Wireshark使用教程(同名17642)

1、學(xué)習(xí)文檔僅供參考wireshark使用手冊編寫：工程平臺組1. 軟件介紹wireshark 的原名是ethereal，新名字是2006 年起用的。當(dāng)時ethereal 的主要開發(fā)者決定離開他原來供職的公司，并繼續(xù)開發(fā)這個軟件。但由于ethereal 這個名稱的使用權(quán)已經(jīng)被原來那個公司注冊， wireshark 這個新名字也就應(yīng)運而生了。目前我們在工程現(xiàn)場可以利用wireshark 進(jìn)行 103、104、61850 站控層、 61850 過程層報文的捕獲和分析。2. 軟件界面簡介2.1. menus 菜單程序上方的菜單項用于對wireshark 進(jìn)行配置：- file 文件- edit 編輯-

2、view 查看- go 轉(zhuǎn)到打開或保存捕獲的信息。查找或標(biāo)記封包。進(jìn)行全局設(shè)置。設(shè)置 wireshark 的視圖。跳轉(zhuǎn)到捕獲的數(shù)據(jù)。學(xué)習(xí)文檔僅供參考- capture 捕獲- analyze 分析- statistics 統(tǒng)計- help 幫助設(shè)置捕捉過濾器并開始捕捉。設(shè)置分析選項。查看 wireshark 的統(tǒng)計信息。查看本地或者在線支持。工具欄可進(jìn)行基本的抓包操作可獲取的網(wǎng)卡列表捕獲選項開始捕獲 (需要先選定一個網(wǎng)卡)停止捕獲重新開始捕獲2.2. display filter 顯示過濾器顯示過濾器用于查找捕捉記錄中的內(nèi)容。請不要將捕捉過濾器和顯示過濾器的概念相混淆。請參考 wireshar

3、k 過濾器中的詳細(xì)內(nèi)容。顯示過濾器將是我們在分析報文的過程中經(jīng)常會使用到的一個工具，通過“顯示過濾器”我們可以篩選指定的封包報文，例如在捕獲的61850 過程層報文中我們可以通過“顯示過濾器”篩選指定發(fā)送源mac 地址的封包數(shù)據(jù)。2.3. packet list pane 封包列表封包列表中顯示所有已經(jīng)捕獲的封包。在這里您可以看到發(fā)送或接收方的mac/ip地址，tcp/udp 端口號，協(xié)議或者封包的內(nèi)容。如果捕獲的是一個osi layer 2 的封包，您在 source 來源和 destination目的地列中看到的將是mac 地址，當(dāng)然，此時port端口列將會為空。如果捕學(xué)習(xí)文檔僅供參考獲的

4、是一個osi layer 3 或者更高層的封包，您在source來源和destination目的地列中看到的將是 ip 地址。 port端口列僅會在這個封包屬于第4 或者更高層時才會顯示。我們可以在這里添加/刪除列或者改變各列的顏色：edit menu - preferences 2.4. packet details pane封包詳細(xì)信息這里顯示的是在封包列表中被選中項目的詳細(xì)信息。信息按照不同的osi layer 進(jìn)行了分組，您可以展開每個項目查看。下面截圖中展開的是信息2.5. dissector pane16 進(jìn)制數(shù)據(jù)“ 解析器 ” 在 wireshark 中也被叫做 “ 16 進(jìn)制數(shù)

5、據(jù)查看面板” 。這里顯示的內(nèi)容與“ 封包詳細(xì)信息 ”中相同，只是改為以16 進(jìn)制的格式表述。在上面的例子里，我們在“ 封包詳細(xì)信息 ” 中選擇查看tcp 端口 80，其對應(yīng)的16 進(jìn)制數(shù)據(jù)將自動顯示在下面的面板中0050。2.6. miscellanous雜項在程序的最下端，您可以獲得如下信息：- 正在進(jìn)行捕捉的網(wǎng)絡(luò)設(shè)備。- 捕捉是否已經(jīng)開始或已經(jīng)停止。- 捕捉結(jié)果的保存位置。- 已捕捉的數(shù)據(jù)量。學(xué)習(xí)文檔僅供參考- 已捕捉封包的數(shù)量。(p) - 顯示的封包數(shù)量。(d) ( 經(jīng)過顯示過濾器過濾后仍然顯示的封包) - 被標(biāo)記的封包數(shù)量。(m) 3. 如何使用 wireshark 關(guān)于wiresha

