Wireshark使用教程(-完美自學(xué)教程)

1、PAGE PAGE 88Wairshark使用教程第1章介紹1.1.什么是WiresharkWireshark 是網(wǎng)絡(luò)包分析工具。網(wǎng)絡(luò)包分析工具的主要作用是嘗試捕獲網(wǎng)絡(luò)包， 并嘗試顯示包的盡可能詳細(xì)的情況。你可以把網(wǎng)絡(luò)包分析工具當(dāng)成是一種用來測量有什么東西從網(wǎng)線上進(jìn)出的測量工具，就好像使電工用來測量進(jìn)入電信的電量的電度表一樣。（當(dāng)然比那個(gè)更高級(jí)） 過去的此類工具要么是過于昂貴，要么是屬于某人私有，或者是二者兼顧。 Wireshark出現(xiàn)以后，這種現(xiàn)狀得以改變。Wireshark可能算得上是今天能使用的最好的開元網(wǎng)絡(luò)分析軟件。1.1.1.主要應(yīng)用下面是Wireshark一些應(yīng)用的舉例：網(wǎng)絡(luò)管理員

2、用來解決網(wǎng)絡(luò)問題網(wǎng)絡(luò)安全工程師用來檢測安全隱患開發(fā)人員用來測試協(xié)議執(zhí)行情況用來學(xué)習(xí)網(wǎng)絡(luò)協(xié)議除了上面提到的，Wireshark還可以用在其它許多場合。1.1.2.特性支持UNIX和Windows平臺(tái) 在接口實(shí)時(shí)捕捉包能詳細(xì)顯示包的詳細(xì)協(xié)議信息 可以打開/保存捕捉的包可以導(dǎo)入導(dǎo)出其他捕捉程序支持的包數(shù)據(jù)格式可以通過多種方式過濾包多種方式查找包通過過濾以多種色彩顯示包創(chuàng)建多種統(tǒng)計(jì)分析還有許多不管怎么說，要想真正了解它的強(qiáng)大，您還得使用它才行圖1.1.Wireshark捕捉包并允許您檢視其內(nèi)1.1.3.捕捉多種網(wǎng)絡(luò)接口Wireshark 可以捕捉多種網(wǎng)絡(luò)接口類型的包，哪怕是無線局域網(wǎng)接口。想了解支持的

3、所有網(wǎng)絡(luò)接口類型， 可以在我們的網(wǎng)站上找到/CaptureSetup/NetworkMedia.1.1.4.支持多種其它程序捕捉的文件Wireshark可以打開多種網(wǎng)絡(luò)分析軟件捕捉的包，詳見?1.1.5.支持多格式輸出Wieshark可以將捕捉文件輸出為多種其他捕捉軟件支持的格式，詳見?1.1.6.對(duì)多種協(xié)議解碼提供支持可以支持許多協(xié)議的解碼(在Wireshark中可能被稱為解剖)?1.1.7.開源軟件Wireshark是開源軟件項(xiàng)目，用GPL協(xié)議發(fā)行。您可以免費(fèi)在 任意數(shù)量的機(jī)器上使用它，不用擔(dān)心授權(quán)和付費(fèi)問題，所有的源代碼在GPL框架下都可以免費(fèi)使用。因?yàn)橐陨显?，人們可以很容易在Wire

4、shark上添加新的協(xié)議，或者將其作為插件整合到您的程序里，這種應(yīng)用十分廣泛。1.1.8.Wireshark不能做的事Wireshark不能提供如下功能 Wireshark不是入侵檢測系統(tǒng)。如果他/她在您的網(wǎng)絡(luò)做了一些他/她們不被允許的奇怪的事情，Wireshark不會(huì)警告您。但是如果發(fā)生了奇怪的事情，Wireshark可能對(duì)察看發(fā)生了什么會(huì)有所幫助。 HYPERLINK ./桌面/wiresharkcharpt/Introduction.html l ftn.d0e3183 Wireshark不會(huì)處理網(wǎng)絡(luò)事務(wù)，它僅僅是“測量”(監(jiān)視)網(wǎng)絡(luò)。Wireshark不會(huì)發(fā)送網(wǎng)絡(luò)包或做其它交互性的事情

5、（名稱解析除外，但您也可以禁止解析）。1.2.系通需求想要安裝運(yùn)行Wireshark需要具備的軟硬件條件.1.2.1.一般說明給出的值只是最小需求，在大多數(shù)網(wǎng)絡(luò)中可以正常使用，但不排除某些情況下不能使用。 HYPERLINK ./桌面/wiresharkcharpt/Introduction.html l ftn.d0e3374在繁忙的網(wǎng)絡(luò)中捕捉包將很容塞滿您的硬盤！舉個(gè)簡單的例子：在100MBIT/s全雙工以太網(wǎng)中捕捉數(shù)據(jù)將會(huì)產(chǎn)生750MByties/min的數(shù)據(jù)！在此類網(wǎng)絡(luò)中擁有高速的CPU，大量的內(nèi)存和足夠的磁盤空間是十分有必要的。如果Wireshark運(yùn)行時(shí)內(nèi)存不足將會(huì)導(dǎo)致異常終止?？?/p>

6、以在 HYPERLINK /KnownBugs/OutOfMemory t _top /KnownBugs/OutOfMemory察看詳細(xì)介紹以及解決辦法。Wireshark作為對(duì)處理器時(shí)間敏感任務(wù)，在多處理器/多線程系統(tǒng)環(huán)境工作不會(huì)比單獨(dú)處理器有更快的速度，例如過濾包就是在一個(gè)處理器下線程運(yùn)行，除了以下情況例外：在捕捉包時(shí)“實(shí)時(shí)更新包列表”，此時(shí)捕捉包將會(huì)運(yùn)行在一個(gè)處理下，顯示包將會(huì)運(yùn)行在另一個(gè)處理器下。此時(shí)多處理或許會(huì)有所幫助。HYPERLINK ./桌面/wiresharkcharpt/Introduction.html l ftn.d0e35251.2.2.Microsoft Wind

