如何用wireshark解決實際問題

如何用wireshark解決實際問題目錄1. Wireshark顯示環(huán)境的設(shè)置 11.1 設(shè)置顯示列的源和目的端口增加包顯示的可讀性 11.2 調(diào)整包的顯示 41.3 設(shè)置時間顯示格式 51.4 添加過濾表達式標簽 51.5 添加協(xié)議的解析端口 71.6 強制解析數(shù)據(jù)包包為某種協(xié)議 102. 抓包的捕捉過濾 132.1 捕捉過濾的語法 13 過濾arp消息 152.2 過濾sip呼叫的信令和rtp流的包 162.3 ！的用法 173. 顯示過濾 183.1 過濾某一網(wǎng)段端 203.2 按照偏移量來過濾 203.3 過濾ip段 213.4 按照packetdetail里的具體的字段進行過濾 214. 抓包分析舉例 244.1 網(wǎng)管中某個基站不在線 24 用ctrl+f進行查找 25 用packetdetail里的字段進行查找 264.2 分析基站網(wǎng)管的基站的數(shù)據(jù)不能同步 284.3 Sip通話軟件單通 29Wireshark顯示環(huán)境的設(shè)置設(shè)置顯示列的源和目的端口增加包顯示的可讀性我們可以設(shè)置wireshark的顯示的列字段，增加包的可讀性如我們增加數(shù)據(jù)包源端口和目的端口，這樣可以一目了然，知道是從哪里發(fā)的包。方法菜單edit→preferences→userinterface→columns→add對具體的字段fieldtype進行選擇，顯示名稱標題title進行修改點應用apply后，顯示的內(nèi)容增加，然后在顯示界面調(diào)整顯示的次序調(diào)整包的顯示調(diào)整各個字段的顯示方式，顯示的靠邊，居中，靠右，列的寬度等內(nèi)容設(shè)置時間顯示格式這樣就添加了數(shù)據(jù)包顯示時的源和目的端口，便于我們定位問題添加過濾表達式標簽可以在過濾器旁邊添加常用過濾表達式，便于分析操作這樣可以方便我們過濾出自己想要的內(nèi)容。添加協(xié)議的解析端口增加協(xié)議使用的非標準端口，這樣可以使使用非標準端口的包解析為標準的協(xié)議如使用默認是80端口，但用戶有時定義的端口為8080，這樣就可以直接解析出8080的內(nèi)容為協(xié)議。如圖：我們自己的編寫的tomcat的應用程序使用的是8080端口作為效勞器監(jiān)聽端口，但抓包中顯示的協(xié)議確實tcp我們可以在edit→preferences→protocal里找到對應的協(xié)議添加對應解析端口，實現(xiàn)對8080端口的解析強制解析數(shù)據(jù)包包為某種協(xié)議也可以把使用非標準端口的包解析為某協(xié)議如我們的網(wǎng)管程序使用了2121端口作為ftp效勞器的監(jiān)聽端口，但ftp默認的端口是21，這樣就無法解析成ftp協(xié)議，不便于分析信令。我們可以使用收到解析的方法，把某個包解析為某種協(xié)議。選中對應端口的行，右鍵一點，菜單中選擇decodeas解析后的包協(xié)議轉(zhuǎn)換為ftp抓包的捕捉過濾捕捉過濾的語法抓包的數(shù)據(jù)量很大，很多與我們的需要無關(guān)，為了減少數(shù)據(jù)的捕捉量，我們使用預過濾功能，在開始抓包過濾掉與我們需要無關(guān)的內(nèi)容。語法：

Protocol

Direction

Host(s)

Value

LogicalOperations

Otherexpression例子：

tcp

dst

80

and

tcpdst3128

Protocol〔協(xié)議〕:可能的值:ether,fddi,ip,arp,rarp,decnet,lat,sca,moprc,mopdl,tcpandudp.如果沒有特別指明是什么協(xié)議，那么默認使用所有支持的協(xié)議。

