wireshark 抓包工具使用說明(2014 emily)

Wireshark網絡抓包工具使用說明WireShark簡介Wireshark是世界上最流行的網絡分析工具。這個強大的工具可以捕捉網絡中的數據，并為用戶提供關于網絡和上層協議的各種信息。與很多其他網絡工具一樣，Wireshark也使用pcapnetworklibrary來進行封包捕捉。wireshark的原名是Ethereal，新名字是2006年起用的。當時Ethereal的主要開發(fā)者決定離開他原來供職的公司，并繼續(xù)開發(fā)這個軟件。但由于Ethereal這個名稱的使用權已經被原來那個公司注冊，Wireshark這個新名字也就應運而生了。官方網站：/軟件簡介網絡管理員使用Wireshark來檢測網絡問題，網絡安全工程師使用Wireshark來檢查資訊安全相關問題，開發(fā)者使用Wireshark來為新的通訊協定除錯，普通使用者使用Wireshark來學習網絡協定的相關知識當然，有的人也會“居心叵測”的用它來尋找一些敏感信息……Wireshark不是入侵檢測軟件（IntrusionDetectionSoftware,IDS）。對于網絡上的異常流量行為，Wireshark不會產生警示或是任何提示。然而，仔細分析Wireshark截取的封包能夠幫助使用者對于網絡行為有更清楚的了解。Wireshark不會對網絡封包產生內容的修改，它只會反映出目前流通的封包資訊。Wireshark本身也不會送出封包至網絡上。1.4協議分析Wireshark簡介主界面

1.4協議分析查看和分析數據包

非混雜模式及混雜模式下抓包非混雜模式指：WireShark只抓取指定網卡上的發(fā)出與接收的數據包，與指定網卡無關的數據包將被忽略?；祀s模式（promiscuousmode)指：WireShark能夠抓取主機所在局域網內的全部網絡包，即接收所有經過網卡的數據包，包括不是發(fā)給本機的包。WireShark界面介紹1.MENUS（菜單）2.SHORTCUTS（快捷方式）3.DISPLAYFILTER（顯示過濾器）4.PACKETLISTPANE（封包列表)5.PACKETDETAILSPANE（封包詳細信息）6.DISSECTORPANE（16進制數據）7.MISCELLANOUS（雜項）

1.MENUS（菜單）“File”（文件）“Edit”（編輯）“View”（查看）“Go”（轉到）“Capture”（捕獲）“Analyze”（分析）“Statistics”（統(tǒng)計）"Help"（幫助）打開或保存捕獲的信息。查找或標記封包。進行全局設置。設置Wireshark的視圖。跳轉到捕獲的數據。設置捕捉過濾器并開始捕捉。設置分析選項。查看Wireshark的統(tǒng)計信息。查看本地或者在線支持。2.SHORTCUTS（快捷方式）在菜單下面，是一些常用的快捷按鈕。列表顯示所有可用的抓包接口；顯示抓包選項，一般都是點這個按鈕開始抓包；開始新的抓包，停止抓包清空當前已經抓到的數據包，也可以防止抓包時間過長機器變卡。3.DISPLAYFILTER（顯示過濾器）顯示過濾器用于查找捕捉記錄中的內容。

請不要將捕捉過濾器和顯示過濾器的概念相混淆。請參考Wireshark過濾器中的詳細內容。4.PACKETLISTPANE（封包列表）封包列表中顯示所有已經捕獲的封包。在這里您可以看到發(fā)送或接收方的MAC/IP地址，TCP/UDP端口號，協議或者封包的內容。如果捕獲的是一個OSIlayer2的封包，您在Source（來源）和Destination（目的地）列中看到的將是MAC地址，當然，此時Port（端口）列將會為空。如果捕獲的是一個OSIlayer3或者更高層的封包，您在Source（來源）和Destination（目的地）列中看到的將是IP地址。Port（端口）列僅會在這個封包屬于第4或者更高層時才會顯示。您可以在這里添加/刪除列或者改變各列的顏色：

Editmenu->Preferences5.

PACKETDETAILSPANE（封包詳細信息）這里顯示的是在封包列表中被選中項目的詳細信息。信息按照不同的OSIlayer進行了分組，您可以展開每個項目查看。下面截圖中展開的是HTTP信息。6.DISSECTORPANE（16進制數據）“解析器”在Wireshark中也被叫做“16進制數據查看面板”。這里顯示的內容與“封包詳細信息”中相同，只是改為以16進制的格式表述。

在上面的例子里，我們在“封包詳細信息”中選擇查看TCP端口（80），其對應的16進制數據將自動顯示在下面的面板中（0050）。MENUS（菜單）SHORTCUTS（快捷方式）

DISPLAYFILTER（顯示過濾器）PACKETLISTPANE（封包列表)PACKETDETAILSPANE（封包詳細信息）DISSECTORPANE（16進制數據）MISCELLANOUS（雜項）Help幫助ContentsWireshark使用手冊SupportedProtocolsWireshark支持的協議清單ManualPages使用手冊（HTML網頁）WiresharkOnlineWireshark在線AboutWireshark關于WiresharkANSI

按照美國國家標準協會的ANSI協議分析FaxT38Analysis...

