2024wireshark工具使用手冊

wireshark工具應(yīng)用手冊

第1章介紹

目錄

I..什么是Wireshark

3

主要應(yīng)用

is觸

1.1一.4,捕捉多種網(wǎng)絡(luò)接口

心

支持名種其它程序捕捉的文件

外支持?格式輸出

盤對一種協(xié)議解碼提供支持

開源軟件

Wireshark不佳做的小

1.2.系通需求

LLL一版說明

L22MicrosoftWindows

123.Unix/Linux

1.3.從哪里可以得到Wireshark

l.±Wiresahrk簡史

15Wireshark開發(fā)維護(hù)

1A匯報問胞和獲得幫助

1ALTO

1A1百科全書

1.63.FAQ

1.6.4.一件列表

1.6.5.報告問題

1.6.6.在UNIX/Linux平臺追蹤軟件錯誤

1.6.7.在Windows平臺迫蹤軟件錯誤

1.1.什么是VVireshark

Wireshark是網(wǎng)絡(luò)包分析工具。網(wǎng)絡(luò)包分析工具的主要作用是宏武捕獲網(wǎng)絡(luò)包，并嘗試顯示包的盡可能詳細(xì)的情況。

你可以把網(wǎng)絡(luò)包分析工具當(dāng)成是?種用來測量左什么東西從網(wǎng)線上進(jìn)出的測量工具，就好像便電工用來測道進(jìn)入電信的電

做的電度表一樣。（當(dāng)然比那個更高線）

過去的此類工具要么是過干吊貨,要么是屬于某人私有.或者是二者兼顧。WiirsharkH現(xiàn)以后，這種現(xiàn)狀得以改變.

Wireshark可能望得上是今天能使用的最好的開元網(wǎng)絡(luò)分析軟件.

1.1.1.主要應(yīng)用

下面是Wireshark一些應(yīng)用的舉例：

網(wǎng)絡(luò)餌理員用來解決網(wǎng)絡(luò)網(wǎng)邃

網(wǎng)絡(luò)安全工程師用來檢測安全陷患

開發(fā)人員用來測試協(xié)議執(zhí)行情況

用來學(xué)習(xí)網(wǎng)絡(luò)協(xié)議

除「上面提到的，Wireshark還可以用在其它許多場合,

1.1.2.特性

支持UNIX和Windows平臺

在接口實時捕捉包

鏈詳細(xì)顯示包的詳細(xì)協(xié)議信息

可以打開，保存捕捉的包

可以導(dǎo)入導(dǎo)出其他捕捉程序支持的包數(shù)據(jù)格式

可以通過修種方式過油包

多種方式查找包

通過過泄以多種色彩品示包

創(chuàng)建多種統(tǒng)計分析

…還有許多

不管怎么說，要想真正了解它的強(qiáng)大，您還得住用它才行

圖l.l.Wircshwk捕捉包并允許您檢視其內(nèi)容

1.1.3.捕捉多種網(wǎng)絡(luò)接口

Wineshark可以捕捉多種網(wǎng)絡(luò)接口類型的包，哪怕是無線局域網(wǎng)接口，想了解支持的所有網(wǎng)絡(luò)接口類型，可以在我們的網(wǎng)站

」.找到hI（D：//wiki.\vireslia/CapiurySetup'NetworkMedia.

1.1.4.支持多種其它程序捕捉的文件

Wireshark可以打開多種網(wǎng)絡(luò)分析軟件捕捉的包，詳見??？

1.1.5.支持多格式輸出

Wieshark可以將捕捉文件輸出為多種其他捕捉軟件支持的格式，詳見??？

1.1.6.對多種協(xié)議解碼提供支持

可以支持許多協(xié)議的解碼（在Wireshark中可能被稱為解剖）??？

1.1.7.開源軟件

Wieshark是開源軟件項目，用GPLI辦議發(fā)行。您可以免費在任意數(shù)量的機(jī)器上使用它，不用擔(dān)心授權(quán)和付費問題.所有的

源代碼在GPL框架下都可以免費使用，因為以上原因，人們可以很容易在Wireshark上滲加新的協(xié)議，或者將其作為插件

掩合到您的程序里，這種應(yīng)用十分廣泛.

1.1.8.Wireshark不能做的事

Wireshark不能提供如下功能

Wireshark不是入侵檢測系統(tǒng).如I果他，她在您的網(wǎng)絡(luò)做了一些制她們不被允許的奇怪的事忸，Wireshark不會警告您,但是如

果發(fā)生了奇怪的事情.Wiirshark可能對察看發(fā)生了什么會有所幫助.M

Wireshark不公處理網(wǎng)絡(luò)事務(wù)?它僅僅是“測量';監(jiān)視）網(wǎng)絡(luò)。Wireshark不會發(fā)送網(wǎng)絡(luò)包或做其它交互性的事情（.名稱解析除

外，但您也可以禁止斛析）。

日譯者注：因為不是入侵檢測之用,所以不會將入侵檢測和普通通信區(qū)別對待，但是都會體現(xiàn)在網(wǎng)絡(luò)包里面.如果您有足夠

的經(jīng)臉,或許能通過監(jiān)視網(wǎng)絡(luò)包發(fā)現(xiàn)入侵檢測

1.2.系通需求

想要安裝運(yùn)行Wireshark需要具備的軟硬件條件…

1.2.1.一般說明

給出的值只是最小需求，在大多數(shù)網(wǎng)絡(luò)中可以正常使用,但不排除某些情況下不能使用。-川

在繁忙的網(wǎng)絡(luò)中捕捉包將很容塞滿您的硬盤！舉個簡單的例子：在100MBIT/S全雙工以太網(wǎng)中捕捉數(shù)據(jù)將會產(chǎn)生

750MByties/min的數(shù)據(jù)！在此類網(wǎng)絡(luò)中擁有荷速的CPU,大量的內(nèi)存和足鋤的磁盤空間是十分有必要的，

如果Wireshark運(yùn)行時內(nèi)存不足將會導(dǎo)致異常終止?？梢栽趆uM/wiki.wi心/KnownBug$，Ou【OfN1enM）rv察看詳細(xì)介紹

以及解決辦法.

