WireShark使用說明PPT課件

1、培訓(xùn)目的 通過本課程的學(xué)習(xí)，您將能夠： 了解WireShark的界面組成 熟悉WireShark的基本操作 適用對象： 測試、開發(fā)、網(wǎng)絡(luò)工程人員第1頁/共39頁概述 Wireshark 是網(wǎng)絡(luò)包分析工具。網(wǎng)絡(luò)包分析工具的主要作用是在接口實時捕捉網(wǎng)絡(luò)包，并詳細(xì)顯示包的詳細(xì)協(xié)議信息。Wireshark 可以捕捉多種網(wǎng)絡(luò)接口類型的包，哪怕是無線局域網(wǎng)接口。Wireshark可以打開多種網(wǎng)絡(luò)分析軟件捕捉的包，可以支持許多協(xié)議的解碼。我們可以用它來檢測網(wǎng)絡(luò)安全隱患、解決網(wǎng)絡(luò)問題，也可以用它來學(xué)習(xí)網(wǎng)絡(luò)協(xié)議、測試協(xié)議執(zhí)行情況等。 Wireshark不會處理網(wǎng)絡(luò)事務(wù)，它僅僅是“測量”(監(jiān)視)網(wǎng)絡(luò)。Wiresh

2、ark不會發(fā)送網(wǎng)絡(luò)包或做其它交互性的事情。第2頁/共39頁安裝注意事項安裝文件獲取：抓包工具在安裝組件時候選擇所有組件，界面風(fēng)格建議選擇Wireshark（GTK2 user interface）第3頁/共39頁安裝注意事項 勾選下圖選項，以支持多種其他網(wǎng)絡(luò)包分析工具支持的文件格式。 第4頁/共39頁安裝注意事項Wireshark 安裝文件自帶WinPcap最新版本，選擇安裝。第5頁/共39頁Wireshark的使用1、Wireshark的主窗口第6頁/共39頁Wireshark的使用 2、網(wǎng)絡(luò)數(shù)據(jù)流的監(jiān)測接入點在被監(jiān)測計算機上直接捕獲；利用集線器將被檢測端口的數(shù)據(jù)分為多路進(jìn)行捕獲；利用交換機

3、的端口數(shù)據(jù)映射功能進(jìn)行捕獲； 第7頁/共39頁Wireshark的使用3、實時捕獲數(shù)據(jù)包使用按鈕”Capture Options”開始捕獲取 對話框，選擇正確的NIC進(jìn)行捕獲；注意：windows平臺下不支持環(huán)回接口捕獲，即接口列表中的第一個接口第8頁/共39頁Wireshark的使用3、實時捕獲數(shù)據(jù)包設(shè)置捕獲緩存大?。˙uffer size）設(shè)置寫入數(shù)據(jù)到磁盤前保留在核心緩存中捕捉數(shù)據(jù)的大小。如果你發(fā)現(xiàn)丟包，可嘗試增大該值。設(shè)置網(wǎng)卡是否為混雜捕獲模式（Capture packets in promiscuous mode）指定Wireshark捕捉包時，設(shè)置接口是否為混合接收模式。在非混雜模

4、式下，Wireshark捕獲滿足以下條件的包：含本網(wǎng)卡地址單播包、具有多播地址且與本網(wǎng)卡地址配置相吻合的數(shù)據(jù)包、廣播包。而在混雜模式下，Wireshark除捕獲上述類型的數(shù)據(jù)包外，與本網(wǎng)卡地址配置不吻合的組播包也會被捕獲下來。設(shè)置捕獲過濾規(guī)則Wireshark使用libpcap過濾語句進(jìn)行捕捉過濾。 過濾語句的形式為：not primitive and|or not primitive .第9頁/共39頁Wireshark的使用 常用的基本單元(primitive)類型： src|dst host 過濾主機ip地址或名稱。通過指定src|dst關(guān)鍵詞來確定所關(guān)注的是源地址還是目標(biāo)地址。如果未指

5、定，則指定的地址出現(xiàn)在源地址或目標(biāo)地址中的包會被抓取。 ether src|dst host 過濾主機以太網(wǎng)地址。通過指定關(guān)鍵詞src|dst來確定所關(guān)注的是源地址還是目標(biāo)地址。如果未指定，則指定的地址出現(xiàn)在源地址或目標(biāo)地址中的包會被抓取。 tcp|udp src|dst port port 過濾tcp,udp及端口號?？梢允褂胹rc|dst和tcp|udp關(guān)鍵詞來確定來自源還是目標(biāo)，tcp協(xié)議還是udp協(xié)議。tcp|udp必須出現(xiàn)在src|dst之前。 ip|ether proto 選擇在以太網(wǎng)層或是ip層的指定協(xié)議的包例 1. 捕捉來自特定主機的telnet協(xié)議：例 2. 捕捉所有不是來自

