Wireshark高級(jí)技巧

1、Wireshark高級(jí)技巧內(nèi)容提要：Ø 顯示過(guò)濾器的用法Ø 捕捉過(guò)濾器的功能及用法Ø Wireshark遠(yuǎn)程抓包Ø 包的拼接和任意拆解顯示過(guò)濾器顯示過(guò)濾器是我們用得最多的，大家對(duì)他的用法應(yīng)該也比較了解，這里重新介紹一下顯示過(guò)濾器的語(yǔ)法，并且附上一些我們平常會(huì)用得比較多的典型表達(dá)式。l 語(yǔ)法協(xié)議.字符串1.字符串2 比較運(yùn)算符 值 邏輯操作符 其它表達(dá)式例: sip auth domain = or rtp這里，“協(xié)議”字段可為wireshark所有支持的協(xié)議，支持的協(xié)議可以從wireshark的“Internals”中找到，“字符串1”“字符串2”是對(duì)協(xié)

2、議的類型限制，“比較運(yùn)算符”用來(lái)嚴(yán)格指定協(xié)議的“值”，邏輯操作符用來(lái)連接多個(gè)表達(dá)式。比較運(yùn)算符有下面6種：英文寫法C語(yǔ)言寫法含義eq=等于ne!-不等于gt>大于lt<小于ge>=大于等于le<=小于等于邏輯運(yùn)算符有下面4種：英文寫法C語(yǔ)言寫法含義and&&邏輯與or|邏輯或xor異或not！邏輯非l 常用實(shí)例過(guò)濾器意義eth.vlan.id = 1024顯示VLAN ID為1024的所有流量eth.addr = 00:11:11:11:11:11顯示MAC地址為00:11:11:11:11:11的所有流量eth.src = 00:11:11:11:11

3、:11顯示源MAC地址為00:11:11:11:11:11的所有流量eth.dst = 00:11:11:11:11:11顯示目的MAC地址為00:11:11:11:11:11的所有流量eth.src = 00:11:11:11:11:11 && eth.dst = 00:11:11:11:11:12顯示源MAC地址為00:11:11:11:11:11和目的MAC地址為00:11:11:11:11:12的所有流量eth.addr = 00:11:11:11:11:11顯示MAC地址為00:11:11:11:11:11的所有流量arp顯示所有ARP流量arp.src.hw = 0

4、0:11:11:11:11:11顯示所有ARP源硬件地址為00:11:11:11:11:11的流量icmp顯示所有ICMP報(bào)文icmp && eth.src = 00:11:11:11:11:11顯示所有MAC地址為00:11:11:11:11:11的ICMP報(bào)文icmp.type = 8顯示所有ICMP請(qǐng)求icmp.type = 0顯示所有ICMP應(yīng)答ip顯示所有IP報(bào)文ip.addr=ip.src=或ip.src_host=顯示所有源IP地址為的流量ip.dst=或

5、ip.dst_host=顯示所有目的IP地址為的流量ip.src= and ip.dst!=顯示所有源IP地址為而目的IP地址不為的流量ip.dst=/24顯示所有到達(dá)網(wǎng)絡(luò)/24的IP流量icmp | dns | snmp 顯示icmp和dns和snmp包tcp.port = 23顯示端口號(hào)為23的流量，即顯示所有telnet的流量tcp.dstport = 23顯示目標(biāo)端口號(hào)為23的流量，即顯示到telnet服務(wù)器的流

6、量tcp.port =20 | tcp.port = 21顯示所有FTP流量tcp.port = 53顯示所有DNS包，當(dāng)DNS查詢方式為TCP時(shí)dns顯示所有DNS包，當(dāng)DNS查詢方式為UDP時(shí)sip顯示所有SIP包sip or rtp顯示所有sip包和rtp包udp.port = 5060顯示所有端口號(hào)為5060的包bootp顯示所有dhcp或者bootp包tcp.port = 20 or tcp.port = 21顯示所有FTP包sip.Request-Line顯示所有SIP請(qǐng)求包sip.Status-Line顯示所有SIP狀態(tài)包sip.P-Preferred-Identity顯示所有含

