(jù)傳遞的延遲，降低吞吐量。這個事件發(fā)生時，另一端的接收方也許會發(fā)生ZeroWindow的情況，并發(fā)回TCP ZeroWindow 。需要注意的是即便沒有ZeroWindow，這種情形也

19、會發(fā)生。Coloring Rule根據(jù)條件在海量數(shù)據(jù)包中明顯標(biāo)明感興趣的數(shù)據(jù)包n規(guī)則名稱n規(guī)則條件n前端顏色（字體顏色）n后端顏色（背景顏色）n規(guī)則順序（上端的規(guī)則首先被執(zhí)行）Conversations快速分離不同的會話，“Statistics”-“Conversations”nA端地址、端口nB端地址、端口nA端到B端數(shù)據(jù)量、數(shù)據(jù)包數(shù)nB端到A端的數(shù)據(jù)量、數(shù)據(jù)包數(shù)n起始時間n持續(xù)時間（通過Duration和數(shù)據(jù)包數(shù)量和大小可以找出通信時間較長的會話，配合tcp.time_delta 過濾條件可以比較容易地定位發(fā)送方或接收方的性能問題）nA端到B端bpsnB端到A端bpstcp.time_de

20、lta一個TCP stream中上一個數(shù)據(jù)包和下一個數(shù)據(jù)包之間的時間差需要勾選Calculate conversation timestamps 選項方能生效添加tcp.time_delta顯示列添加一個tcp.time_delta顯示列時，“Field type”選擇“custom”, “Field name”填寫“tcp.time_delta”添加tcp.time_delta Coloring rule添加一個“tcp.time_delta” Coloring rule時，“Name”填寫“tcp.time_delta”, “String”填寫“tcp.time_delta=某時間值”，時

21、間邏輯條件可根據(jù)需要自行定義，單位為秒解密SSL數(shù)據(jù)包需要提供SSL服務(wù)器證書（域名證書）私鑰必須是一個完整的SSL會話過程，即包含SSL全握手過程，否則沒有必要的密鑰信息，不能解密沒有前面沒有SSL全握手過程的后續(xù)半握手過程數(shù)據(jù)包（SSL session reuse）使用臨時RSA 或 DH 算法的SSL數(shù)據(jù)包不能被解密 (SSL握手過程中有ServerKeyExchange 出現(xiàn))支持雙向SSL（客戶端證書驗證）數(shù)據(jù)包解密解密SSL數(shù)據(jù)包Wireshark 1.6以后版的本支持同時解密一個數(shù)據(jù)包文件中的多個不同的SSL會話過程數(shù)據(jù)解密SSL數(shù)據(jù)包IP address: SSL 服務(wù)器地址P

22、ort: SSL服務(wù)器的SSL服務(wù)端口，例如443Protocol: 解密后按何種協(xié)議進(jìn)行解碼并顯示，例如HTTPKey File: 沒有私鑰保護(hù)口令的PEM格式私鑰文件或帶私鑰的PKCS#12格式證書文件（允許有私鑰保護(hù)口令）Password: PKCS#12格式證書文件的私鑰保護(hù)口令解密SSL數(shù)據(jù)包私鑰文件必須是沒有私鑰保護(hù)口令的PEM格式不帶私鑰保護(hù)口令的PEM格式私鑰文件:-BEGIN RSA PRIVATE KEY-MIICXgIBAAKBgQDrHdbb+yGE6m6EZ03bXURpZCjch2H6g97ZAkJVGrjLZFfettBAEYa8vYYxWsf8KBpEZeksS

23、CsDA9MnU2H6QDjzqdOnaSWfeXMAr4OsCOpauStpreq7q1hk8iOqy+f4KijRrhWplh1QW1A8gtSIg137pyUhW+WsfwxKwmzjGIC1SwIDAQABAoGBAMneA9U6KIxjb+JUg/99c7h9W6wEvTYHNTXjf6psWA+hpuQ82E65/ZJdszL6.b6QKMh16r5wd6smQ+CmhOEnqqyT5AIwwl2RIr9GbfIpTbtbRQw/EcQOCx9wFiEfotGSsEFi72rHK+DpJqRI9AkEA72gdyXRgPfGOS3rfQ3DBcImBQvDSCBa4cuU1XJ1/MO93a8v9Vj87/yDm4xsBDsoz2PyBepawHVlIvZ6jDD0aXw=-END RSA PRIVATE KEY-帶私鑰保護(hù)口令的PEM格式私鑰文件:-BEGIN RSA PRIVATE KEY-Proc-Type: 4,ENCRYPTEDDEK-Info: DES-EDE3-CBC,F6C218D4FA3C8B66FR2cnmkkFHH45Dcsty1qDiIUy/uXn+9m/xeQMVRxtiSAmBmnUDUFIFCDDiDc9yifERok2jPr2BzAazl5RBxS2TY/+7x0/dHD11sF3LnJUoNruo77TERxqgzO