6、的telnet 通信：第10頁/共39頁Wireshark的使用設(shè)置多文件連續(xù)存儲Use multiple files 如果指定條件達(dá)到臨界值，Wireshark將會自動生成一個新文件。Next file every n megabyte(s) 如果捕捉文件容量達(dá)到指定值，將會生成切換到新文件Next file every n minutes(s) 如果捕捉文件持續(xù)時間達(dá)到指定值，將會切換到新文件。Ring buffer with n files 僅生成制定數(shù)目的文件。Stop caputure after n file(s) 當(dāng)生成指定數(shù)目文件時，停止捕捉。第11頁/共39頁Wireshar

7、k的使用設(shè)置停止捕獲規(guī)則after n packet(s) 在捕捉到指定數(shù)目數(shù)據(jù)包后停止捕捉；after n megabytes(s) 在捕捉到指定容量的數(shù)據(jù)后停止捕捉。如果使用user multiple files,該選項將是灰色；after n minute(s) 在達(dá)到指定時間后停止捕捉；選擇開始按鈕，進(jìn)行捕獲。選擇停止按鈕，停止捕獲。第12頁/共39頁Wireshark的使用4、處理已經(jīng)捕獲的包瀏覽已經(jīng)捕獲的包在已經(jīng)捕捉完成之后，或者打開先前保存的數(shù)據(jù)包文件時，通過點擊包列表面版中的包，就可以在包詳情面板看到關(guān)于這個數(shù)據(jù)包的樹狀結(jié)構(gòu)以及字節(jié)面板。通過點擊左側(cè)“+”標(biāo)記或者選擇右鍵菜單“

8、Expand Subtrees”,展開數(shù)據(jù)包當(dāng)前選擇的子樹。也可以通過右鍵選擇“Expand All”展開數(shù)據(jù)包的所有子樹。第13頁/共39頁Wireshark的使用瀏覽過濾包顯示過濾可以隱藏一些你不感興趣的包，讓你可以集中注意力在你感興趣的那些包上面。在包列表面板中選擇所需要的包，右鍵菜單選擇“Apply as Filter”-“selected”即可過濾其他數(shù)據(jù)包。第14頁/共39頁Wireshark的使用 另外，也可以構(gòu)建過濾表達(dá)式，來過濾那些不感興趣的數(shù)據(jù)包。Wireshark提供了簡單而強大的過濾語法，你可以用它們建立復(fù)雜的過濾表達(dá)式。包詳情面板的每個字段都可以作為比較值，通過在許多

9、不同的比較操作建立比較過濾。應(yīng)用這些作為過濾將會僅顯示包含該字段的包。例如：過濾字符串:TCP將會顯示所有包含TCP協(xié)議的包。表1顯示過濾比較操作符EnglishC-linke范例范例eq=ip.addr=10.0.0.5ne!=ip.addr!=10.0.0.5gtframe.pkt_len10ltframe.pkt_len=frame.pkt_len ge 0 x100le=frame.pkt_len Save As.菜單保存已捕獲的數(shù)據(jù)包。在保存時可以選擇保存哪些包，以什么格式保存：輸入指定的文件名。選擇保存的目錄。選擇保存包的范圍。通過點擊“保存類型”下拉列表指定保存文件的格式。可以將

10、Wireshark捕獲的包保存為其默認(rèn)格式文件(libpcap)，也可以保存為其他格式供其他工具進(jìn)行讀取分析。比如保存文件時候選擇格式 NA Sniffer（Windows）2.00 x (*.cap)以便Sniffer進(jìn)行讀取分析。點擊保存(S)按鈕保存。第29頁/共39頁Wireshark的使用合并數(shù)據(jù)包文件有時候你需要將多個捕捉文件合并到一起。例如：如果你對多個接口同時進(jìn)行捕捉，合并就非常有用。可以使用如下方法合并捕捉文件：1、從File-Merge，打開合并對話框。通過該對話框可以選擇需要合并的文件，與當(dāng)前打開的數(shù)據(jù)包文件進(jìn)行合并?？梢酝ㄟ^以下三種方式合并：將包插入已存在文件前、按時間

11、順序合并文件、追加包到當(dāng)前文件。2、使用拖放功能，將多個文件同時拖放到主窗口。Wireshark會創(chuàng)建一個臨時文件嘗試對拖放的文件按時間順序進(jìn)行合并。如果你只拖放一個文件，Wireshark只是簡單地替換已經(jīng)打開的文件。 第30頁/共39頁Wireshark的使用文件集在進(jìn)行捕捉時如果設(shè)置Multiple Files/多文件選項，捕捉數(shù)據(jù)會分割為多個文件，稱為文件集合。大量文件手動管理十分困難，Wirreshark的文件集合特性可以讓文件管理變得方便一點。使用File菜單項的子菜單File Set可以對文件集合集合進(jìn)行很方便的控制。如下圖：單擊單選鈕，當(dāng)前文件會被關(guān)閉，同時載入對應(yīng)的文件。注意