Wireshark作為對處理器時間敏盛任務(wù)，在多處理㈱/多線程系統(tǒng)環(huán)境工作不會比單獨處理巖有更快的速度，例如過灌包就是

在一個處理器下線程運(yùn)行，除了以下情況例外：在捕捉包時“實時更新包列表此時捕捉包將會運(yùn)行在一個處理下，顯示

包招會運(yùn)行在另一個處理㈱F.此時多處理或許會有所幫助.SL

1.2.2.MicrosoftWindows

Windows2000.XPHome版.XPProf&.XPTabletPC,XPMediaCenter.Server2003orVista（推薦在XP下使用）

32bit奔崎處理器或同符規(guī)|名的處理器（建議姣率.400MHz或史高）.64bit處理器在W.W64仿真環(huán)境下-見?殷說明

128MB系統(tǒng)內(nèi)存（建議256Mbytes或更高）

75MB可用越盤空間（如果想保存捕捉文件，需要更多空間）800*60（）（建議1280*1024或更高）分辨率最少65536（16bil）

色，（256色舊設(shè)備安袋時需要選擇“l(fā)egacyGTK1'、）

網(wǎng)卡需求：

以太網(wǎng)：windows支持的任何以太網(wǎng)卡都可以

無線局域網(wǎng)卡：見MicroLogixsupportlisl.不frl捉802.11包頭和無數(shù)據(jù)楨.

其它接口見：hUpJ/wiki.wireshark.orii/CaplureSelupJ'NclworkMedia

說明

基于以下三點原因，將不會對舊版Windows提供支持：沒有任何開發(fā)人員正在使用那些搽作系統(tǒng)，這將使支持變得更加困

槍W(xué)ireshark運(yùn)行所依槌的底文件（如GTK,WinPCap等）也放棄對它們的支持。同樣，微軟也放棄了對它們的技術(shù)支持。

Windows95.98和ME不能運(yùn)行Wireshark,已知的最后一個可以運(yùn)行在以上平臺的版本是Etherea10.99.（X需要安裝

WinPCap3.1）,你依然可以使用從：hllpWethenM/download.html獲得“順便提一卜：微軟「2006年1月11日停止.對9WME

支持.

WindowsNT4.0今后將無法運(yùn)行Wi心hark.最有一個已知版本是Wircshark0.99.4（需安裝自帶的WinPCap3.l）,你依然可以從：

hup:"prdcwnloa（Ksourccforgc.ncL''wircshark，wirc$hark-$ctup-0.99.4.cxc得到它“順f史提一,下：微軟于2005年12月31日停止對NT

4.0的支持.

WindowsCE及嵌入版windows（NT/XP）不被支持。

6+bit處理器運(yùn)行Wircshark需要在32bil仿其環(huán)發(fā)卜（稱作W（＞W(wǎng)64）.最低需要安裝WinPCap4.0.支

持多顯示（不知遒是顯示其還是監(jiān)視器）安裝，但會遇到一"不可預(yù)料的問題.

1.2.3.Unix/Linux

Wireshark目前可以運(yùn)行在許多UNIX平臺，系統(tǒng)可以對照上面Windows下的指標(biāo).二進(jìn)制包最少在以下平臺可用：

APPIeMacOSX

DebianGNU/Linux

FrwHSn

NetBSD

OpenPKG

RedHa（Fedora^EnterpriseLinux

rPathLinux

SmSolaris/i386

SvnSolaris/Sparc

如果二進(jìn)制包在您的平臺無法使用，你可以下致源文件并嘗試編譯它。希望悠能發(fā)送郵件到

wirc3iark?de\」ATI.分享您的經(jīng)驗。

（4|ItJl-M4.-ThebdiwMTVtheminimwnrcquircmctil*and?ai^-*rule??fthumb'*foru>ccaMmiMkraldyu>cdncf*vdi"-X."mk?ol"llwnh****'1*HPiSffiMImitUp刪"仇宣

昆?，品@培是底，人多皎情及卜班陽.何脩“的花?

⑸洋者注：我對這句話的理解是，正如播放電影一樣,高性能的處理器只會增強(qiáng)顯示效果，您并不需要將原來30分鐘的影

片10分鐘之內(nèi)看完.當(dāng)然,對減少越時還是有作用的.但是礴覺這句有點閱讀困難,可能翻譯的有點問胭.

13從哪里可以得到Wireshark

你”J以從我們的網(wǎng)站卜我最新版本.的Wire“hurshlS："www.wir<?，;hurk.<>r&''d"wnk>ud.htmL網(wǎng)站卜.您“『以選擇適合您的鏡僧站點“

Wireshark通常在4-8冊內(nèi)發(fā)布一次新版本

如果您想獲得Wiehark發(fā)布的消息通知，你可以訂閱Wireshark-announce郵件列表。詳見第164節(jié)"郵件列發(fā)”

L4.Wiresahrk簡史回

1997年以后，GeraldCombs貓要?個工具追蹤網(wǎng)絡(luò)問題并想學(xué)習(xí)網(wǎng)絡(luò)知識。所以他開始開發(fā)Elhereal（Wireshark項目以前的

名稱）以解決以上的兩個需要.