Direction〔方向〕:可能的值:src,dst,srcanddst,srcordst如果沒有特別指明來源或目的地，那么默認使用"srcordst"作為關(guān)鍵字。例如，"host"與"srcordsthost"是一樣的。

Host(s):可能的值：net,port,host,portrange.如果沒有指定此值，那么默認使用"host"關(guān)鍵字。例如，"src"與"srchost"相同。value當字段為host時，host后面的值為ip地址，當為port時為端口號，當為etherhost時為對應的mac地址

LogicalOperations〔邏輯運算〕:可能的值：not,and,or.否("not")具有最高的優(yōu)先級?；?"or")和與("and")具有相同的優(yōu)先級，運算時從左至右進行。例如，

"nottcpport3128andtcpport23"與"(nottcpport3128)andtcpport23"相同。

"nottcpport3128andtcpport23"與"not(tcpport3128andtcpport23)"不同過濾arp消息我們要過來和arp協(xié)議并且和相關(guān)的所有消息，就用這樣的語句arp&ðerhost70:ba:ef:e3:5e:12會過濾出所有arp協(xié)議的包而且源和目的mac含有70:ba:ef:e3:5e:12消息的包過濾某一主機的所有的包如：過濾sip呼叫的信令和rtp流的包如：Sip協(xié)議走udp承載，一般默認端口是5060，rtp也走udp承載，一般的端口范圍是10000到65535udpport5060||(udpsrcportrange10000-65535&&udpdstportrange10000-65535)如上圖顯示，會有其他的udp包混入，但不會太多，主要是sip和rtp包注意不能使用大于，小于，等于比擬運算符表達式，如host>,這是錯誤的表示語句錯誤！的用法要排除某一個協(xié)議或者端口可以用！協(xié)議，！端口等語句如假設(shè)抓包中，我們要sip和rtp包，也可用下面的語句進行過濾(!udpdstport137)&&(!udpdstport138)&&!tcp&&!arp&&(!(udpdstport1900))&&!sctp&&(!(udpsrcport1900))&&(!udpdstport137)顯示過濾顯示過濾可以執(zhí)行過濾語句顯示出我們需要的包語法：

Protocol.String1.String2

Comparison

operator

Value

Logical

Operations

Other

expression例子：

ftp

passive

ip

==

xor

icmp.typeProtocol〔協(xié)議〕:您可以使用大量位于OSI模型第2至7層的協(xié)議。點擊"Expression..."按鈕后，您可以看到它們。比方：IP，TCP，DNS，SSHComparisonoperators〔比擬運算符〕:

可以使用6種比擬運算符：英文寫法：

C語言寫法：

含義：eq

==

等于ne!=不等于gt>大于lt<小于ge>=大于等于le<=小于等于Logicalexpressions〔邏輯運算符〕:英文寫法：

C語言寫法：

含義：and&&邏輯與or||邏輯或xor^^邏輯異或not!邏輯非被程序員們熟知的邏輯異或是一種排除性的或。當其被用在過濾器的兩個條件之間時，只有當且僅當其中的一個條件滿足時，這樣的結(jié)果才會被顯示在屏幕上。

讓我們舉個例子：

"tcp.dstport80xortcp.dstport1025"

只有當目的TCP端口為80或者來源于端口1025〔但又不能同時滿足這兩點〕時，這樣的封包才會被顯示。例子：snmp||dns||icmp顯示SNMP或DNS或ICMP封包。

顯示來源或目的IP地址為的封包。(!(ip.dst==))or(!(ip.src==))注意：不能使用ip.addr！＝ｘ．ｘ．ｘ．ｘ這樣的語句，過濾欄會出現(xiàn)黃色，提示語句不起效果，過濾無效顯示來源不為或者目的不為的封包。

