wireshark 抓包工具使用說明(2014 emily)

Wireshark網(wǎng)絡(luò)抓包工具使用說明WireShark簡介Wireshark是世界上最流行的網(wǎng)絡(luò)分析工具。這個強大的工具可以捕捉網(wǎng)絡(luò)中的數(shù)據(jù)，并為用戶提供關(guān)于網(wǎng)絡(luò)和上層協(xié)議的各種信息。與很多其他網(wǎng)絡(luò)工具一樣，Wireshark也使用pcapnetworklibrary來進行封包捕捉。wireshark的原名是Ethereal，新名字是2006年起用的。當(dāng)時Ethereal的主要開發(fā)者決定離開他原來供職的公司，并繼續(xù)開發(fā)這個軟件。但由于Ethereal這個名稱的使用權(quán)已經(jīng)被原來那個公司注冊，Wireshark這個新名字也就應(yīng)運而生了。官方網(wǎng)站：/軟件簡介網(wǎng)絡(luò)管理員使用Wireshark來檢測網(wǎng)絡(luò)問題，網(wǎng)絡(luò)安全工程師使用Wireshark來檢查資訊安全相關(guān)問題，開發(fā)者使用Wireshark來為新的通訊協(xié)定除錯，普通使用者使用Wireshark來學(xué)習(xí)網(wǎng)絡(luò)協(xié)定的相關(guān)知識當(dāng)然，有的人也會“居心叵測”的用它來尋找一些敏感信息……Wireshark不是入侵檢測軟件（IntrusionDetectionSoftware,IDS）。對于網(wǎng)絡(luò)上的異常流量行為，Wireshark不會產(chǎn)生警示或是任何提示。然而，仔細分析Wireshark截取的封包能夠幫助使用者對于網(wǎng)絡(luò)行為有更清楚的了解。Wireshark不會對網(wǎng)絡(luò)封包產(chǎn)生內(nèi)容的修改，它只會反映出目前流通的封包資訊。Wireshark本身也不會送出封包至網(wǎng)絡(luò)上。1.4協(xié)議分析Wireshark簡介主界面

1.4協(xié)議分析查看和分析數(shù)據(jù)包

非混雜模式及混雜模式下抓包非混雜模式指：WireShark只抓取指定網(wǎng)卡上的發(fā)出與接收的數(shù)據(jù)包，與指定網(wǎng)卡無關(guān)的數(shù)據(jù)包將被忽略。混雜模式（promiscuousmode)指：WireShark能夠抓取主機所在局域網(wǎng)內(nèi)的全部網(wǎng)絡(luò)包，即接收所有經(jīng)過網(wǎng)卡的數(shù)據(jù)包，包括不是發(fā)給本機的包。WireShark界面介紹1.MENUS（菜單）2.SHORTCUTS（快捷方式）3.DISPLAYFILTER（顯示過濾器）4.PACKETLISTPANE（封包列表)5.PACKETDETAILSPANE（封包詳細信息）6.DISSECTORPANE（16進制數(shù)據(jù)）7.MISCELLANOUS（雜項）

1.MENUS（菜單）“File”（文件）“Edit”（編輯）“View”（查看）“Go”（轉(zhuǎn)到）“Capture”（捕獲）“Analyze”（分析）“Statistics”（統(tǒng)計）"Help"（幫助）打開或保存捕獲的信息。查找或標(biāo)記封包。進行全局設(shè)置。設(shè)置Wireshark的視圖。跳轉(zhuǎn)到捕獲的數(shù)據(jù)。設(shè)置捕捉過濾器并開始捕捉。設(shè)置分析選項。查看Wireshark的統(tǒng)計信息。查看本地或者在線支持。2.SHORTCUTS（快捷方式）在菜單下面，是一些常用的快捷按鈕。列表顯示所有可用的抓包接口；顯示抓包選項，一般都是點這個按鈕開始抓包；開始新的抓包，停止抓包清空當(dāng)前已經(jīng)抓到的數(shù)據(jù)包，也可以防止抓包時間過長機器變卡。3.DISPLAYFILTER（顯示過濾器）顯示過濾器用于查找捕捉記錄中的內(nèi)容。

請不要將捕捉過濾器和顯示過濾器的概念相混淆。請參考Wireshark過濾器中的詳細內(nèi)容。4.PACKETLISTPANE（封包列表）封包列表中顯示所有已經(jīng)捕獲的封包。在這里您可以看到發(fā)送或接收方的MAC/IP地址，TCP/UDP端口號，協(xié)議或者封包的內(nèi)容。如果捕獲的是一個OSIlayer2的封包，您在Source（來源）和Destination（目的地）列中看到的將是MAC地址，當(dāng)然，此時Port（端口）列將會為空。如果捕獲的是一個OSIlayer3或者更高層的封包，您在Source（來源）和Destination（目的地）列中看到的將是IP地址。Port（端口）列僅會在這個封包屬于第4或者更高層時才會顯示。您可以在這里添加/刪除列或者改變各列的顏色：

Editmenu->Preferences5.