12、:前提是你目前打開的文件為文件集中的某個文件才能使”File Set”命令有效第31頁/共39頁Wireshark的使用導(dǎo)出數(shù)據(jù)Wireshark支持多種方法，多種格式導(dǎo)出包數(shù)據(jù)。從“File-Export-File”，打開導(dǎo)出數(shù)據(jù)對話框：指定導(dǎo)出包數(shù)據(jù)的文件名。選擇文件保存路徑。選擇文件保存類型。導(dǎo)出包數(shù)據(jù)為文本文件，常用于打印數(shù)據(jù)包；導(dǎo)出包數(shù)據(jù)摘要為CVS格式，可以被Excel使用。常用來做相關(guān)統(tǒng)計；選擇需要導(dǎo)出的數(shù)據(jù)包范圍。選擇保存按鈕。 第32頁/共39頁Wireshark的使用統(tǒng)計分析Wireshark提供了多種多樣的網(wǎng)絡(luò)統(tǒng)計功能。包括捕獲數(shù)據(jù)包文件的基本信息(比如包的數(shù)量)，對指定

13、協(xié)議的統(tǒng)計(例如，統(tǒng)計包文件內(nèi)HTPP請求和應(yīng)答數(shù))等等。統(tǒng)計摘要統(tǒng)計摘要主要包括當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)包文件的一些基本信息。比如文件名、文件大小、第一個包和最后一個包的時間戳、網(wǎng)絡(luò)傳輸?shù)南嚓P(guān)統(tǒng)計等。如果設(shè)置了顯示過濾，統(tǒng)計信息會顯示成兩列。Captured列顯示過濾前的信息，Displayed列顯示過濾后對應(yīng)的信息。第33頁/共39頁Wireshark的使用會話統(tǒng)計 一個網(wǎng)絡(luò)會話，指的是兩個特定端點之間發(fā)生的通信。例如，一個IP會話是兩個IP地址間的所有通信。 從“Statistics - Conversations”，打開會話統(tǒng)計信息窗口。在該窗口中，每個支持的協(xié)議，都顯示為一個選項卡。選項標(biāo)簽顯示

14、被捕捉端點數(shù)目(例如：“Ethernet :30”表示有30個Ethernet端點被捕捉到)。如果某個協(xié)議沒有端點被捕捉到，選項標(biāo)簽顯示為灰色。 列表中每行顯示單個端點的統(tǒng)計信息。第34頁/共39頁Wireshark的使用流量統(tǒng)計曲線圖： 從Statistics - IO Graphs，打開流量統(tǒng)計信息窗口。 Wireshark根據(jù)用戶配置生成曲線圖。用戶可以對一下內(nèi)容進(jìn)行設(shè)置：Graphs Graph 1-5: 開啟1-5圖表(默認(rèn)僅開啟graph 1) Color: 圖表的顏色(不可修改) Filter: 指定顯示過濾器 Style: 圖表樣式(Line/Impulse/FBar)X Ax

15、is Tick interval 設(shè)置X軸的每格代表的時間(10/1/0.1/0.01/0.001 seconds) Pixels per tick 設(shè)置X軸每格占用像素 (10/5/2/1 pixels)Y Axis Unit y軸的單位(Packets/Tick, Bytes/Tick, Bits/Tick, Advanced.) Ssale Y軸單位的刻度(10,20,50,100,200,500,.)第35頁/共39頁Wireshark的使用服務(wù)響應(yīng)時間服務(wù)響應(yīng)時間是發(fā)送請求到產(chǎn)生應(yīng)答之間的時間間隔。響應(yīng)時間在很多協(xié)議中可用，比如H.225 RAS。從Statistics - Service Response Time，選擇所要查看的協(xié)議類型，打開服務(wù)響應(yīng)時間信息窗口。下圖為H.225 RAS 服務(wù)響應(yīng)時間.第36頁/共39頁Wireshark的使用FQA：使用接口列表中默認(rèn)的第一個接口時候，為什么捕獲不到數(shù)據(jù)？接口列表中的第一個接口為環(huán)回接口，Wireshark在windows平臺下不支持環(huán)回接口捕獲。選擇正確的接口然后進(jìn)行數(shù)據(jù)包捕獲。在接口列表中顯示多個接口，如何確定哪個接口為本pc的網(wǎng)卡？選擇Capture - Interface，可以在Interface對話框中根據(jù)接口的IP地址來確定PC所對應(yīng)的網(wǎng)卡。為何在非混雜模式下，W