Elhcrcal是第一版.經(jīng)過數(shù)次開發(fā)，停頓.19閑年，經(jīng)過這么長的時間，補(bǔ)「，Bug報告，以及許多的鼓勵，020版誕生了.

Ethereal就是以這種方式成功的.

此后不久,GilbertRamirez發(fā)現(xiàn)它的潛力，并為其提供了底層分析

1998年10月，GuyHarris正尋找一種比TcpVicw更好的工具,他開始為Ethereal進(jìn)行改進(jìn),并梃供分析.

998年以后.正在進(jìn)行TCP/IP教學(xué)的RichardShaipc關(guān)注了它在這些課程中的作用.并開始研究該軟件是否他所需要的協(xié)議.

如果小行，新協(xié)議支持應(yīng)該很方便被添加.所以他開始從事Ethereal的分析及改進(jìn).

從那以后,幫助Ethereal的人越來越多,他們的開始幾乎都是由干一些尚不被Ethsral支持的協(xié)議,所以他們挎貝了已有的

解析器，并為團(tuán)隊提供了改進(jìn)回饋，

2006年項目MovedHouse（這句不知道怎么附譯）井重新命名為：Wireshark.

⑷本段因為有很多協(xié)議.程序開發(fā)方面的術(shù)語.翻譯得比較郴糕

15.Wireshark開發(fā)維護(hù)

Wireshark最初由GeraldCombs開發(fā)。目前由Wircsh;irkteam進(jìn)行進(jìn)一步開發(fā)和維護(hù)，Wiresharkteam是一個由修補(bǔ)bug提

高Wireshark功能的獨立成員組成的松散組織.

有大量的成員為Wiehark提供協(xié)議分析。同時我們也希望熄"活動能持續(xù)機(jī)芯。通過查看Wireshark府助球單下的About.

你可以找至U為Wireshark提供代碼的人員名單，或者你也可以通過Wireshark網(wǎng)站的author頁面找到.

Wireshark是開源軟件項目.發(fā)布遵循GNUGeneralPublicLicence（GPL協(xié)議）.所有源代碼可以在GPL框架下免費使用.歡

迎您修改Wigshark以使適合您的帝要，如果缶可以提供您的改進(jìn)給Wiresharkteam,我們將不勝感激.

為WigsharkTeam提供您的改進(jìn)建議，有以下益處：

如果其他人發(fā)現(xiàn)您提供的改進(jìn)十分有用會肯定它們的價值,您將會得知你曾像Wi代sharkleam一樣招助過他人

ThedevelopersofWiresharkmightimproveyourchangesevenmore,as（here'salwaysroonfbrimprovement.Ortheymay

irrplcmcntsomeadvancedthingsontopofyourcode,whichcanbeusefulforyourselftoo.

ThemaintainersanddevelopersofWiresharkwillmaintainyourcodeaswell,fixingitwhenAPIchangesorotherchangesare

made,andgenerallykeepingitintuncwithwha.ishappeningwithWireshark.SoifWiresharkisupdated（whichisdoneoften）,

youcangetanewWiresharkversionfromthewebsiteandyourchangeswillalreadybeincludedwithoutanyeffortforyou.

Wireshar源代碼和二進(jìn)制kits（二進(jìn)制工具包？）可以根據(jù)自己的平臺對應(yīng)下故，網(wǎng)站是：

hUD：//w'w\v.wireshark.or2/download.himl.

1.6.匯報問題和獲得幫助

如果您在使用中碰到了問題,或者您需要Wireshark的幫助，有以下幾種可能讓您有興趣的方法（當(dāng)然,還包括這本書）.

1.6.1.網(wǎng)站

通過訪問hllp:，'/www.wircshark.or即你將公發(fā)現(xiàn)關(guān)于Wireshark許多有用的信息。

1.6.2.百科全書

WiresharkWiki（hurx"wiki.wire$hark.orM提供廣泛的跟Wiivshark以及捕捉包有關(guān)信息。你將會發(fā)現(xiàn)?些沒有被包括在本書內(nèi)

信息,例如：wiki上有解稗如何在交換網(wǎng)絡(luò)捕捉包，同時我們正努力建立協(xié)議參考，等等。

燃好的事情是，如果時某些知識有獨到見解（比如您精通某種協(xié)議），您可以通過瀏覽器編輯它。

1.6.3.FAQ

最經(jīng)常被問到的問題“FrequencyAskedQueslions”提供一個經(jīng)常被問到的問題以及答案的列表。

ReadTheFAQ

在在發(fā)送U何郵件到郵件列衣之前，確信但已經(jīng)閱諛了「AQ,因為訃?yán)锩婧芸赡芗航?jīng)提

供了您想問的問煙，答案。這將大大節(jié)約您的時間（記住，有很多人提交r大量的郵件）。

1.6.4.郵件列表

下面的幾個幾個郵件列表，分別屬于不同的主題：

X^reshark-users

這是一個Wieshark用戶的列表,大家提交關(guān)于安裝和使用Wireshark的何時,其它人（非常.有用）提供的答案.（譯者注：

其他人當(dāng)然也是指用戶？）

wireshark-announce

這是一,個關(guān)于程序發(fā)布信息的列衣，通常每48周出現(xiàn)一次。

wireshark-dev

這是一個關(guān)于Wircshark開發(fā)的郵件列表，如果開始開發(fā)協(xié)議分析，可以從加入該列表

你可以通過網(wǎng)站httW/www.wgharkQH；訂閱每個郵件列表.簡單點擊網(wǎng)站左手邊的覘件列表璉接就可以.郵件同樣在網(wǎng)站上

可以看到存檔.