7、有PPI域的SIP包暫時(shí)列這么多了，其他表達(dá)式待以后想起來(lái)再添加，若想要查詢更多的表達(dá)式，可以點(diǎn)“Expression”獲取：捕捉過(guò)濾器 大家在使用Wireshark時(shí)一般都沒(méi)有使用捕捉過(guò)濾器，這樣做的后果是抓到了大量自己并不需要的數(shù)據(jù)包，這些不相干的數(shù)據(jù)包嚴(yán)重影響到了我們對(duì)問(wèn)題的分析與定位。而且如果長(zhǎng)時(shí)間抓包時(shí)，若使用常規(guī)抓包模式，抓到的大量數(shù)據(jù)包會(huì)影響電腦的性能，以及抓到的包占用很大的磁盤空間不利于存儲(chǔ)與傳送。特別是在測(cè)試或者比較大型的網(wǎng)絡(luò)環(huán)境時(shí)，所有設(shè)備處在同一個(gè)廣播域，如果使用常規(guī)的抓包方式將會(huì)有大量不是自己需要的包被wireshark捕獲，比如同時(shí)捕獲了多臺(tái)設(shè)備的SIP包但是自己只需

8、要其中一臺(tái)設(shè)備的SIP包，這樣勢(shì)必給自己的分析帶來(lái)不利，而如果使用捕捉過(guò)濾器抓包，那抓到的包將完全是自己想要的包，而其他不想要的包都將會(huì)被wireshark排除在外，所以大家應(yīng)該熟悉如何使用捕捉過(guò)濾器。l 使用捕捉過(guò)濾器打開wireshark后，點(diǎn)擊工具欄的第二個(gè)按鈕，或者選擇capture->options即可設(shè)置捕捉過(guò)濾器，選定用于抓包的網(wǎng)卡，填寫好捕捉規(guī)則點(diǎn)擊start即可按過(guò)濾器抓取網(wǎng)絡(luò)包。l 捕捉過(guò)濾器語(yǔ)法捕捉過(guò)濾器語(yǔ)法與顯示過(guò)濾器的語(yǔ)法不一樣，具體如下：協(xié)議 字符串 值 邏輯操作符 方向 host 主機(jī) 其它表達(dá)式例 udp port 5060 and src host 10

9、.0.0.1l 使用實(shí)例下面列舉一些用得比較多的實(shí)例，相信通過(guò)使用捕捉過(guò)濾器，抓的包將變得更小更有利于網(wǎng)絡(luò)分析，給工作帶來(lái)極大的便利。過(guò)濾器意義ether src host 00:08:15:00:08:15僅抓取源MAC地址為00:08:15:00:08:15的網(wǎng)絡(luò)包src host 僅抓取源IP地址為的網(wǎng)絡(luò)包host 僅抓取源或目的IP地址為的網(wǎng)絡(luò)包not host 僅不抓取IP地址為的網(wǎng)格包ip僅抓取ip協(xié)議的網(wǎng)絡(luò)包tcp僅抓取tcp協(xié)議的網(wǎng)絡(luò)包udp僅抓取

10、udp協(xié)議的網(wǎng)絡(luò)包port 53僅抓取端口號(hào)為53的UDP或者TCP網(wǎng)絡(luò)包port 5060僅抓取端口號(hào)為5060的UDP或者TCP網(wǎng)絡(luò)包tcp dst port 53僅抓取目標(biāo)端口為53的所有網(wǎng)絡(luò)包portrange 80-1024僅抓取端口范圍為80到1024的所有網(wǎng)絡(luò)包host and not (port 161 or port 162 or port 80 or port 23 or arp or icmp)僅抓取IP地址為而且不含SNMP和HTTP和Telnet和ARP和ICMP的網(wǎng)絡(luò)包遠(yuǎn)程抓包Wireshark支持remote pack

11、et capture protocol協(xié)議遠(yuǎn)程抓包，只要在遠(yuǎn)程主機(jī)上安裝Winpcap的rpcapd服務(wù)例程就可以，在Windows系統(tǒng)上，只要安裝了Winpcap都會(huì)安裝rpcapd工具，找到Winpcap的安裝目錄即可找到rpcapd服務(wù)器程序，雙擊rpcapd.exe即可開啟rpcapd服務(wù)，其默認(rèn)端口號(hào)為2002。對(duì)于Linux，下載wpcap代碼按如下方式編譯即可：#unzip WpcapSrc_4_1_2.zip #cd winpcap/wpcap/libpcap #chmod +x configure runlex.sh #CFLAGS=-static ./configure&#