PACKETDETAILSPANE（封包詳細信息）這里顯示的是在封包列表中被選中項目的詳細信息。信息按照不同的OSIlayer進行了分組，您可以展開每個項目查看。下面截圖中展開的是HTTP信息。6.DISSECTORPANE（16進制數(shù)據(jù)）“解析器”在Wireshark中也被叫做“16進制數(shù)據(jù)查看面板”。這里顯示的內(nèi)容與“封包詳細信息”中相同，只是改為以16進制的格式表述。

在上面的例子里，我們在“封包詳細信息”中選擇查看TCP端口（80），其對應(yīng)的16進制數(shù)據(jù)將自動顯示在下面的面板中（0050）。MENUS（菜單）SHORTCUTS（快捷方式）

DISPLAYFILTER（顯示過濾器）PACKETLISTPANE（封包列表)PACKETDETAILSPANE（封包詳細信息）DISSECTORPANE（16進制數(shù)據(jù)）MISCELLANOUS（雜項）Help幫助ContentsWireshark使用手冊SupportedProtocolsWireshark支持的協(xié)議清單ManualPages使用手冊（HTML網(wǎng)頁）WiresharkOnlineWireshark在線AboutWireshark關(guān)于WiresharkANSI

按照美國國家標(biāo)準(zhǔn)協(xié)會的ANSI協(xié)議分析FaxT38Analysis...

按照T38傳真規(guī)范進行分析GSM

全球移動通信系統(tǒng)GSM的數(shù)據(jù)H.225H.225

協(xié)議的數(shù)據(jù)MTP3MTP3

協(xié)議的數(shù)據(jù)RTP

實時傳輸協(xié)議RTP的數(shù)據(jù)SCTP

數(shù)據(jù)流控制傳輸協(xié)議SCTP的數(shù)據(jù)SIP...

會話初始化協(xié)議SIP的數(shù)據(jù)VoIPCalls

互聯(lián)網(wǎng)IP電話的數(shù)據(jù)WAP-WSP

無線應(yīng)用協(xié)議WAP和WSP的數(shù)據(jù)BOOTP-DHCP

引導(dǎo)協(xié)議和動態(tài)主機配置協(xié)議的數(shù)據(jù)Destinations…

通信目的端FlowGraph…

網(wǎng)絡(luò)通信流向圖HTTP

超文本傳輸協(xié)議的數(shù)據(jù)IPaddress…

互聯(lián)網(wǎng)IP地址ISUPMessages…ISUP

協(xié)議的報文MulticastStreams

多播數(shù)據(jù)流ONC-RPCProgramsPacketLength

數(shù)據(jù)包的長度PortType…

傳輸層通信端口類型TCPStreamGraph

傳輸控制協(xié)議TCP數(shù)據(jù)流波形圖Statistics對已捕獲的網(wǎng)絡(luò)數(shù)據(jù)進行統(tǒng)計分析Summary