提示

你可以搜索存檔看看有沒有人問過跟你一樣的問題，或許您的問時己經(jīng)有了答案。這樣

您就不必提交郵件以等待別人答或您了.

1.6.5.報告問題

注意

在您提交任何問超之前，請確定您安裝的是最新版本的Wireshark,當(dāng)

您提交問的的時候，如果您提供如下信息將會對解決問題微有幫助。

Wireshark的版本.及其依賴的庫的版本.GTK+,等等。你可以通過WircshHrk-v命令獲得版本號。（估計是UNIX?Linux

平臺）.

運(yùn)行Wircshark的平臺信息.

關(guān)于問題的詳細(xì)描述.

如果您得到錯誤或者警告信息，攙貝錯誤信息例文本（以及在此之前或之后的文本，如果有的話）,這樣其他人可能會發(fā)現(xiàn)發(fā)

生問題的地方.請不要發(fā)送諸如：gotawarningwhiledoingx-l7?r因為這樣看起來不足個好主意。

不要發(fā)送大文件

不要發(fā)送過大的文件OIOOKB）到郵件列表,在郵件中附加一個能提供足夠數(shù)據(jù)的記事

本就可以，大文件會讓很多郵件列表里的那些對您的問題不感興趣的用戶感到惱怒,如

果需要，你可以單獨發(fā)送那些數(shù)據(jù)給對您何超真正感興黜，要求您發(fā)送數(shù)推的人.

不要發(fā)送機(jī)密信息！

如果您發(fā)送捕捉數(shù)據(jù)到郵件列表，請確定它們不包含敏監(jiān)或者機(jī)密信,息，比如密碼或者

諸如此類的.

1.6.6.在UNIX/Linux平臺追蹤軟件錯誤

如果您發(fā)送捕捉數(shù)據(jù)到戚什列衣,請確定它們不包含嫉福或者批密信息,比如客碼或者諸如此類的。

你可以通過如下命令獲得追蹤信息：

Sgdb'whereiswire-shark|cut-f2-11:|cut-d''-12'core>&bt.txt

backtrace

$

注意

在逐字輸入第一行的字符！嘰

注意

追蹤是一個GDB命令。你可以在輸完第一上以后輸入它,但是會沒有相應(yīng)，人口命》

(CTL+D)將會退出GDB命令.以上命令讓你在當(dāng)前日錄得到一個名為bt.txt的文本文件，

它包含您的bug報告。

注意

如果您缺少GDB.您必須檢查您的操作系統(tǒng)的調(diào)試器：你

uf以發(fā)送追蹤眥件到\vi3hark-dev[AT|wireshark.on!郵件列表

1.6.7.在Windows平臺追蹤軟件錯誤

Windows下無法包含符號文件(.pdb),它們非常大。因此不太可能創(chuàng)建十分有意義的迫蹤文件。你將匯報軟件錯誤就像前面描

述的其他問題一樣,(這句不盡人意)

卬洋者注：那句話的意思是，我在XX時碰到?個警告信息

㈤彳ITM：耽*兄：FpcZcMrKWEiBlhc(irMIZMrrtKWiE!Thc*?』rrudri6dlerv:ThiMCiirvkKkTkMhcrv'%?0是”么二&第左Ltnvx

第2章編譯/安裝Wireshark

目錄

2.1.須知

22孩得源

2.3.住UNIX下安裝之的2.4.

花UNIX卜編譯Wireshark25

在UNIX下安裝..進(jìn)制包

2.5.1.在Linux或類似環(huán)境下安裝RPM包

2.5.2.{\Mbian環(huán)境下安裝Deb包2.5.3.

在GcnlooLinux環(huán)境卜安裝Portage2.5.4.

在FreeBSD環(huán)埼卜玄裝包

26斛決UNIXE玄裝過程中的問題

27在Windows下編譯海

28在Windows下安裝Wireshark

2.8」,安裝Wireshark

282F動安裝WinPean

283.更新Wireshark

284.更新WinPeap

2.8.S.Wireshark

2.8.6.卸我WinPeap

2.1.須知

萬事皆有開頭，Wireshark也同樣如此。要想使田Wireshark,你必須：

獲得一個適合您操作系統(tǒng)的二進(jìn)制包，或者

獲得源文件為您的操作系統(tǒng)編洋。

目前，只有兩到三種Linux發(fā)行版可以傳送Wircshark,而且通常傳輸?shù)亩际沁^時的版本，至今尚未有UNIX版本可以傳輸

Wireshark.Windows的任何版本都不能傳輸Wireshark.基于以上原因，你需要知道從哪能得到最新版本的Wireshark以及如何

安笠它.

本章節(jié)向您展示如何獲得源文件和二進(jìn)制包.如何根據(jù)你的需要編譯Wireshark源文件.以

下是通常的步驟：

卜裁需要的相關(guān)包,例如：源文件或者二進(jìn)制發(fā)行版。

將源文件漏祥成一進(jìn)制包(如果您下載的是源文件的話),這樣做做可以整合編譯和/或安裝其他需要的包，

安裝二進(jìn)制包到最終目標(biāo)位置。

2.2.獲得源

你可以從Wireshark網(wǎng)站h“p:“www.wircshark,除同時獲取源文件和二進(jìn)制發(fā)行版.選擇您需要下我的錐接，然后選擇源文件

或二進(jìn)制發(fā)行包所在的饒像站點《盡可能忘你近一點的站點）.