7、owsWindows 2000,XP Home版,XP Pro版,XP Tablet PC，XP Media Center, Server 2003 or Vista(推薦在XP下使用)32-bit奔騰處理器或同等規(guī)格的處理器（建議頻率：400MHz或更高）,64-bit處理器在WoW64仿真環(huán)境下-見一般說明128MB系統(tǒng)內(nèi)存（建議256Mbytes或更高）75MB可用磁盤空間（如果想保存捕捉文件，需要更多空間） 800*600（建議1280*1024或更高）分辨率最少65536(16bit)色，(256色舊設(shè)備安裝時(shí)需要選擇”legacy GTK1”)網(wǎng)卡需求：以太網(wǎng)：windows支持的

8、任何以太網(wǎng)卡都可以無線局域網(wǎng)卡：見 HYPERLINK /WinPcap/Supported.asp t _top MicroLogix support list, 不捕捉802.11包頭和無數(shù)據(jù)楨。其它接口見： HYPERLINK /CaptureSetup/NetworkMedia t _top /CaptureSetup/NetworkMedia 說明 基于以下三點(diǎn)原因，將不會(huì)對(duì)舊版Windows提供支持：沒有任何開發(fā)人員正在使用那些操作系統(tǒng)， 這將使支持變得更加困難，Wireshark運(yùn)行所依賴的庫文件（如GTK，WinPCap等）也放棄對(duì)它們的支持。 同樣，微軟也放棄了對(duì)它們的技術(shù)支

9、持。Windows 95,98和ME不能運(yùn)行Wireshark。已知的最后一個(gè)可以運(yùn)行在以上平臺(tái)的版本是Ethereal0.99.0(需要安裝WinPCap3.1),你依然可以使用從: HYPERLINK /download.html t _top /download.html獲得。順便提一下：微軟于2006年1月11日停止對(duì)98/ME支持。Windows NT 4.0今后將無法運(yùn)行Wireshark.最有一個(gè)已知版本是Wireshark0.99.4(需安裝自帶的WinPCap3.1),你依然可以從： HYPERLINK /wireshark/wireshark-setup-0.99.4.ex

10、e t _top /wireshark/wireshark-setup-0.99.4.exe得到它。順便提一下：微軟于2005年12月31日停止對(duì)NT 4.0的支持。Windows CE 及嵌入版windows（NT/XP）不被支持。64-bit處理器運(yùn)行Wireshark需要在32bit仿真環(huán)境下(稱作WoW64),最低需要安裝WinPCap4.0。支持多顯示(不知道是顯示其還是監(jiān)視器)安裝，但會(huì)遇到一些不可預(yù)料的問題。1.2.3.Unix/LinuxWireshark目前可以運(yùn)行在許多UNIX平臺(tái)，系統(tǒng)可以對(duì)照上面Windows下的指標(biāo)。 二進(jìn)制包最少在以下平臺(tái)可用： APPle Mac

11、OSXDebian GNU/LinuxFreeBSDNetBSDOpenPKGRed Hat Fedora/Enterprise LinuxrPath LinuxSun Solaris/i386Sun Solaris/Sparc如果二進(jìn)制包在您的平臺(tái)無法使用，你可以下載源文件并嘗試編譯它。 希望您能發(fā)送郵件到 HYPERLINK mailto:Wireshark-dev t _top wireshark-devAT .分享您的經(jīng)驗(yàn)。1.3.從哪里可以得到Wireshark你可以從我們的網(wǎng)站下載最新版本的 HYPERLINK /download.html t _top Wireshark /do

12、wnload.html.網(wǎng)站上您可以選擇適合您的鏡像站點(diǎn)。Wireshark通常在4-8周內(nèi)發(fā)布一次新版本如果您想獲得Wireshark發(fā)布的消息通知，你可以訂閱Wireshark-announce郵件列表。詳見HYPERLINK ./桌面/wiresharkcharpt/Introduction.html l c1.6.4 o 1.6.4.郵件列表第1.6.4節(jié) “郵件列表”1.4.Wiresahrk簡史HYPERLINK ./桌面/wiresharkcharpt/Introduction.html l ftn.d0e47161997年以后，Gerald Combs 需要一個(gè)工具追蹤網(wǎng)絡(luò)問題

13、并想學(xué)習(xí)網(wǎng)絡(luò)知識(shí)。所以他開始開發(fā)Ethereal (Wireshark項(xiàng)目以前的名稱) 以解決以上的兩個(gè)需要。Ethereal是第一版，經(jīng)過數(shù)次開發(fā)，停頓，1998年，經(jīng)過這么長的時(shí)間，補(bǔ)丁，Bug報(bào)告，以及許多的鼓勵(lì)，0.2.0版誕生了。Ethereal就是以這種方式成功的。此后不久，Gilbert Ramirez發(fā)現(xiàn)它的潛力，并為其提供了底層分析1998年10月，Guy Harris正尋找一種比TcpView更好的工具，他開始為Ethereal進(jìn)行改進(jìn)，并提供分析。998年以后，正在進(jìn)行TCP/IP教學(xué)的Richard Sharpe 關(guān)注了它在這些課程中的作用。并開始研究該軟件是否他所需要

14、的協(xié)議。如果不行，新協(xié)議支持應(yīng)該很方便被添加。所以他開始從事Ethereal的分析及改進(jìn)。從那以后，幫助Ethereal的人越來越多，他們的開始幾乎都是由于一些尚不被Ethereal支持的協(xié)議。所以他們拷貝了已有的解析器，并為團(tuán)隊(duì)提供了改進(jìn)回饋。2006年項(xiàng)目Moved House（這句不知道怎么翻譯）并重新命名為：Wireshark.1.5.Wireshark開發(fā)維護(hù)Wireshark最初由Gerald Combs開發(fā)。目前由Wireshark team進(jìn)行進(jìn)一步開發(fā)和維護(hù)。Wireshark team是一個(gè)由修補(bǔ)bug提高Wireshark功能的獨(dú)立成員組成的松散組織。有大量的成員為Wir