已捕獲數(shù)據(jù)文件的總統(tǒng)計概況ProtocolHierarchy

數(shù)據(jù)中的協(xié)議類型和層次結(jié)構(gòu)Conversations

會話Endpoints

定義統(tǒng)計分析的結(jié)束點IOGraphs

輸入/輸出數(shù)據(jù)流量圖ConversationList

會話列表EndpointList

統(tǒng)計分析結(jié)束點的列表ServiceResponseTime

從客戶端發(fā)出請求至收到服務(wù)器

響應(yīng)的時間間隔Analyze對已捕獲的網(wǎng)絡(luò)數(shù)據(jù)進行分析DisplayFilters…

選擇顯示過濾器ApplyasFilter

將其應(yīng)用為過濾器PrepareaFilter

設(shè)計一個過濾器FirewallACLRules

防火墻ACL規(guī)則EnabledProtocols…

已可以分析的協(xié)議列表DecodeAs…

將網(wǎng)絡(luò)數(shù)據(jù)按某協(xié)議規(guī)則解碼UserSpecifiedDecodes…

用戶自定義的解碼規(guī)則FollowTCPStream

跟蹤TCP傳輸控制協(xié)議的通信數(shù)據(jù)段，

將分散傳輸?shù)臄?shù)據(jù)組裝還原FollowSSLstream

跟蹤SSL安全套接層協(xié)議的通信數(shù)據(jù)流ExpertInfo

專家分析信息ExpertInfoComposite

構(gòu)造專家分析信息Capture捕獲網(wǎng)絡(luò)數(shù)據(jù)Interfaces…

選擇本機的網(wǎng)絡(luò)接口

進行數(shù)據(jù)捕獲Options…

捕獲參數(shù)選擇Start

開始捕獲網(wǎng)絡(luò)數(shù)據(jù)Stop

停止捕獲網(wǎng)絡(luò)數(shù)據(jù)Restart

重新開始捕獲CaptureFilters…

選擇捕獲過濾器Go運行Back

向后運行Forward

向前運行Gotopacket…

轉(zhuǎn)移到某數(shù)據(jù)包GotoCorrespondingPacket

轉(zhuǎn)到相應(yīng)的數(shù)據(jù)包PreviousPacket

前一個數(shù)據(jù)包NextPacket

下一個數(shù)據(jù)包FirstPacket

第一個數(shù)據(jù)包LastPacket

最后一個數(shù)據(jù)包View視圖MainToolbar

主工具欄FilterToolbar

過濾器工具欄WirelessToolbar

無線工具欄Statusbar

運行狀況工具欄PacketList

數(shù)據(jù)包列表PacketDetails

數(shù)據(jù)包細節(jié)PacketBytes

數(shù)據(jù)包字節(jié)TimeDisplayFormat

時間顯示格式Nameresolution

名字解析（轉(zhuǎn)換：

域名/IP地址，

廠商名/MAC地址,端口號/端口名）ColorizePacketList

顏色標(biāo)識的數(shù)據(jù)包列表AutoScrollinLiveCapture現(xiàn)場捕獲時實時滾動ZoomIn

放大顯示ZoomOut

縮小顯示NormalSize

正常大小ResizeAllColumns

改變所有列大小ExpandSubtrees

擴展開數(shù)據(jù)包內(nèi)封裝協(xié)議的子樹結(jié)構(gòu)ExpandAll

全部擴展開CollapseAll

全部折疊收縮ColoringRules…

對不同類型的數(shù)據(jù)包用不同顏色標(biāo)識的規(guī)則ShowPacketinNewWindow

將數(shù)據(jù)包顯示在一個新的窗口Reload

將數(shù)據(jù)文件重新加Edit編輯FindPacket…

搜索數(shù)據(jù)包FindNext

搜索下一個FindPrevious

搜索前一個MarkPacket(toggle)

對數(shù)據(jù)包做標(biāo)記（標(biāo)定）FindNextMark

搜索下一個標(biāo)記的包FindPreviousMark

搜索前一個標(biāo)記的包MarkAllPackets

對所有包做標(biāo)記UnmarkAllPackets

去除所有包的標(biāo)記SetTimeReference(toggle)

設(shè)置參考時間（標(biāo)定）FindNextReference

搜索下一個參考點FindPreviousReference

搜索前一個參考點Preferences

參數(shù)選擇File打開文件Open打開文件OpenRecent打開近期訪問過的文件Merge…將幾個文件合并為一個文件Close關(guān)閉此文件SaveAs…保存為…FileSet文件屬性Export文件輸出Print…打印輸出Quit關(guān)閉4.過濾器捕捉過濾器（CaptureFilters）：用于決定將什么樣的信息記錄在捕捉結(jié)果中。需要在開始捕捉前設(shè)置。顯示過濾器（DisplayFilters）：在捕捉結(jié)果中進行詳細查找。他們可以在得到捕捉結(jié)果后隨意修改。

那么我們應(yīng)該使用哪一種過濾器呢？

兩種過濾器的目的是不同的。捕捉過濾器是數(shù)據(jù)經(jīng)過的第一層過濾器，它用于控制捕捉數(shù)據(jù)的數(shù)量，以避免產(chǎn)生過大的日志文件。顯示過濾器是一種更為強大（復(fù)雜）的過濾器。它允許您在日志文件中迅速準(zhǔn)確地找到所需要的記錄。兩種過濾器使用的語法是完全不同的。1.