下載所有需要的文件！

一股來說，除非您已經(jīng)下載Wireshark.如果感想如譯Wireshark源文件,您可能需要卜我多

個包。這些在后面章節(jié)會提到.

注意

當(dāng)你發(fā)現(xiàn)在網(wǎng)站上有多個二進(jìn)制發(fā)行版可用,您應(yīng)該選擇適合您平臺的版本，他們同時

通常會有多個版本緊跟在當(dāng)前版本后面，那此通常時擁有那些平臺的用戶編洋的。

劉T以上原因，您可能想自己下載源文件自己編佛，因為這樣和對方便一點。

23.在UNIX下安裝之前

在輛譯或者安裝二進(jìn)制發(fā)行版之前,您必須確定已經(jīng)安裝加卜.包：

GTK+.TheGIMPToolKit.

您將公同樣需要Glib.它們都可以從www&k.uru獲得，

Libpcap.Wireshark用來捕捉包的工具

您可以從www.icpdiimD.ore獲加。

根據(jù)您操作系統(tǒng)的不同，您或許能夠安裝二進(jìn)制包，如RPMs.或許您需要獲得源文件并編譯它，

如果您已經(jīng)卜找了GTK+源文件.例2.1??從源文件編譯GTK+”提供的指令對您編譯有所幫助.

例2.1.從源文件編譯GTK+

gzip-degtk+-l.2.10.tar.gz|tarxvf-

<nuchoutputremoved〉

./configure

<nuchoutputremoved〉

makeinstall

<nuchoutputremove〉

test--

注意

您可徙需要修改例2.1,?從源文件文譯GTK+”中提供的版本號應(yīng)對應(yīng)您下載的GTK+版

本,如果GTK的目錄發(fā)生變更，您同樣需要修改它?，larxvf顯示您需要修改的目錄,注

怠

如果您使用Linux.或者安裝了GUNtar.您可以使用tarzxvn：lk+，1.2.10.tur.gz命令。同

樣也可能使用gunzipY或者*zcat而不是許多UNIX中的gzip-de

注意

如果您在windows中下載了gik+或者其他文件。您的文件可能名稱為：gik+-L2-8」ar.gz

如果在執(zhí)行例2.1”從源文件編譯GTK+'〕I?的指令時有錯誤發(fā)生的話，你可以咨詢GTK+網(wǎng)站。

如果您已經(jīng)卜收flibpcap趣，-?皺指令如例2.2，笫評、女裝IibpeaD”顯出的那樣會幫您茫成編坤，問件，如果交的操作

系統(tǒng)不支持teDdumD.您可以從icDdump網(wǎng)站下我安裝它。

例2.2.編譯、安裝libpcap

gzip-delihpcap-0.9.4.tar.Z|tarxvf-

<nuchoutputremoved〉

cdlibpc叩-0.9.4

./configure

<nuchoutputrcmovcd>

make

<nuchoutputrcmovcd>

makeinstall

vnuchoutputremoved〉

注意

Libpc叩的目錄需要根據(jù)您的板本進(jìn)行修改。tarxvf命令顯示您解壓縮的目錄.

RcdHalSx及其以上版本環(huán)境卜,（包括基于它的發(fā)行版，如Mandrake）,您可以直接運(yùn)行RPM安裝所有的包.大多數(shù)侍況下

的Linux需要安裝GTK+和Glib.反過來說,你可能需要安裝所有包的定制版。安裝命令可以參考例2.3“任RedHaiLinux6.2

或齊基廣該版本得發(fā)行版卜安裝需要的RPM包“，如果您還沒有安袋，您可能需要安裝需要的RPMs。

例2.3.在RedHatl.inux6.2或者基于該版本得發(fā)行版下安裝需要的RPM包

cd/niiil/cdroin/Kedllal/RPMS

rpn-ivhglib-1.2.6-3.i386.rpm

rpn-ivhglib-dcvcl-1.2.6-3.i386.rpm

rpn-ivhgtk+-1.2.6-7.i386.rpm

rpn-ivhgtk+-devel-1.2.6-7.i386.rpm

rpn-ivhlibpcap-0.4-19.i386.rpni

注意

如果您使用RedHai6.2之后的版本，需要的RMPs包可能己經(jīng)變化。您需要使用正確的

RMPs包。

在DebiunF您可以使用apl-ge命令。apl-gel杯會為您完成所有的操作。參見例2.4,,在!>banF安裝Deb”

例2.4.在Deban下安裝Deb

ap<-gctinstallwireshark-dev

2.4.在UNIX下編譯Wireshark

如果在Unix操作系統(tǒng)下可以用如下步驟漏譯Wieshark源代碼：

如果使用Linux則解壓Mp，dtar文件，如果您使用UNIX.則解壓GUNtar文件。對于Linux命令如下：

tarzxvfwireshark-0.99.5-tar.gz

對于UNIX版本，命令如下

gzip-dwireshark-0.99.5-tar.gz

larxvfwireshark-0.99.5-（ar

注意

使用管道命令行g(shù)zip-dcWireshark-0.995tar.gz|tarxvf同樣可以?