6、rk 的使用，在工程現(xiàn)場我們主要關(guān)注“捕捉過濾器”和“顯示過濾器”的使用。即，如何進(jìn)行報文捕獲，如何對捕獲的報文進(jìn)行篩選。3.1. 捕捉過濾器僅介紹，此功能現(xiàn)場較少使用設(shè)置捕捉過濾器的步驟是：- 選擇capture - options 。- 填寫 capture filter 欄或者點擊 capture filter 按鈕為您的過濾器起一個名字并保存，以便在后的捕捉中繼續(xù)使用這個過濾器。- 點擊開始 start進(jìn)行捕捉。學(xué)習(xí)文檔僅供參考語法：protocoldirectionhost(s)value logicaloperationsother expression例子：tcpdst10.1.

7、1.180andtcp dst 10.2.2.2 3128protocol協(xié)議 :可能的值 : ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.如果沒有特別指明是什么協(xié)議，則默認(rèn)使用所有支持的協(xié)議。direction 方向 :可能的值 : src, dst, src and dst, src or dst如果沒有特別指明來源或目的地，則默認(rèn)使用src or dst 作為關(guān)鍵字。例如， host 10.2.2.2 與src or dst host 10.2.2.2 是一樣的。host(s):可能的值：

8、net, port, host, portrange.如果沒有指定此值，則默認(rèn)使用host關(guān)鍵字。學(xué)習(xí)文檔僅供參考例如， src 10.1.1.1與src host 10.1.1.1 相同。logical operations 邏輯運算 :可能的值： not, and, or.否 (not) 具有最高的優(yōu)先級?；?or) 和與 (and) 具有相同的優(yōu)先級，運算時從左至右進(jìn)行。例如，not tcp port 3128 and tcp port 23 與 (not tcp port 3128) and tcp port 23 相同。not tcp port 3128 and tcp port 2

9、3 與 not (tcp port 3128 and tcp port 23) 不同。3.2. 顯示過濾器重要3.2.1. 顯示過濾器可在過濾規(guī)則框中輸入過濾條件?過濾源 ip、目的 ip。在 wireshark 的過濾規(guī)則框filter 中輸入過濾條件。如查找目的地址為192.168.101.8 的包， ip.dst=192.168.101.8 ；查找源地址為ip.src=1.1.1.1 ；?端口過濾。如過濾80 端口，在 filter 中輸入， tcp.port=80 ，這條規(guī)則是把源端口和目的端口為 80 的都過濾出來。 使用 tcp.dstport=80 只過濾目的端口為80 的，tc

10、p.srcport=80 只過濾源端口為80 的包；?協(xié)議過濾比較簡單，直接在 filter 框中直接輸入?yún)f(xié)議名即可，如過濾的協(xié)議；模式過濾。如過濾get 包，.request.method=get, 過濾 post包，.request.method=post ；連接符and 的使用。過濾兩種條件時，使用and 連接，如過濾 ip 為 192.168.101.8 并且為協(xié)議的， ip.src=192.168.101.8 and 。3.2.2. 根據(jù)已捕獲的報文進(jìn)行過濾器設(shè)置以一段 sv 報文舉例，找到指定來源的sv 報文。學(xué)習(xí)文檔僅供參考首先找到需要篩選的sv 報文，例如圖中找到mt6622 合并單元發(fā)送的一幀sv 報文在 sorce 一欄右鍵選擇“apply as filter ”-“selected”可將源地址作為篩選條件，即可篩選指定來源報文對于不同的篩選需求，可在