15、eshark提供協(xié)議分析。同時(shí)我們也希望這些活動(dòng)能持續(xù)機(jī)芯。通過查看Wireshark幫助菜單下的About,你可以找到為Wireshark提供代碼的人員名單，或者你也可以通過Wireshark 網(wǎng)站的 HYPERLINK /about.html t _top authors頁面找到。Wireshark 是開源軟件項(xiàng)目，發(fā)布遵循 HYPERLINK /copyleft/gpl.html t _top GNU General Public Licence (GPL協(xié)議),所有源代碼可以在GPL框架下免費(fèi)使用。歡迎您修改Wireshark以便適合您的需要，如果您可以提供您的改進(jìn)給Wireshark

16、 team ，我們將不勝感激。為Wireshark Team 提供您的改進(jìn)建議，有以下益處：如果其他人發(fā)現(xiàn)您提供的改進(jìn)十分有用會(huì)肯定它們的價(jià)值，您將會(huì)得知你曾像Wireshark team 一樣幫助過他人The developers of Wireshark might improve your changes even more, as theres always room for improvement. Or they may implement some advanced things on top of your code, which can be useful for yours

17、elf too.The maintainers and developers of Wireshark will maintain your code as well, fixing it when API changes or other changes are made, and generally keeping it in tune with what is happening with Wireshark. So if Wireshark is updated (which is done often), you can get a new Wireshark version fro

18、m the website and your changes will already be included without any effort for you.Wireshar 源代碼和二進(jìn)制kits （二進(jìn)制工具包？ ）可以根據(jù)自己的平臺(tái)對(duì)應(yīng)下載，網(wǎng)站是： HYPERLINK /download.html. t _top /download.html. 1.6.匯報(bào)問題和獲得幫助如果您在使用中碰到了問題，或者您需要Wireshark的幫助，有以下幾種可能讓您有興趣的方法（當(dāng)然，還包括這本書）。1.6.1.網(wǎng)站通過訪問 HYPERLINK t _top 你將會(huì)發(fā)現(xiàn)關(guān)于Wireshark許

19、多有用的信息。1.6.2.百科全書Wireshark Wiki ( HYPERLINK t _top )提供廣泛的跟Wireshark以及捕捉包有關(guān)信息。你將會(huì)發(fā)現(xiàn)一些沒有被包括在本書內(nèi)信息，例如：wiki上有解釋如何在交換網(wǎng)絡(luò)捕捉包，同時(shí)我們正努力建立協(xié)議參考，等等。最好的事情是，如果對(duì)某些知識(shí)有獨(dú)到見解（比如您精通某種協(xié)議），您可以通過瀏覽器編輯它。1.6.3.FAQ最經(jīng)常被問到的問題“Frequently Asked Questions”提供一個(gè)經(jīng)常被問到的問題以及答案的列表。Read The FAQ在您發(fā)送任何郵件到郵件列表之前，確信您已經(jīng)閱讀了FAQ，因?yàn)檫@里面很可能已經(jīng)提供了您想問

20、的問題，答案。這將大大節(jié)約您的時(shí)間（記住，有很多人提交了大量的郵件）。1.6.4.郵件列表下面的幾個(gè)幾個(gè)郵件列表，分別屬于不同的主題：Wireshark-users 這是一個(gè)Wireshark用戶的列表，大家提交關(guān)于安裝和使用Wireshark的問題，其它人（非常有用）提供的答案。（譯者注：其他人當(dāng)然也是指用戶？） wireshark-announce 這是一個(gè)關(guān)于程序發(fā)布信息的列表，通常每4-8周出現(xiàn)一次。wireshark-dev 這是一個(gè)關(guān)于Wireshark開發(fā)的郵件列表，如果開始開發(fā)協(xié)議分析，可以從加入該列表你可以通過網(wǎng)站 HYPERLINK t _top 訂閱每個(gè)郵件列表.簡單點(diǎn)擊

21、網(wǎng)站左手邊的郵件列表鏈接就可以。郵件同樣在網(wǎng)站上可以看到存檔。提示你可以搜索存檔看看有沒有人問過跟你一樣的問題，或許您的問題已經(jīng)有了答案。這樣您就不必提交郵件以等待別人答復(fù)您了。1.6.5.報(bào)告問題注意在您提交任何問題之前，請(qǐng)確定您安裝的是最新版本的Wireshark。當(dāng)您提交問題的時(shí)候，如果您提供如下信息將會(huì)對(duì)解決問題很有幫助。Wireshark的版本，及其依賴的庫的版本，如GTK+，等等。你可以通過Wireshark v命令獲得版本號(hào)。（估計(jì)是UNIX/Linux平臺(tái)）。運(yùn)行Wireshark的平臺(tái)信息。關(guān)于問題的詳細(xì)描述。如果您得到錯(cuò)誤或者警告信息，拷貝錯(cuò)誤信息的文本（以及在此之前或之后

22、的文本，如果有的話），這樣其他人可能會(huì)發(fā)現(xiàn)發(fā)生問題的地方。請(qǐng)不要發(fā)送諸如：“I got a warning while doing x” HYPERLINK ./桌面/wiresharkcharpt/Introduction.html l ftn.d0e6067，因?yàn)檫@樣看起來不是個(gè)好主意。 不要發(fā)送大文件不要發(fā)送過大的文件（100KB）到郵件列表，在郵件中附加一個(gè)能提供足夠數(shù)據(jù)的記事本就可以。大文件會(huì)讓很多郵件列表里的那些對(duì)您的問題不感興趣的用戶感到惱怒。如果需要，你可以單獨(dú)發(fā)送那些數(shù)據(jù)給對(duì)您問題真正感興趣，要求您發(fā)送數(shù)據(jù)的人。不要發(fā)送機(jī)密信息！如果您發(fā)送捕捉數(shù)據(jù)到郵件列表，請(qǐng)確定它們不包含