按照T38傳真規(guī)范進行分析GSM

全球移動通信系統(tǒng)GSM的數據H.225H.225

協議的數據MTP3MTP3

協議的數據RTP

實時傳輸協議RTP的數據SCTP

數據流控制傳輸協議SCTP的數據SIP...

會話初始化協議SIP的數據VoIPCalls

互聯網IP電話的數據WAP-WSP

無線應用協議WAP和WSP的數據BOOTP-DHCP

引導協議和動態(tài)主機配置協議的數據Destinations…

通信目的端FlowGraph…

網絡通信流向圖HTTP

超文本傳輸協議的數據IPaddress…

互聯網IP地址ISUPMessages…ISUP

協議的報文MulticastStreams

多播數據流ONC-RPCProgramsPacketLength

數據包的長度PortType…

傳輸層通信端口類型TCPStreamGraph

傳輸控制協議TCP數據流波形圖Statistics對已捕獲的網絡數據進行統(tǒng)計分析Summary

已捕獲數據文件的總統(tǒng)計概況ProtocolHierarchy

數據中的協議類型和層次結構Conversations

會話Endpoints

定義統(tǒng)計分析的結束點IOGraphs

輸入/輸出數據流量圖ConversationList

會話列表EndpointList

統(tǒng)計分析結束點的列表ServiceResponseTime

從客戶端發(fā)出請求至收到服務器

響應的時間間隔Analyze對已捕獲的網絡數據進行分析DisplayFilters…

選擇顯示過濾器ApplyasFilter

將其應用為過濾器PrepareaFilter

設計一個過濾器FirewallACLRules

防火墻ACL規(guī)則EnabledProtocols…

已可以分析的協議列表DecodeAs…

將網絡數據按某協議規(guī)則解碼UserSpecifiedDecodes…

用戶自定義的解碼規(guī)則FollowTCPStream

跟蹤TCP傳輸控制協議的通信數據段，

將分散傳輸的數據組裝還原FollowSSLstream

跟蹤SSL安全套接層協議的通信數據流ExpertInfo

專家分析信息ExpertInfoComposite

構造專家分析信息Capture捕獲網絡數據Interfaces…

選擇本機的網絡接口

進行數據捕獲Options…

捕獲參數選擇Start

開始捕獲網絡數據Stop

停止捕獲網絡數據Restart

重新開始捕獲CaptureFilters…

選擇捕獲過濾器Go運行Back

向后運行Forward

向前運行Gotopacket…

轉移到某數據包GotoCorrespondingPacket

轉到相應的數據包PreviousPacket

前一個數據包NextPacket

下一個數據包FirstPacket

第一個數據包LastPacket

最后一個數據包View視圖MainToolbar

主工具欄FilterToolbar

過濾器工具欄WirelessToolbar

無線工具欄Statusbar

運行狀況工具欄PacketList

數據包列表PacketDetails

數據包細節(jié)PacketBytes

數據包字節(jié)TimeDisplayFormat

時間顯示格式Nameresolution

名字解析（轉換：

域名/IP地址，

廠商名/MAC地址,端口號/端口名）ColorizePacketList

顏色標識的數據包列表AutoScrollinLiveCapture現場捕獲時實時滾動ZoomIn

放大顯示ZoomOut

縮小顯示NormalSize

正常大小ResizeAllColumns

改變所有列大小ExpandSubtrees

擴展開數據包內封裝協議的子樹結構ExpandAll

全部擴展開CollapseAll

全部折疊收縮ColoringRules…

對不同類型的數據包用不同顏色標識的規(guī)則ShowPacketinNewWindow

將數據包顯示在一個新的窗口Reload

將數據文件重新加Edit編輯FindPacket…

搜索數據包FindNext

搜索下一個FindPrevious

搜索前一個MarkPacket(toggle)

對數據包做標記（標定）FindNextMark

搜索下一個標記的包FindPreviousMark

搜索前一個標記的包MarkAllPackets

對所有包做標記UnmarkAllPackets

去除所有包的標記SetTimeReference(toggle)

