Wireshark抓包工具使用分享課件

1、Wireshark抓包工具使用分享抓包工具使用分享產(chǎn)品開發(fā)一部 前端開發(fā)室鐘和民2012-8-28內(nèi)容綱要內(nèi)容綱要 Wireshark 簡介 Wireshark常用功能 抓包，停止抓包 保存抓包 設(shè)置抓包選項(xiàng) 捕捉過濾器 顯示過濾器 Follow TCP Stream 實(shí)際應(yīng)用案例Wireshark簡介簡介 網(wǎng)絡(luò)抓包分析工具 可實(shí)時捕捉多種網(wǎng)絡(luò)接口 支持其他程序抓包保存文件，例如TCPDump 開源軟件，采用GPL授權(quán) 支持UNIX和Windows平臺Wireshark簡介簡介 發(fā)展簡史： 1998年由Gerald Combs 完成第一個Ethereal(Wireshark前身)版本的開發(fā)。

2、此后不久，Gilbert Ramirez發(fā)現(xiàn)它的潛力，并為其提供了底層分析 1998年10月，Guy Harris正尋找一種比TcpView更好的工具，他開始為Ethereal進(jìn)行改進(jìn)，并提供分析。Wireshark簡介簡介 1998年以后，正在進(jìn)行TCP/IP教學(xué)的Richard Sharpe 關(guān)注了它在這些課程中的作用。并開始研究該軟件是否他所需要的協(xié)議。如果不行，新協(xié)議支持應(yīng)該很方便被添加。所以他開始從事Ethereal的分析及改進(jìn)。 從那以后，幫助Ethereal的人越來越多，他們的開始幾乎都是由于一些尚不被Ethereal支持的協(xié)議。所以他們拷貝了已有的解析器，并為團(tuán)隊(duì)提供了改進(jìn)回饋

3、。 2006年重新命名為Wireshark.Wireshark簡介簡介 支持的系統(tǒng)： Windows APPle Mac OSX Debian GNU/Linux FreeBSD NetBSD OpenPKG Red Hat Fedora/Enterprise Linux Wireshark簡介簡介 官方網(wǎng)站： / 維基網(wǎng)站地址： / 中文用戶手冊： http:/ 可通過Capture菜單中的Interfaces打開網(wǎng)卡列表，然后點(diǎn)擊網(wǎng)卡右邊的“Start”按鈕開始抓包?；蛘邌螕艄ぞ邫诘牡谝粋€按鈕，和

4、單擊Capture-Interfaces的效果一樣。Wireshark常用功能常用功能 開始抓包后，Wireshark的主界面中會以不同的顏色顯示抓取到的不同的數(shù)據(jù)包。 如果要停止抓包，可通過工具欄中的Stop按鈕，或者Capture-Stop菜單項(xiàng)停止抓包。Wireshark常用功能常用功能 停止抓包后我們可以將抓取到的數(shù)據(jù)包保存到文件供日后分析使用。 可通過菜單File-Save(Save As) 或者工具欄上的保存按鈕。Wireshark常用功能常用功能抓包模式 在開始抓包之前還可修改Wireshark的抓包選項(xiàng)。通過工具欄或者菜單Capture-Options 打開抓包選項(xiàng)設(shè)置界面。

5、這里可以設(shè)置很多選項(xiàng)，我們這里介紹一下 混雜模式 和 非混雜模式。混雜模式：抓取經(jīng)過網(wǎng)卡的所有數(shù)據(jù)包，包括發(fā)往本網(wǎng)卡和非發(fā)往本網(wǎng)卡的。非混雜模式：只抓取目標(biāo)地址是本網(wǎng)卡的數(shù)據(jù)包，對于發(fā)往別的主機(jī)而經(jīng)過本網(wǎng)卡的數(shù)據(jù)包忽略。 如左圖中顯示的是 混雜模式Wireshark常用功能常用功能 由于Wireshark是將抓包數(shù)據(jù)保存在內(nèi)存當(dāng)中，當(dāng)抓包時間比較長，抓的包比較多時可能出現(xiàn)內(nèi)存不夠用的情況。此時我們設(shè)置使用多個文件保存抓包數(shù)據(jù)就可避免這種情況。 多個文件保存的方式可以是 每隔多久保存一個文件，也可以是 限制每個文件保存的大小，同時也可以設(shè)置限制文件個數(shù)。 默認(rèn)情況下Wireshark是只使用一個