23、敏感或者機(jī)密信息，比如密碼或者諸如此類的。1.6.6.在UNIX/Linux平臺(tái)追蹤軟件錯(cuò)誤如果您發(fā)送捕捉數(shù)據(jù)到郵件列表，請(qǐng)確定它們不包含敏感或者機(jī)密信息，比如密碼或者諸如此類的。你可以通過如下命令獲得追蹤信息： $ gdb whereis wireshark | cut -f2 -d: | cut -d -f2 core &bt.txt backtrace D $ 注意在逐字輸入第一行的字符！HYPERLINK ./桌面/wiresharkcharpt/Introduction.html l ftn.d0e6328 注意追蹤是一個(gè)GDB命令。你可以在輸完第一上以后輸入它，但是會(huì)沒有相應(yīng)，D命

24、令（CTL+D）將會(huì)退出GDB命令。以上命令讓你在當(dāng)前目錄得到一個(gè)名為bt.txt的文本文件，它包含您的bug報(bào)告。注意如果您缺少GDB，您必須檢查您的操作系統(tǒng)的調(diào)試器。你可以發(fā)送追蹤?quán)]件到 HYPERLINK mailto:wireshark-dev t _top wireshark-devAT郵件列表1.6.7.在Windows平臺(tái)追蹤軟件錯(cuò)誤Windows下無法包含符號(hào)文件(.pdb),它們非常大。因此不太可能創(chuàng)建十分有意義的追蹤文件。你將匯報(bào)軟件錯(cuò)誤就像前面描述的其他問題一樣。（這句不盡人意）HYPERLINK ./桌面/wiresharkcharpt/Introduction.htm

25、l l d0e3183 譯者注：因?yàn)椴皇侨肭謾z測之用，所以不會(huì)將入侵檢測和普通通信區(qū)別對(duì)待，但是都會(huì)體現(xiàn)在網(wǎng)絡(luò)包里面，如果您有足夠的經(jīng)驗(yàn)，或許能通過監(jiān)視網(wǎng)絡(luò)包發(fā)現(xiàn)入侵檢測HYPERLINK ./桌面/wiresharkcharpt/Introduction.html l d0e3374 譯者注：原文 “The values below are the minimum requirements and only rules of thumb for use on a moderately used network”，其中”rules of thumb”中譯名應(yīng)該是拇指規(guī)則，但網(wǎng)上關(guān)于拇指規(guī)則解釋

26、莫衷一是，大致意思是說：大多數(shù)情況下適用，但并非所有情況。這里翻譯的有點(diǎn)別扭HYPERLINK ./桌面/wiresharkcharpt/Introduction.html l d0e3525 譯者注：我對(duì)這句話的理解是，正如播放電影一樣，高性能的處理器只會(huì)增強(qiáng)顯示效果，您并不需要將原來30分鐘的影片10分鐘之內(nèi)看完。當(dāng)然，對(duì)減少延時(shí)還是有作用的。但是感覺這句有點(diǎn)閱讀困難，可能翻譯的有點(diǎn)問題.HYPERLINK ./桌面/wiresharkcharpt/Introduction.html l d0e4716 本段因?yàn)橛泻芏鄥f(xié)議，程序開發(fā)方面的術(shù)語，翻譯得比較糟糕HYPERLINK ./桌面/w

27、iresharkcharpt/Introduction.html l d0e6067 譯者注：那句話的意思是，我在XX時(shí)碰到一個(gè)警告信息HYPERLINK ./桌面/wiresharkcharpt/Introduction.html l d0e6328 譯者注：原文是：Type the characters in the first line verbatim! Those are back-tics there!,Those are back-tics there!不知道是什么意思，back-tics=后勤抽搐？熟悉Linux的或許知道第2章編譯/安裝Wireshark2.1.須知萬事皆有開

28、頭，Wireshark也同樣如此。要想使用Wireshark，你必須：獲得一個(gè)適合您操作系統(tǒng)的二進(jìn)制包，或者獲得源文件為您的操作系統(tǒng)編譯。目前，只有兩到三種Linux發(fā)行版可以傳送Wireshark，而且通常傳輸?shù)亩际沁^時(shí)的版本。至今尚未有UNIX版本可以傳輸Wireshark . Windows的任何版本都不能傳輸Wireshark.基于以上原因，你需要知道從哪能得到最新版本的Wireshark以及如何安裝它。本章節(jié)向您展示如何獲得源文件和二進(jìn)制包，如何根據(jù)你的需要編譯Wireshark源文件。以下是通常的步驟：下載需要的相關(guān)包，例如：源文件或者二進(jìn)制發(fā)行版。將源文件編譯成二進(jìn)制包(如果您下

29、載的是源文件的話)。這樣做做可以整合編譯和/或安裝其他需要的包。安裝二進(jìn)制包到最終目標(biāo)位置。2.2.獲得源你可以從Wireshark網(wǎng)站 HYPERLINK t _top .同時(shí)獲取源文件和二進(jìn)制發(fā)行版。選擇您需要下載的鏈接，然后選擇源文件或二進(jìn)制發(fā)行包所在的鏡像站點(diǎn)（盡可能離你近一點(diǎn)的站點(diǎn)）。下載所有需要的文件 !一般來說，除非您已經(jīng)下載Wireshark,如果您想編譯Wireshark源文件，您可能需要下載多個(gè)包。這些在后面章節(jié)會(huì)提到。注意當(dāng)你發(fā)現(xiàn)在網(wǎng)站上有多個(gè)二進(jìn)制發(fā)行版可用，您應(yīng)該選擇適合您平臺(tái)的版本，他們同時(shí)通常會(huì)有多個(gè)版本緊跟在當(dāng)前版本后面，那些通常時(shí)擁有那些平臺(tái)的用戶編譯的?；?/p>