注意

如果您在Windows下下找了Wireshark,你會發(fā)現(xiàn)文件名中的那些點變成了下劃規(guī)。

將當(dāng)前目錄設(shè)黃成源文件的目錄，

配置.您的源文件以編譯成適合您的Unix的版本。命令如下：

./a）nfigure

如果找個步驟提示鉗誤,您需要修正情誤.然后重新configure.解決編譯錯誤可以參考笫25獷?解決UNIX卜安裝過江中的

題“

使用make命令將源文件編譯成二進(jìn)制包，例如：

make

安裝您編譯好的二進(jìn)制包到歧終目標(biāo)，使用如下命令：

makeinstall

一旦您使用makeinstall安裝了Wireshark,您就可以通過輜入Wireshark命令來運(yùn)行它（.

（opRH?！凹?，'11"Pipdmzxn.?fam?ivn.<<????：??

25在UNIX下安裝二進(jìn)制包

一般來說,在您的UNIX下安裝二進(jìn)制發(fā)行包使用的方式根據(jù)您的UNIX的版本類型而各有不同。例如AIX下,您可以使

用smit安裝,Tru64UNIX您可以使用setld命令。

2.5.1.在Linux或類似環(huán)境下安裝RPM包

使用如下命令安裝WiresharkRPM包

rpn-ivhwireshark-0.99.5.i386.rpm

如果因為缺少Wireshark依賴的軟件而導(dǎo)致安裝制誤，請先安裝依賴的軟件.然后再嘗試安姿.REDHAT卜依賴的軟件諳參

考例2.3??在RedHalLinux6.2或行他「該I扳4得發(fā)行版卜女笑高瑟的RPM色”

2.5.2.在Debian環(huán)境下安裝Deb包

使用下列命令在Debian下安裝Wireshark

apt-getinstallWirushark

ap（-gel會為您完成所有的相關(guān)操作

2.5.3.在GcntooLinux環(huán)境下安裝Portage

使用如下命令在GentooLinux下安裝wireshark以及所有的需要的附加文件

USE="adnsgtkipv6portaudiosnmpsslkerberosthreadssclinux"emergewireshark

2.5.4.在FreeBSD環(huán)境下安裝包

使如下命令在FreeBSD下安裝Wireshark

pkg_add-rwireshark

pkg_add會為您完成所有的相關(guān)操作

2.6.解決UNIX下安裝過程中的問題【必

安裝過程中可能會遇到一些錯誤信息。這里給出一些錯誤的解決辦法：

如果configure那?步發(fā)生錯誤。你禍要找出錯誤的原因，您可以檢杳H志文件contlg.l?！暝谠次募夸浵虏房创憾及l(fā)生了哪

些錯誤。有價值的信息通常在最后幾行.

一般原因是因為您諼少GTK+環(huán)境，或者您的GTK+版本過低。contigure錯誤的另一個原因是囚為因為跳少libpcap（這就是

前面提到的捕捉包的工具）.

另外一個常見問題是很多用戶抱怨公后編譯、鏈接過程需要等待太長時間。這通常是因為使用老式的see!命令（比如Solaris

下傳諭〉.自從libtool腳本使用sed命令建立最終鏈接命令.常常會導(dǎo)致不可知的惜誤.您可以通過下載最新版本的sed解決

該問題htlp://direcl<>rY.fsf.（>ri;，GNU/sed.hlml.

如果您無法檢測出錯誤原因.發(fā)送味件到岫羽型蟲皿說明您的問題。當(dāng)然,郵件里要附上conflg.log以及其他您認(rèn)為對解

決問題有祁助的東西，例如make過程的追蹤，

4人4；R￡CNIXUNUX,述段的偽霧'？?同倦人分爹/依WWchaK介必便箕&??依矜1G/?下。個人應(yīng)下UPCIKLIXUX下曾皖力UNDC5UXFW；?。尚險女收U

<］是卜級用外unu力.U"力屋璘力曾.^uHtnrmnrt.3?*M4i30ftdTn?jT.j.uf\發(fā)信卜敷nwce/RMR期AUJU.n侵as

樂小惶地發(fā)療《宣械.?《心上外,比如umr的GTK?X?.口?力4以，4>23//wix卜一我之”二?

2.7.在Windows下編譯源

在Windows平臺下，我們建議坡好是使用二進(jìn)制包直接安裝，除非您是從事Wireshark開發(fā)的。如果想了解關(guān)FWindows

下編譯安裝Wireshark,請ff看我們的開發(fā)WIKI網(wǎng)站hUDJ/wiki.wireshark.orft/Developmeni來了解炒新的開發(fā)方面的文檔。

2.8.在Windows下安裝Wireshark

本節(jié)將探討在Windows下安裝Wireshark二送制包.

2.8.1.安裝Wireshark

您兼得的Win;shark:進(jìn)制安裝包可能名稱類似Riresharkseiup-x.y.z.exe.Wireshark安裝包包含WinPcap,所以您不需?要單獨下

教安裝它.

您只需要在hUp;"www.wircTh;irkQrg/dcwnlcad.Mml#n;lc:iscs下載Wireshark安裝包并執(zhí)行它昭可.除了普通的安裝之外，還

有幾個組件供挑選安裝.

提示：盡量保持默認(rèn)設(shè)置

如果您不了解設(shè)置的作用的話.

選擇組件以1

Wireshark（包括GTKI和GTK2接口無法同時安裝）：

如果您使用GTK2的GUI界面遇到問題可以嘗試GTKI.在Window.下256色（8bit）顯示梭式無法運(yùn)行GTK2.但是某些離

級分析統(tǒng)計功能在GTK1卜可能無法實現(xiàn).