設置參考時間（標定）FindNextReference

搜索下一個參考點FindPreviousReference

搜索前一個參考點Preferences

參數選擇File打開文件Open打開文件OpenRecent打開近期訪問過的文件Merge…將幾個文件合并為一個文件Close關閉此文件SaveAs…保存為…FileSet文件屬性Export文件輸出Print…打印輸出Quit關閉4.過濾器捕捉過濾器（CaptureFilters）：用于決定將什么樣的信息記錄在捕捉結果中。需要在開始捕捉前設置。顯示過濾器（DisplayFilters）：在捕捉結果中進行詳細查找。他們可以在得到捕捉結果后隨意修改。

那么我們應該使用哪一種過濾器呢？

兩種過濾器的目的是不同的。捕捉過濾器是數據經過的第一層過濾器，它用于控制捕捉數據的數量，以避免產生過大的日志文件。顯示過濾器是一種更為強大（復雜）的過濾器。它允許您在日志文件中迅速準確地找到所需要的記錄。兩種過濾器使用的語法是完全不同的。1.

捕捉過濾器捕捉過濾器也就是對要獲取的數據定義一個捕獲條件，因為你可能只對某種協議相關或某主機相關的數據包感興趣（比如TCP相關的數據包），所以沒有必要將其它協議的數據也一并捕獲下來。設置捕捉過濾器的步驟是：選擇capture->options。填寫“capturefilter”欄或者點擊“capturefilter”按鈕為您的過濾器起一個名字并保存，以便在今后的捕捉中繼續(xù)使用這個過濾器。點擊開始（Start）進行捕捉。捕獲過濾器簡單語法如果只想捕獲UDP協議，填udp即可.如果想捕獲dns數據,填udpport53如果想捕獲訪問網站數據,填tcpport80如果想捕獲與主機相關的數據，填host如果想捕獲arp數據，填arp即可如果想捕獲arp和tcp數據，填arp||tcp即可捕捉過濾器語法Protocol（協議）:

可能的值:ip,arp,rarp,tcpandudp，ftp等.

如果沒有特別指明是什么協議，則默認使用所有支持的協議。Direction（方向）:

可能的值:src,dst,srcanddst,srcordst

如果沒有特別指明來源或目的地，則默認使用“srcordst”作為關鍵字。

例如，“host”與“srcordsthost”是一樣的。語法ProtocolDirectionHost(s)ValueLogicalOperationsOtherexpression_r例子tcpdst80andtcpdst3128捕捉過濾器語法Host(s):

可能的值：net,port,host,portrange.

如果沒有指定此值，則默認使用“host”關鍵字。

例如，“src”與“srchost”相同。LogicalOperations（邏輯運算）:

可能的值：not(!),and(&&),or(||).

否("not")具有最高的優(yōu)先級。或("or")和與("and")具有相同的優(yōu)先級，運算時從左至右進行。

例如，

"nottcpport3128andtcpport23"與"(nottcpport3128)andtcpport23"相同。

"nottcpport3128andtcpport23"與"not(tcpport3128andtcpport23)"不同。捕捉過濾器語法舉例tcpdstport3128捕捉目的TCP端口為3128的封包。ipsrchost捕捉來源IP地址為的封包。host捕捉目的或來源IP地址為的封包。srcportrange2000-2500捕捉來源為UDP或TCP，并且端口號在2000至2500范圍內的封包。捕捉過濾器語法舉例notimcp顯示除了icmp以外的所有封包。（icmp通常被ping工具使用）srchost2andnotdstnet/16顯示來源IP地址為2，但目的地不是/16的封包。(srchost2orsrcnet/16)andtcpdstportrange200-10000anddstnet/8顯示來源IP為2或者來源網絡為/16，目的地TCP端口號在200至10000之間，并且目的位于網絡/8內的所有封包。注意事項當使用關鍵字作為值時，需使用反斜杠“\”。

“etherproto\ip”(與關鍵字“ip”相同).

這樣寫將會以IP協議作為目標?！癷pproto\icmp”(與關鍵字“icmp”相同).

這樣寫將會以ping工具常用的icmp作為目標。可以在“ip”或“ether”后面使用“multicast”及“broadcast”關鍵字。當您想排除廣播請求時，"nobroadcast"就會非常有用。

2.顯示過濾器通常經過捕捉過濾器過濾后的數據還是很復雜。此時您可以使用顯示過濾器進行更加細致的查找。它的功能比捕捉過濾器更為強大，而且在您想修改過濾器條件時，并不需要重新捕捉一次。顯示過濾器簡單語法如果只想看tcp80端口的數據，填tcp.port==80如果想看tcp數據，填tcp即可如果想看和之間的通訊數據，填ip.addr==&&ip.addr==如果想看發(fā)送的數據,填ip.src==顯示過濾器語法

Protocol（協議）您可以使用大量位于OSI模型第2至7層的協議。點擊“Expression...”按鈕后，您可以看到它們。比如：IP，TCP，DNS，SSH語法ProtocolString1String2Comparison

operatorValueLogical

OperationsOther

expression_r例子ftppassiveip==xoricmp