30、以上原因，您可能想自己下載源文件自己編譯，因?yàn)檫@樣相對(duì)方便一點(diǎn)。2.3.在UNIX下安裝之前 在編譯或者安裝二進(jìn)制發(fā)行版之前，您必須確定已經(jīng)安裝如下包：GTK+, The GIMP Tool Kit.您將會(huì)同樣需要Glib.它們都可以從HYPERLINK ./桌面/wiresharkcharpt/ t _top獲得。Libpcap , Wireshark用來捕捉包的工具您可以從HYPERLINK ./桌面/wiresharkcharpt/ t _top獲得。根據(jù)您操作系統(tǒng)的不同，您或許能夠安裝二進(jìn)制包，如RPMs.或許您需要獲得源文件并編譯它。 如果您已經(jīng)下載了GTK+源文件，HYPERLIN

31、K ./桌面/wiresharkcharpt/buildingwireshark.html l ex2.1 o 例2.1.從源文件編譯GTK+例2.1 “從源文件編譯GTK+”提供的指令對(duì)您編譯有所幫助。例2.1.從源文件編譯GTK+gzip -dc gtk+-1.2.10.tar.gz | tar xvf -./configuremake install注意您可能需要修改HYPERLINK ./桌面/wiresharkcharpt/buildingwireshark.html l ex2.1 o 例2.1.從源文件編譯GTK+例2.1 “從源文件編譯GTK+”中提供的版本號(hào)成對(duì)應(yīng)您下載的GT

32、K+版本。如果GTK的目錄發(fā)生變更，您同樣需要修改它。，tar xvf 顯示您需要修改的目錄。注意如果您使用Linux,或者安裝了GUN tar，您可以使用tar zxvfgtk+-1.2.10.tar.gz命令。同樣也可能使用gunzip c或者gzcat而不是許多UNIX中的gzip dc注意如果您在windows中下載了gtk+ 或者其他文件。您的文件可能名稱為：gtk+-1_2_8_tar.gz如果在執(zhí)行HYPERLINK ./桌面/wiresharkcharpt/buildingwireshark.html l ex2.1 o 例2.1.從源文件編譯GTK+例2.1 “從源文件編譯G

33、TK+”中的指令時(shí)有錯(cuò)誤發(fā)生的話，你可以咨詢GTK+網(wǎng)站。如果您已經(jīng)下載了libpcap源，一般指令如HYPERLINK ./桌面/wiresharkcharpt/buildingwireshark.html l ex2.2 o 例2.2.編譯、安裝libpcap例2.2 “編譯、安裝libpcap” 顯示的那樣會(huì)幫您完成編譯。同樣，如果您的操作系統(tǒng)不支持tcpdump,您可以從 HYPERLINK / t _top tcpdump網(wǎng)站下載安裝它。例2.2.編譯、安裝libpcapgzip -dc libpcap-0.9.4.tar.Z | tar xvf -cd libpcap-0.9.4.

34、/configuremakemake install注意Libpcap的目錄需要根據(jù)您的版本進(jìn)行修改。tar xvf命令顯示您解壓縮的目錄。RedHat 6.x及其以上版本環(huán)境下（包括基于它的發(fā)行版，如Mandrake）,您可以直接運(yùn)行RPM安裝所有的包。大多數(shù)情況下的Linux需要安裝GTK+和Glib.反過來說，你可能需要安裝所有包的定制版。安裝命令可以參考HYPERLINK ./桌面/wiresharkcharpt/buildingwireshark.html l ex2.3 o 例2.3.在RedHat Linux 6.2或者基于該版本得發(fā)行版下安裝需要的RPM包例2.3 “在RedH

35、at Linux 6.2或者基于該版本得發(fā)行版下安裝需要的RPM包”。如果您還沒有安裝，您可能需要安裝需要的RPMs。例2.3.在RedHat Linux 6.2或者基于該版本得發(fā)行版下安裝需要的RPM包c(diǎn)d /mnt/cdrom/RedHat/RPMSrpm -ivh glib-1.2.6-3.i386.rpmrpm -ivh glib-devel-1.2.6-3.i386.rpmrpm -ivh gtk+-1.2.6-7.i386.rpmrpm -ivh gtk+-devel-1.2.6-7.i386.rpmrpm -ivh libpcap-0.4-19.i386.rpm注意如果您使用Re

36、dHat 6.2之后的版本，需要的RMPs包可能已經(jīng)變化。您需要使用正確的RMPs包。在Debian下您可以使用apt-ge命令。apt-get 將會(huì)為您完成所有的操作。參見HYPERLINK ./桌面/wiresharkcharpt/buildingwireshark.html l ex2.4 o 例2.4.在Deban下安裝Deb例2.4 “在Deban下安裝Deb”例2.4.在Deban下安裝Debapt-get install wireshark-dev2.4.在UNIX下編譯Wireshark如果在Unix操作系統(tǒng)下可以用如下步驟編譯Wireshark源代碼：如果使用Linux則解壓

37、gzipd tar文件,如果您使用UNIX，則解壓GUN tar文件。對(duì)于Linux命令如下：tar zxvf wireshark-0.99.5-tar.gz對(duì)于 UNIX版本，命令如下gzip -d wireshark-0.99.5-tar.gztar xvf wireshark-0.99.5-tar注意使用管道命令行 gzip dc Wireshark-0.99.5-tar.gz|tar xvf 同樣可以HYPERLINK ./桌面/wiresharkcharpt/buildingwireshark.html l ftn.d0e8839注意如果您在Windows下下載了Wireshark,