12、160;#make #cd rpcapd #make 啟動(dòng)rpcapd服務(wù)含如下兩種模式：普通服務(wù)模式：./rpcapd -n 守護(hù)進(jìn)程模式：./rpcapd -n -dl 連接遠(yuǎn)端wireshark打開wireshark，點(diǎn)擊工具欄的第二個(gè)按鈕，或者選擇capture->options，然后Interface選擇Remote，填寫好遠(yuǎn)端Wireshark的IP地址和端口號(hào)，驗(yàn)證方式選取Password驗(yàn)證，然后填寫管理員的用戶名和密碼點(diǎn)OK即可連接上遠(yuǎn)端機(jī)器，連上之后再選取用于抓包的網(wǎng)絡(luò)接口卡，設(shè)置捕捉過(guò)濾器等等即可開始抓取遠(yuǎn)端的網(wǎng)絡(luò)包了。包的拼接與任意拆解利用wiresha

13、rk即可以非常容易地使用包的拼接與拆解功能，該功能可以應(yīng)用到以下情況Ø 在有時(shí)候即使使用捕捉過(guò)濾器也抓到了很多自己不需要的包，自己想提取里面一部分或幾部分的包Ø 在有時(shí)候自己在不同時(shí)間或者不同地點(diǎn)的抓取的幾個(gè)包想拼湊成一個(gè)包。Ø 其他特殊情況。l 功能使用步驟一、 包的拼接1) 用wireshark打一個(gè)需要拼接的包2) 點(diǎn)擊Wireshark的File->Merge，然后選中一個(gè)將要被拼接的包，在該對(duì)話框下面設(shè)置接接方式和顯示過(guò)濾器等。如圖：說(shuō)明：Prepend packets to existing find：將包拼接在當(dāng)前包的前面Merge packe

14、ts chronologically：將包按時(shí)間順序插入到當(dāng)前包中Append packets to existing file：將包拼接在當(dāng)前包的后面二、 包的拆解1) 用wireshark打開一個(gè)需要拆解的包文件2) 打開菜單File->Save as，可以看到對(duì)話框下面有一些保存選項(xiàng)，即Packet Range，這里可以定義按什么樣的方將包拆解成自己想要的包。選好后填好文件名保存即可完成拆解。說(shuō)明：Ø All packets：所有包Ø Selected packet：選中的包Ø Marked packets：做了標(biāo)記的包Ø First to

15、last marked：從第一個(gè)標(biāo)記的包到最后一個(gè)標(biāo)記的包Ø Range：選擇范圍，支持多個(gè)范圍，不同范圍中間用逗號(hào)連接Ø Captured：已捕獲的包，未加顯示過(guò)濾器的限制時(shí)的包個(gè)數(shù)Ø Displayed：已顯示的包，加了顯示過(guò)濾器的限制時(shí)的包個(gè)數(shù)l 使用實(shí)例1) 僅拆解出過(guò)濾出來(lái)的包假如我們有一些包僅想將里面滿足過(guò)濾器條件的包拆解出來(lái)，那么我們先在顯示過(guò)濾器里面設(shè)置好過(guò)濾器，然后“Save as”的時(shí)候選擇All packets的Displayed選項(xiàng)就可以只保存我們?cè)谶^(guò)濾器里面顯示的包了。這里以只拆解出sip協(xié)議包為例，如圖：從圖中可以看出，經(jīng)過(guò)這樣設(shè)置后我

16、們只保存了滿足條件的130個(gè)包了。2) 僅拆解出選中的包首先我們要在抓到的包里面選中我們想要拆解出來(lái)的包，選中一個(gè)包只需用鼠標(biāo)左鍵單擊該包即可，就是這么簡(jiǎn)單。然后“Save as”的時(shí)候選擇Selected packet的選項(xiàng)就可以只保存我們選中的包了。3) 僅拆解出做了標(biāo)記的包給一個(gè)包做標(biāo)記非常簡(jiǎn)單，只需右鍵單擊一個(gè)包，然后選擇Mark Packet即可，可以通過(guò)多次標(biāo)記來(lái)標(biāo)記多個(gè)包標(biāo)記好然后“Save as”的時(shí)候選擇Marked packet的選項(xiàng)就可以只保存我們做了標(biāo)記的包了。4) 僅拆解出從第一個(gè)標(biāo)記的包到最后一個(gè)標(biāo)記的包設(shè)置好第一個(gè)標(biāo)記的包和最后一個(gè)標(biāo)記的包，然后在保存的時(shí)候選擇First to l