VViresharkGTK1-Wireshark是一個GUI網(wǎng)絡(luò)分析工具

VViresharkGTK2-Wircshark是一個GUI網(wǎng)絡(luò)分析工具（建議使用GTK2GUI模組工具）

CTK-Wiinp-GTKWimp是詩歌GTK2窗口模以（看起來感覺像原生\vindows32程序.推存使用）

TSshark-TShark是一個命令行的網(wǎng)絡(luò)分析工具

插件/擴(kuò)展（Wireshark.TShark分析引擎）：

DissectorPlugins-分析插件：帶有擴(kuò)展分析的插件

TreeStatisticsPlugins-樹狀統(tǒng)計插件：統(tǒng)計工具獷展

Mate-MetaAnalysisandTracingEngine（experimental）:可Ad置的顯示過能引掌.參考hi【p:〃\viki.wirc$harkQi~g/M；Uc.

SNMPMIBs:SNMP.MIBS的詳細(xì)分析.

Tools/T具（處理捕捉文件的附加命令行工具

UsersGuide-用戶手冊-本地安裝的用戶手冊.如果不安裝用戶手冊，幫助菜單的大部分按鈕的結(jié)果可能就是訪問internet.

?Editcap-Editcapisaprogramthatreadsacapturefileandwritessomeorallofthepacketsintoanothercapeurefile.

/Ediicap是一個讀取捕捉文件的程序，還可以將一個捕捉文件力的部分或所有信息寫入另一個捕捉文件。（文件合并or

插入？）

Tcxt2l*cap-Tcxt2pcapi*aprogramthatrcad.5iianASCIIhexdumpandwritesthedataintoalibpcap-Mylccapturefilc./Tcx2pcap

是一個讀取ASCIIhex,寫入數(shù)據(jù)到libpcap個文件的程序。

Mergecap-Mcrgccapisaprogramthatcombinesmultiplesavedcapturefilesintoasingleoutputfile./Mcrgccap是一個可以,3

多個捕捉文件合并為一個的程序.

Capinfos-Capinfosisaprogramthatprovidesiiformaliononcapturefiles./Capinfos是一個顯示捕捉文件信息的程序。

“AdditionalTasks”頁

StartMenuShortcuts-開始菜單快捷方式-增加?些快攏方式到開始菜單

DesktopIcon-桌面圖標(biāo).增加Wireshark圖標(biāo)到桌面

Quickl.aunchIcon-快速啟動圖標(biāo)-增加一個Wireshark圖標(biāo)到快速俄動工具欄

AssociatefileextensionstoWireshark-Wireshark文件關(guān)聯(lián)用捕捉包默認(rèn)打開方式關(guān)聯(lián)到Wirc$h;irk

ImtallWinPenp，?”頁

Wireshark安裝包里包含了最新版的WinPeap安裝包。

如果您沒有安裝WinPc叩.您將無法捕捉網(wǎng)絡(luò)流球。但是您還是可以打開以f呆存的捕捉包文件，

CurrentlyinstalledWinBeapversion-當(dāng)前安親的WinPeap版本

InstallWinPeapx.x-如果當(dāng)前安裝的版本低于Wireshark自滯的，該選項將會是戰(zhàn)次值.

StartWinPeapservice-NPF-atstartup-將WinPeap的服務(wù)NPF在肩動時運(yùn)行-這樣其它非管理員用戶就同樣可以捕捉包

了.

更多關(guān)于WinPeap的信息：

Wireshark用關(guān)hllp:，八vikiN'ire'/WinPcap

WinPeapTf方網(wǎng)站：hllp:Pwww.winpeap.。川

安裝命令選項

您可以直接在命令行運(yùn)行安裝包，不加任何參數(shù),這樣會顯示常用的參數(shù)以供交互安袋.在個別應(yīng)用中，可以選擇一些參數(shù)

定制安裝：

/NCRC禁I上CRC校檢

/S靜默模式安裝或卸載Wireshark.注意：靜默模式安裝時不會安裝WinPeap!

/desktopic.n安裝桌面圖標(biāo)，/deskiopicon=y“表示安裝圖標(biāo).反之則不是,適合靜默模式。

/qMcklaunchicon將圖標(biāo)安裝到快速啟動工具欄，=yes-安裝到工具欄，=no-不安裝，不填按默認(rèn)設(shè)苴。

/D設(shè)置我認(rèn)安裝目錄岱INSTDIR）,首選安裝目錄和安裝目錄注冊表鍵值，該選項必須設(shè)置到地后。即使路徑包含空格例

2.5.

wircshark-sc（uj>-0.99.5.exe/NCRC/S/dcsktopicon=ycs/quicklaunchicon=no/D=C:\ProgramFilcs\Foo

2.K.2.手動安裝WinPeap

注意

事先聲明，Wireshark安裝時會誣慎對待WinPeap的安裝，所以您通常不必?fù)?dān)心WinPeap,

卜面的WinPeap僅適合您需要嘗試未包括在Wireshark內(nèi)的不同版本W(wǎng)inPeap.,例如一個新版本的WinPeap發(fā)布了，您需

要安裝它.