6、臨時文件來保存抓包數(shù)據(jù)的。多文件自動保存抓包數(shù)據(jù)Wireshark常用功能常用功能自動停止抓包 在無人值守情況下，我們可設(shè)置在某些條件下自動停止抓包。這些條件可以是： 抓到多少包之后； 抓到多大數(shù)據(jù)量之后(存儲容量)； 抓取多少分鐘之后 Wireshark常用功能常用功能過濾器 在Wireshark中有兩種過濾器。捕捉過濾器：在抓包之前設(shè)置，讓W(xué)ireshark只抓取過濾器指定的包。顯示過濾器：在桌包之前或者完成抓包之后都可，不影響抓包，只是方便查看。 Wireshark常用功能常用功能 捕捉過濾器例子：捕捉過濾器例子：src|dst host 主機(jī)過濾主機(jī)過濾src host 192.168

7、.20.159 捕捉源IP地址是59的包。dst host 59 捕捉目標(biāo)IP地址是59的包。host 59 捕捉源IP或者目標(biāo)IP是59的包。 tcp|udp src|dst port 端口過濾端口過濾host 59 and tcp port 9990 捕捉源/目標(biāo)IP地址是59，源/目標(biāo) 端口是TCP 9990端口的數(shù)據(jù)包。 Wireshark常用功能常用功能ProtocolProtocol（協(xié)議）（協(xié)議）: :可能的值:

8、ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.如果沒有特別指明是什么協(xié)議，則默認(rèn)使用所有支持的協(xié)議。DirectionDirection（方向）（方向）: :可能的值: src, dst, src and dst, src or dst如果沒有特別指明來源或目的地，則默認(rèn)使用 “src or dst” 作為關(guān)鍵字。例如，”host 與”src or dst host 是一樣的。捕捉過濾器Wireshark常用功能常用功能Host(s):Host(s):可能的值： n

9、et, port, host, portrange.如果沒有指定此值，則默認(rèn)使用”host”關(guān)鍵字。例如，”src 與”src host 相同。Logical OperationsLogical Operations（邏輯運(yùn)算）（邏輯運(yùn)算）: :可能的值：not, and, or.否(“not”)具有最高的優(yōu)先級?；?“or”)和與(“and”)具有相同的優(yōu)先級，運(yùn)算時從左至右進(jìn)行。例如，“not tcp port 3128 and tcp port 23與”(not tcp port 3128) and tcp port 23相同?！皀ot tcp port

10、3128 and tcp port 23與”not (tcp port 3128 and tcp port 23)”不同。捕捉過濾器Wireshark常用功能常用功能 顯示過濾器例子：顯示過濾器例子：http 顯示TCP 80端口的http包。tcp.port = 9990 顯示tcp 端口是9990的包。tcp.flags.reset = 1 顯示tcp標(biāo)志字段中reset標(biāo)志為1的包。tcp.port=80 or tcp.port=9990 顯示端口是80或者9990的包顯示過濾器Wireshark常用功能常用功能Protocol（協(xié)議）（協(xié)議）:可以使用大量位于OSI模型第2至7層的協(xié)議

11、。點(diǎn)擊”Expression”按鈕后，可以看到它們。比如：IP，TCP，DNS，SSH。String1, String2 String1, String2 (可選項(xiàng)):協(xié)議的子類。點(diǎn)擊相關(guān)父類旁的”+”號，然后選擇其子類。顯示過濾器Wireshark常用功能常用功能Comparison operators （比較運(yùn)算符）例如：tcp.port=9990過濾顯示TCP端口是9990的數(shù)據(jù)包。Tcp.seq eq 115過濾顯示序列號為115的數(shù)據(jù)包。Wireshark常用功能常用功能Logical expressions（邏輯運(yùn)算符）例如：tcp.port= 9990 or tcp.port=