換句話說，顯示的封包將會為：

來源IP：除了以外任意；目的IP：任意

以及來源IP：任意；目的IP：除了以外任意tcp.port==25顯示來源或目的TCP端口號為25的封包。

tcp.dstport==25顯示目的TCP端口號為25的封包。

tcp.flags顯示包含TCP標志的封包。

tcp.flags.syn==0x02顯示包含TCPSYN標志的封包。如果過濾器的語法是正確的，表達式的背景呈綠色。如果呈紅色，說明表達式有誤。表達式正確表達式錯過濾某一網(wǎng)段端按某一網(wǎng)段顯示按照偏移量來過濾如按照mac地址的前三個字節(jié)來過濾eth.dst[0:3]==00:0e:5e過濾ip段過濾某一ip段的包或者mac地址段(eth.addr>=00:0e:5e:00:00:00)&&(eth.addr<=00:0e:5e:ff:ff:ff)按照packetdetail里的具體的字段進行過濾可以展開packetdetail，按照其中顯示的字段進行標上顏色或者過濾展開sip協(xié)議header，找到call-id然后右鍵一點，彈出的菜單中找clorizewithfilter對符合協(xié)議的包進行標紅也可以用選中的字段，右鍵菜單中prepareasfilter抓包分析舉例抓到包后，需要根據(jù)包進行分析，解決我們的實際的問題，下面列舉幾個例子，說明是如何利用wireshark解決問題的。網(wǎng)管中某個基站不在線首先翻開抓包，然后在cmd下，執(zhí)行arp–d，執(zhí)行ping包，看能否ping通。數(shù)據(jù)發(fā)包過程，首先檢查目的ip是否和本機ip在同一網(wǎng)段，是同一網(wǎng)段的話，檢查是否有目的ip的mac地址，沒有的話，發(fā)arp播送消息請求mac地址，目的ip回復后，ping消息發(fā)出。有ping的回復，證明設(shè)備的ip層是通的，檢查其上的應用層是否加載。抓包如下：如基站不在線，停止抓包后，過濾arp||icmp出現(xiàn)大量的抓包，為了快速找到我們需要的arp請求消息，我們有兩種方法，用ctrl+f進行查找我們使用CTRL+F,查找這個字符串或者十六進制12FA001F這個值同樣我們可以按16進制查找同樣有arp的回復和ping的回復，證明設(shè)備ip層是通的。用packetdetail里的字段進行查找我們也可以用detail里的字段顯示作為過濾項，然后修改他的值來查找，具體：由此，判斷基站的應用程序沒有翻開，如果翻開的話，基站首先會查找網(wǎng)管的arp，得到響應后，基站會發(fā)起對網(wǎng)關(guān)url地址的tcp三步握手，然后激活相關(guān)的消息。見下列圖：分析基站網(wǎng)管的基站的數(shù)據(jù)不能同步基站數(shù)據(jù)同步的過程是網(wǎng)管下達同步消息后，基站主動連接網(wǎng)管的ftp效勞器的21端口，連接成功后，進行ftp的口令密碼驗證，現(xiàn)在過濾21端口數(shù)據(jù)進行檢查。正常的過程：現(xiàn)場過濾tcp.port==21，發(fā)現(xiàn)三步握手沒過網(wǎng)管沒有回syn+ack消息，經(jīng)查系基站網(wǎng)管的pc上的防火墻阻止了ftp的連接，關(guān)閉防火墻后，基站同步數(shù)據(jù)正常。Sip通話軟件單通安裝sip軟件通過wifi路由器和Ippbx用戶通話單通，聽不到聲音現(xiàn)象：Wifi路由器的ip是，ippbx的ip是，fxs用戶板ip是01,側(cè)8003聽到聲音ippbx側(cè)8313的聲音抓包后，過濾sip||rtp在菜單統(tǒng)計statistics→flowgraph看一下顯示包的流程圖在telephony→voipcalls里查看158到99的呼叫，以及99到101的呼叫，聽一下抓包的聲音，看一下是否是單通。明顯看到應該是兩個方向的通話，但現(xiàn)在只有158的7078端口到99的