38、你會(huì)發(fā)現(xiàn)文件名中的那些點(diǎn)變成了下劃線。將當(dāng)前目錄設(shè)置成源文件的目錄。配置您的源文件以編譯成適合您的Unix的版本。命令如下：./configure如果找個(gè)步驟提示錯(cuò)誤，您需要修正錯(cuò)誤，然后重新configure.解決編譯錯(cuò)誤可以參考HYPERLINK ./桌面/wiresharkcharpt/buildingwireshark.html l c2.6 o 2.6.解決UNIX下安裝過程中的問題 第2.6節(jié) “解決UNIX下安裝過程中的問題 ”使用make命令將源文件編譯成二進(jìn)制包，例如：make安裝您編譯好的二進(jìn)制包到最終目標(biāo)，使用如下命令：make install一旦您使用make inst

39、all安裝了Wireshark,您就可以通過輸入Wireshark命令來運(yùn)行它了。2.5.在UNIX下安裝二進(jìn)制包一般來說，在您的UNIX下安裝二進(jìn)制發(fā)行包使用的方式根據(jù)您的UNIX的版本類型而各有不同。例如AIX下，您可以使用smit安裝，Tru64 UNIX您可以使用 setld 命令。2.5.1.在Linux或類似環(huán)境下安裝RPM包使用如下命令安裝Wireshark RPM包rpm -ivh wireshark-0.99.5.i386.rpm如果因?yàn)槿鄙賅ireshark依賴的軟件而導(dǎo)致安裝錯(cuò)誤，請(qǐng)先安裝依賴的軟件，然后再嘗試安裝。REDHAT下依賴的軟件請(qǐng)參考HYPERLINK ./桌

40、面/wiresharkcharpt/buildingwireshark.html l ex2.3 o 例2.3.在RedHat Linux 6.2或者基于該版本得發(fā)行版下安裝需要的RPM包例2.3 “在RedHat Linux 6.2或者基于該版本得發(fā)行版下安裝需要的RPM包” 2.5.2.在Debian環(huán)境下安裝Deb包使用下列命令在Debian下安裝Wiresharkapt-get install Wiresharkapt-get 會(huì)為您完成所有的相關(guān)操作2.5.3.在Gentoo Linux環(huán)境下安裝Portage使用如下命令在Gentoo Linux下安裝wireshark以及所有的需

41、要的附加文件USE=adns gtk ipv6 portaudio snmp ssl kerberos threads selinux emerge wireshark2.5.4.在FreeBSD環(huán)境下安裝包 使用如下命令在FreeBSD下安裝Wiresharkpkg_add -r wiresharkpkg_add會(huì)為您完成所有的相關(guān)操作2.6.解決UNIX下安裝過程中的問題 HYPERLINK ./桌面/wiresharkcharpt/buildingwireshark.html l ftn.d0e95610安裝過程中可能會(huì)遇到一些錯(cuò)誤信息。這里給出一些錯(cuò)誤的解決辦法：如果configure

42、那一步發(fā)生錯(cuò)誤。你需要找出錯(cuò)誤的原因，您可以檢查日志文件config.log(在源文件目錄下)，看看都發(fā)生了哪些錯(cuò)誤。有價(jià)值的信息通常在最后幾行。一般原因是因?yàn)槟鄙貵TK+環(huán)境，或者您的GTK+版本過低。configure錯(cuò)誤的另一個(gè)原因是因?yàn)橐驗(yàn)槿鄙賚ibpcap(這就是前面提到的捕捉包的工具)。另外一個(gè)常見問題是很多用戶抱怨最后編譯、鏈接過程需要等待太長時(shí)間。這通常是因?yàn)槭褂美鲜降膕ed命令（比如solaris下傳輸）。自從libtool腳本使用sed命令建立最終鏈接命令，常常會(huì)導(dǎo)致不可知的錯(cuò)誤。您可以通過下載最新版本的sed解決該問題 HYPERLINK /GNU/sed.html t

43、 _top /GNU/sed.html.如果您無法檢測出錯(cuò)誤原因。發(fā)送郵件到 HYPERLINK mailto:wireshark-dev t _top wireshark-dev說明您的問題。當(dāng)然，郵件里要附上config.log以及其他您認(rèn)為對(duì)解決問題有幫助的東西，例如make過程的追蹤。2.7.在Windows下編譯源在Windows平臺(tái)下，我們建議最好是使用二進(jìn)制包直接安裝，除非您是從事Wireshark開發(fā)的。 如果想了解關(guān)于Windows下編譯安裝Wireshark，請(qǐng)查看我們的開發(fā)WIKI網(wǎng)站 HYPERLINK /Development t _top /Development來

44、了解最新的開發(fā)方面的文檔。 2.8.在Windows下安裝Wireshark本節(jié)將探討在Windows下安裝Wireshark二進(jìn)制包。2.8.1.安裝Wireshark您獲得的Wireshark二進(jìn)制安裝包可能名稱類似Wireshark-setup-x.y.z.exe. Wireshark安裝包包含WinPcap,所以您不需要單獨(dú)下載安裝它。您只需要在 HYPERLINK /download.html l releases t _top /download.html#releases下載Wireshark安裝包并執(zhí)行它即可。除了普通的安裝之外，還有幾個(gè)組件供挑選安裝。提示：盡量保持默認(rèn)設(shè)置如