捕捉過濾器捕捉過濾器也就是對要獲取的數(shù)據(jù)定義一個捕獲條件，因為你可能只對某種協(xié)議相關(guān)或某主機相關(guān)的數(shù)據(jù)包感興趣（比如TCP相關(guān)的數(shù)據(jù)包），所以沒有必要將其它協(xié)議的數(shù)據(jù)也一并捕獲下來。設(shè)置捕捉過濾器的步驟是：選擇capture->options。填寫“capturefilter”欄或者點擊“capturefilter”按鈕為您的過濾器起一個名字并保存，以便在今后的捕捉中繼續(xù)使用這個過濾器。點擊開始（Start）進行捕捉。捕獲過濾器簡單語法如果只想捕獲UDP協(xié)議，填udp即可.如果想捕獲dns數(shù)據(jù),填udpport53如果想捕獲訪問網(wǎng)站數(shù)據(jù),填tcpport80如果想捕獲與主機相關(guān)的數(shù)據(jù)，填host如果想捕獲arp數(shù)據(jù)，填arp即可如果想捕獲arp和tcp數(shù)據(jù)，填arp||tcp即可捕捉過濾器語法Protocol（協(xié)議）:

可能的值:ip,arp,rarp,tcpandudp，ftp等.

如果沒有特別指明是什么協(xié)議，則默認使用所有支持的協(xié)議。Direction（方向）:

可能的值:src,dst,srcanddst,srcordst

如果沒有特別指明來源或目的地，則默認使用“srcordst”作為關(guān)鍵字。

例如，“host”與“srcordsthost”是一樣的。語法ProtocolDirectionHost(s)ValueLogicalOperationsOtherexpression_r例子tcpdst80andtcpdst3128捕捉過濾器語法Host(s):

可能的值：net,port,host,portrange.

如果沒有指定此值，則默認使用“host”關(guān)鍵字。

例如，“src”與“srchost”相同。LogicalOperations（邏輯運算）:

可能的值：not(!),and(&&),or(||).

否("not")具有最高的優(yōu)先級。或("or")和與("and")具有相同的優(yōu)先級，運算時從左至右進行。

例如，

"nottcpport3128andtcpport23"與"(nottcpport3128)andtcpport23"相同。

"nottcpport3128andtcpport23"與"not(tcpport3128andtcpport23)"不同。捕捉過濾器語法舉例tcpdstport3128捕捉目的TCP端口為3128的封包。ipsrchost捕捉來源IP地址為的封包。host捕捉目的或來源IP地址為的封包。srcportrange2000-2500捕捉來源為UDP或TCP，并且端口號在2000至2500范圍內(nèi)的封包。捕捉過濾器語法舉例notimcp顯示除了icmp以外的所有封包。（icmp通常被ping工具使用）srchost2andnotdstnet/16顯示來源IP地址為2，但目的地不是/16的封包。(srchost2orsrcnet/16)andtcpdstportrange200-10000anddstnet/8顯示來源IP為2或者來源網(wǎng)絡(luò)為/16，目的地TCP端口號在200至10000之間，并且目的位于網(wǎng)絡(luò)/8內(nèi)的所有封包。注意事項當(dāng)使用關(guān)鍵字作為值時，需使用反斜杠“\”。

“etherproto\ip”(與關(guān)鍵字“ip”相同).

這樣寫將會以IP協(xié)議作為目標(biāo)。“ipproto\icmp”(與關(guān)鍵字“icmp”相同).

這樣寫將會以ping工具常用的icmp作為目標(biāo)。可以在“ip”或“ether”后面使用“multicast”及“broadcast”關(guān)鍵字。當(dāng)您想排除廣播請求時，"nobroadcast"就會非常有用。

2.顯示過濾器通常經(jīng)過捕捉過濾器過濾后的數(shù)據(jù)還是很復(fù)雜。此時您可以使用顯示過濾器進行更加細致的查找。它的功能比捕捉過濾器更為強大，而且在您想修改過濾器條件時，并不需要重新捕捉一次。顯示過濾器簡單語法如果只想看tcp80端口的數(shù)據(jù)，填tcp.port==80如果想看tcp數(shù)據(jù)，填tcp即可如果想看和之間的通訊數(shù)據(jù)，填ip.addr==&&ip.addr==如果想看發(fā)送的數(shù)據(jù),填ip.src==顯示過濾器語法

Protocol（協(xié)議）您可以使用大量位于OSI模型第2至7層的協(xié)議。點擊“Expression...”按鈕后，您可以看到它們。比如：IP，TCP，DNS，SSH語法ProtocolString1String2Comparison

operatorValueLogical

OperationsOther

expression_r例子ftppassiveip==xoricmp