單獨的WinPcap版本（包括alphaorbcla版》可以在卜面地址卜載到

WinPcap官方網(wǎng)站：htlD：//ww\v.winpcap.<>ri;

W鏡像站點:hup:，'Mww.mirrurs.wireiapped.ne【/securilv.，'packel-caplureJw'inpcap

在下就頁面您將會發(fā)現(xiàn)WinPcap的安裝包名稱通常類似于“auto-installer”。它們可以在NT4.0,'2000/XP/vista下安裝，

2.8.3.更新Wireshark

仃時候您可能想將你的WinPcap更新到最新版也如果您仃閱/Wircsha由通知郵件，您將會獲得Wircshark新版本發(fā)布的

通知，見第1.6.4節(jié)”郵件列表”

新版誕生通常需要8-12周.更新Wircshark就是安裝一卜.新版本,卜戢并安裝它就可以。更新通常不需要田新啟動?也不會更

改過去的默認(rèn)設(shè)巴

2.8.4,更新WinPcap

WinPcap的更新不是十分頻繁，通常一年左右。新版本出現(xiàn)的時候您會收到WinPcap的通知.更新WinPcap后麓要重新啟動。

警告

在安裝新版WinPcap之前.如果您已經(jīng)安裝了舊版WinPcap,您必須先卸載它.最近版本的

WinPcap安裝時會自日卸載舊版。

2.8.5.卸載Wireshark

你可以用常見方式卸載Wireshark,使用添加/刪除程序,選擇“Wireshark”選項開始卸我即明

Wireshark卸載過程中會提供一些選項供您選擇和我哪些部分，默認(rèn)是卸載核心組件,但保留個人設(shè)置和WinPcap.

WinPcap跋認(rèn)不會被卸載.因為其他類似Wireshark的程序有可能同樣適用WinPc叩

2.8.6.卸載WinPcap

你可以單獨卸我WinPcap,在添加，刪除程序選擇'■WinPcap”卻效它.

注意

卸載WinPcap之后您將不鍍使用Wireshark捕捉包.在

卸我完成之后最好重新啟動計算機(jī)，

(j|MttXSM'Xfc.UVAUJti'J.a?.????

第3章用戶界面

目錄

3.1.須知

XL啟動Wireshark

3J.卜府"

X1L主窗口概述

主菜單

35"File”菜單

3.6."Edit"菜單

3?"View"菜單

38"Go"菜單

3.9."Capture"

3.@"Analyze”菜單

3.11,"Stalistics”菜單

3.12."Help'W

3.13,"MaiiT工具欄

3.14."Filter"!

3.5"PeaksList”血取

3.6"PacketDetails??面板

3.：7,"PacketByte-jflife

3.18.狀態(tài)樣

3.1.須知

現(xiàn)在您已經(jīng)安袋好了Wireshark,幾乎可以馬上捕捉您的一個包.緊接著的這一節(jié)我們將會介紹：

Wireshark的用戶界面如何使用

如何捕捉包

如何查看包

女啊過池包

……以及其他的一些工作，

3.2.啟動Wireshark

你可以使用Shell命令行或者費源管理器啟動Wireshark.

提示

開始Wireshark時您可以指定適為的參數(shù).參見第9.2節(jié)“從命令行肩動Wireshark”

注意

在后面的章節(jié)中，將會出現(xiàn)大量的獻(xiàn)圖，因為Wireshark運(yùn)行在多個平臺，并且支持多

個GUIToolki?GTKLx/2x）,您的算幕上顯示的界面可能與技圖不盡吻合。但在功能上不會

有實偵性區(qū)別.盡管有這些區(qū)別，也不會導(dǎo)致理解上的困難，

33.主窗口

先來百看圖3」“主前”界面”,大多數(shù)打開捕捉包以后的界面都是這樣子（如何捕捉/打開包文件陋后提到）。

圖3.1.主窗口界面

tesl.pcap-Wireshark目回區(qū)）

出EditYiew8CaptureMWzeStobstks附

a1a下氫

郭?*G再&ElxQ◎動iBS4

MEJter：|▼+Expression..觸Appfy

No.-TimeSourceDestinationProtocolInfo

10.000000192.168.0.2BroadcastARPWhohas192.168.0.2?GratuitousJ

20.299139192.168.0.1192.168.0.2NBNSMarnsqueryHBSTATr<00><00><00><0C

30.299214192?168.0.2192?168.0.1ICMPDestinatTOn-unreachable(Portunn

41.025659192.168.0.2224.0.0.22IGMPV3MentoershipReport

51.044366192.168.0.2192.168.0.1DMSStandardquerySRV_)dap._tcp.nbgr

61.048652192.168.0.2239.255.255.250UDPSourceport:3193Destinationpot

71.050784192.168.0.2192.168.0.1DNSStandardquerySOAnbl0061d.w^004|

81.055053192.168.0.1192.168.0.2UDPSourceport:1900Destinationpot

91.082038192.168.0.2192.168.0.255NBNSRegistrationNBNB10061D<00>

AU192.168.0.2192.168.0.1DNSStandardqueryAproxyconf.'/MOOA.j

.(r/ffW■■■■

121.227282192.168.0.1192.168.0.2TCPhttp>3196[SYN,ACK]Seq-0Ack-：v

<>

SFrame11(62bytesonwire,62bytescaptured)A

由EthernetII,Src:192,168.0.2(OO:Ob:5d:2O:cd:O2),Dst:Netgear_2d:75:9a(00:09:5b:2d:75:9a)

?InternetProtocol,Src:192,168.0.2(192.168.0.2),Dst:192,168.0.1(192.168.0.1)

dTransmissionControlProtocol,SrcPort:3196(3196).DstPort:http(80),Seq:0,Len:0

Sourceport:3196(3196)

Destinationport:http(80)

Sequencenumber:0(relativesequencenumber)

Headerlength:28bytes

'±Flags:0x0002(SYN)

Windowsize：64240v

5dK02a045O0

R。。00095bza759a80D612■cocda8OBo2c0d8

D010003018484000800695f8c