45、果您不了解設(shè)置的作用的話。選擇組件HYPERLINK ./桌面/wiresharkcharpt/buildingwireshark.html l ftn.d0e101711Wireshark(包括GTK1和GTK2接口無法同時(shí)安裝):如果您使用GTK2的GUI界面遇到問題可以嘗試GTK1，在Windows下256色（8bit）顯示模式無法運(yùn)行GTK2.但是某些高級(jí)分析統(tǒng)計(jì)功能在GTK1下可能無法實(shí)現(xiàn)。Wireshark GTK1-Wireshark 是一個(gè)GUI網(wǎng)絡(luò)分析工具Wireshark GTK2-Wireshark 是一個(gè)GUI網(wǎng)絡(luò)分析工具（建議使用GTK2 GUI模組工具）GTK-Wi

46、mp-GTKWimp是詩歌GTK2窗口模擬(看起來感覺像原生windows32程序，推薦使用) TSshark-TShark 是一個(gè)命令行的網(wǎng)絡(luò)分析工具 插件/擴(kuò)展(Wireshark,TShark分析引擎):Dissector Plugins-分析插件：帶有擴(kuò)展分析的插件Tree Statistics Plugins-樹狀統(tǒng)計(jì)插件：統(tǒng)計(jì)工具擴(kuò)展Mate - Meta Analysis and Tracing Engine (experimental):可配置的顯示過濾引擎，參考 HYPERLINK /Mate t _top /Mate.SNMP MIBs: SNMP，MIBS的詳細(xì)分析。To

47、ols/工具(處理捕捉文件的附加命令行工具Users Guide-用戶手冊-本地安裝的用戶手冊。如果不安裝用戶手冊，幫助菜單的大部分按鈕的結(jié)果可能就是訪問internet.Editcap - Editcap is a program that reads a capture file and writes some or all of the packets into another capture file. /Editcap是一個(gè)讀取捕捉文件的程序，還可以將一個(gè)捕捉文件力的部分或所有信息寫入另一個(gè)捕捉文件。（文件合并or插入？） Text2Pcap - Text2pcap is a pro

48、gram that reads in an ASCII hex dump and writes the data into a libpcap-style capture file./Tex2pcap是一個(gè)讀取ASCII hex，寫入數(shù)據(jù)到libpcap個(gè)文件的程序。Mergecap - Mergecap is a program that combines multiple saved capture files into a single output file. / Mergecap是一個(gè)可以將多個(gè)播捉文件合并為一個(gè)的程序。Capinfos - Capinfos is a program

49、 that provides information on capture files. /Capinfos是一個(gè)顯示捕捉文件信息的程序?！癆dditional Tasks”頁Start Menu Shortcuts-開始菜單快捷方式-增加一些快捷方式到開始菜單Desktop Icon-桌面圖標(biāo)-增加Wireshark圖標(biāo)到桌面Quick Launch Icon-快速啟動(dòng)圖標(biāo)-增加一個(gè)Wireshark圖標(biāo)到快速啟動(dòng)工具欄Associate file extensions to Wireshark-Wireshark文件關(guān)聯(lián)-將捕捉包默認(rèn)打開方式關(guān)聯(lián)到WiresharkInstall WinP

50、cap?”頁Wireshark安裝包里包含了最新版的WinPcap安裝包。如果您沒有安裝WinPcap 。您將無法捕捉網(wǎng)絡(luò)流量。但是您還是可以打開以保存的捕捉包文件。Currently installed WinPcap version-當(dāng)前安裝的WinPcap版本Install WinPcap x.x -如果當(dāng)前安裝的版本低于Wireshark自帶的，該選項(xiàng)將會(huì)是默認(rèn)值。Start WinPcap service NPF at startup -將WinPcap的服務(wù)NPF在啟動(dòng)時(shí)運(yùn)行-這樣其它非管理員用戶就同樣可以捕捉包了。更多關(guān)于WinPcap的信息：Wireshark 相關(guān) HYPER

51、LINK /WinPcap t _top /WinPcapWinPcap官方網(wǎng)站： HYPERLINK t _top 安裝命令選項(xiàng)您可以直接在命令行運(yùn)行安裝包，不加任何參數(shù)，這樣會(huì)顯示常用的參數(shù)以供交互安裝。 在個(gè)別應(yīng)用中，可以選擇一些參數(shù)定制安裝： /NCRC 禁止CRC校檢/S 靜默模式安裝或卸載Wireshark.注意：靜默模式安裝時(shí)不會(huì)安裝WinPcap!/desktopicon 安裝桌面圖標(biāo)，/desktopicon=yes表示安裝圖標(biāo)，反之則不是，適合靜默模式。/quicklaunchicon 將圖標(biāo)安裝到快速啟動(dòng)工具欄，=yes-安裝到工具欄，=no-不安裝，不填按默認(rèn)設(shè)置。/D

52、 設(shè)置默認(rèn)安裝目錄($INSTDIR),首選安裝目錄和安裝目錄注冊表鍵值，該選項(xiàng)必須設(shè)置到最后。即使路徑包含空格例2.5.wireshark-setup-0.99.5.exe /NCRC /S /desktopicon=yes /quicklaunchicon=no /D=C:Program FilesFoo2.8.2.手動(dòng)安裝WinPcap注意事先聲明，Wireshark安裝時(shí)會(huì)謹(jǐn)慎對(duì)待WinPcap的安裝，所以您通常不必?fù)?dān)心WinPcap。下面的WinPcap僅適合您需要嘗試未包括在Wireshark內(nèi)的不同版本W(wǎng)inPcap。例如一個(gè)新版本的WinPcap發(fā)布了，您需要安裝它。單獨(dú)的Wi

53、nPcap版本（包括alpha or beta版）可以在下面地址下載到WinPcap官方網(wǎng)站： HYPERLINK t _top W 鏡像站點(diǎn): HYPERLINK /security/packet-capture/winpcap t _top /security/packet-capture/winpcap在下載頁面您將會(huì)發(fā)現(xiàn)WinPcap的安裝包名稱通常類似于”auto-installer”。它們可以在NT4.0/2000/XP/vista下安裝。2.8.3.更新Wireshark有時(shí)候您可能想將您的WinPcap更新到最新版本，如果您訂閱了Wireshark通知郵件，您將會(huì)獲得Wires