12、9991過濾顯示TCP端口是9990或者9991的包。!(ip.src = 36)過濾顯示源IP地址不是36的數(shù)據(jù)包。Wireshark常用功能常用功能 如果是在抓取和分析基于TCP協(xié)議的包，從應(yīng)用層的角度查看TCP流的內(nèi)容有時是非常有用的。要查看TCP流的內(nèi)容，只需要選中其中的任意一個TCP包，選擇右鍵菜單中的“Follow tcp stream”即可。Follow TCP StreamWireshark常用功能常用功能 這里有一個技巧可以比較簡單方便的查看到每一個TCP連接流的內(nèi)容：一. 我們通過顯示過濾器tcp.flags.syn=1

13、and tcp.flags.ack != 1 將所抓包的建立每個TCP連接的第一個包給過濾出來。二 . 在每個單獨(dú)的包上面執(zhí)行“Follow TCP Stream”。三 . 回到顯示過濾器重新選擇第一步中的過濾器，再對其他的包執(zhí)行第二步。Follow TCP Stream實(shí)際應(yīng)用案例實(shí)際應(yīng)用案例2010年底到2011年初一段時間公司組織客戶端，服務(wù)端，運(yùn)維等對網(wǎng)盤上傳失敗率較高的原因進(jìn)行了深入調(diào)查分析，找出了很多網(wǎng)絡(luò)和程序上的問題，這個是其中的一個案例。問題現(xiàn)象：彩訊深圳辦公室的網(wǎng)盤或者超大附件采用控件上傳經(jīng)常在中途失敗。彩訊深圳辦公室內(nèi)網(wǎng) 深信服防火墻 阻斷分布式上傳的案例實(shí)際應(yīng)用案例實(shí)際應(yīng)

14、用案例調(diào)查分析的大致過程是：調(diào)查分析的大致過程是： 1 抓包發(fā)現(xiàn)在上傳失敗時，有較多RST包關(guān)閉連接，RST包是TCP標(biāo)志位reset志為1的包。以下幾種情況可能導(dǎo)致出現(xiàn)RST包：（1）.connect一個不存在的端口。（2）.send一個已經(jīng)關(guān)掉的連接。（3）.采用shutdown立即關(guān)閉一個已經(jīng)建立的連接。顯然現(xiàn)在屬于第三中情況，而且RST包的源IP地址都是服務(wù)器的IP地址，說明是“服務(wù)器”主動關(guān)閉連接。實(shí)際應(yīng)用案例實(shí)際應(yīng)用案例2 查看服務(wù)器端的日志及抓包看什么原因?qū)е缕潢P(guān)閉連接，發(fā)現(xiàn)服務(wù)器并沒有主動關(guān)閉連接。3 倒回來對客戶端的抓包進(jìn)一步進(jìn)行分析，對RST包的IP層的TTL進(jìn)行對比發(fā)現(xiàn)其TTL值為127，而其他從服務(wù)器發(fā)過來的正常包的TTL值是117，明顯大很多，說明其經(jīng)過的路由器跳轉(zhuǎn)少很多，而如果服務(wù)器的默認(rèn)TTL值是128的話，說明這種RST包只經(jīng)過了一跳就被發(fā)送到客戶端，所以很有可能是內(nèi)網(wǎng)網(wǎng)關(guān)或者防火墻所為。實(shí)際應(yīng)用案例實(shí)際應(yīng)用案例實(shí)際應(yīng)用案例實(shí)際應(yīng)用案例實(shí)際應(yīng)用案例實(shí)際應(yīng)用案例 于是找公司網(wǎng)管確認(rèn)并查看防火墻日志，果然防火墻日志中有對這些連接進(jìn)行關(guān)閉的記錄，原因是這些連接被防火墻判定為P2P軟件。至于為什么判定為P2P軟件原因可能是（1）分布式的TCP上傳采用了非80的