54、hark新版本發(fā)布的通知，見HYPERLINK ./桌面/wiresharkcharpt/Introduction.html l c1.6.4 o 1.6.4.郵件列表第1.6.4節(jié) “郵件列表”。 新版誕生通常需要8-12周。更新Wireshark就是安裝一下新版本。下載并安裝它就可以。更新通常不需要重新啟動(dòng)，也不會(huì)更改過去的默認(rèn)設(shè)置2.8.4.更新WinPcapWinPcap的更新不是十分頻繁，通常一年左右。新版本出現(xiàn)的時(shí)候您會(huì)收到WinPcap的通知。更新WinPcap后需要重新啟動(dòng)。警告在安裝新版WinPcap之前，如果您已經(jīng)安裝了舊版WinPcap,您必須先卸載它。最近版本的WinP

55、cap安裝時(shí)會(huì)自己卸載舊版。2.8.5.卸載Wireshark 你可以用常見方式卸載Wireshark,使用添加/刪除程序，選擇”Wireshark”選項(xiàng)開始卸載即可。Wireshark卸載過程中會(huì)提供一些選項(xiàng)供您選擇卸載哪些部分，默認(rèn)是卸載核心組件，但保留個(gè)人設(shè)置和WinPcap.WinPcap默認(rèn)不會(huì)被卸載，因?yàn)槠渌愃芖ireshark的程序有可能同樣適用WinPcap2.8.6.卸載WinPcap你可以單獨(dú)卸載WinPcap,在添加/刪除程序選擇”WinPcap”卸載它。注意卸載WinPcap之后您將不能使用Wireshark捕捉包。在卸載完成之后最好重新啟動(dòng)計(jì)算機(jī)。HYPERLINK

56、 ./桌面/wiresharkcharpt/buildingwireshark.html l d0e8839 譯者注：看到別人翻譯Pipelin之類的，似乎就是叫管道，不知道是否準(zhǔn)確HYPERLINK ./桌面/wiresharkcharpt/buildingwireshark.html l d0e95610 譯者注：本人不熟悉UNIX/LINUX，這一段翻譯的有點(diǎn)云里霧里，可能大家通過這部分想安裝Wireshark會(huì)適得其反，那就對(duì)不住了。下面?zhèn)€人說一下UNIX/LINUX下安裝方法。 UNIX/LINUX下安裝時(shí)，有兩種安裝方式，1是下載源碼包自己編譯，這種方式的好處是因?yàn)橄螺d源碼包是單一

57、的，可以自行加以修改，編譯就是適合自己平臺(tái)的了。 2、是利用已經(jīng)做好的發(fā)行包直接安裝，這種方法的好處是只要下載到跟自己平臺(tái)對(duì)應(yīng)的就可以，但缺點(diǎn)也在這里，不是每個(gè)平臺(tái)都能找到合適的。不管是編譯安裝，還是使用發(fā)行包安裝，都需要有一些有些基本基本支持。比如Linux下的GTK+支持，捕捉包時(shí)需要用的libpcap. 這一點(diǎn)可以參考HYPERLINK ./桌面/wiresharkcharpt/buildingwireshark.html l c2.3 o 2.3.在UNIX下安裝之前 第2.3節(jié) “在UNIX下安裝之前 ”。編譯的一般步驟是解壓，編譯，安裝（tar zxvf Wireshark-0.9

58、9.5-tar.gz;make;make install）.直接安裝則是根據(jù)各自平臺(tái)安裝的特點(diǎn)。HYPERLINK ./桌面/wiresharkcharpt/buildingwireshark.html l d0e101711 涉及到過多的名次，軟件又沒有中文版，這里及以后盡量不翻譯名稱第3章用戶界面3.1.須知現(xiàn)在您已經(jīng)安裝好了Wireshark,幾乎可以馬上捕捉您的一個(gè)包。緊接著的這一節(jié)我們將會(huì)介紹：Wireshark的用戶界面如何使用如何捕捉包如何查看包如何過濾包以及其他的一些工作。3.2.啟動(dòng)Wireshark你可以使用Shell命令行或者資源管理器啟動(dòng)Wireshark.提示開始Wi

59、reshark時(shí)您可以指定適當(dāng)?shù)膮?shù)。參見HYPERLINK ./桌面/wiresharkcharpt/Customizing wireshark.html l c9.2 o 9.2.從命令行啟動(dòng)Wireshark第9.2節(jié) “從命令行啟動(dòng)Wireshark”注意在后面的章節(jié)中，將會(huì)出現(xiàn)大量的截圖，因?yàn)閃ireshark運(yùn)行在多個(gè)平臺(tái) ，并且支持多個(gè)GUI Toolkit(GTK1.x/2x),您的屏幕上顯示的界面可能與截圖不盡吻合。但在功能上不會(huì)有實(shí)質(zhì)性區(qū)別。盡管有這些區(qū)別，也不會(huì)導(dǎo)致理解上的困難。3.3.主窗口先來看看HYPERLINK ./桌面/wiresharkcharpt/useri

60、nterface.html l fig3.1 o 圖3.1.主窗口界面圖3.1 “主窗口界面”，大多數(shù)打開捕捉包以后的界面都是這樣子（如何捕捉/打開包文件隨后提到）。圖3.1.主窗口界面和大多數(shù)圖形界面程序一樣，Wireshark主窗口由如下部分組成：菜單（見HYPERLINK ./桌面/wiresharkcharpt/userinterface.html l c3.4 o 3.4.主菜單第3.4節(jié) “主菜單”）用于開始操作。主工具欄(見HYPERLINK ./桌面/wiresharkcharpt/userinterface.html l c3.13 o 3.13.Main工具欄第3.13節(jié)