Contents

Wireshark use tutorial

[基础]软件使用调试

Wireshark安装入门

软件介绍

Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。

Wireshark是目前全球使用最广泛的开源抓包软件(前身为Ethereal),是一个通用化的网络数据嗅探器和协议分析器,由Gerald Combs编写并于1998年以GPL开源许可证发布。如果是网络工程师,可以通过Wireshark对网络进行故障定位和排错;如果是安全工程师,可以通过wireshark对网络黑客渗透攻击进行快速定位并找出攻击源;如果是测试或者软件工程师,可以通过wireshark分析底层通信机制等等。

软件功能

  1. 分析网络底层协议
  2. 解决网络故障问题
  3. 找寻网络安全问题

适合人群

  1. 网络管理员
  2. 网络工程师
  3. 安全工程师
  4. IT运维工程师

平台支持

  1. Windows
  2. MacOS
  3. Linux/Unix

相关地址

  1. http://www.wireshark.org/
  2. http://www.wiresharkbook.com/
  3. http://wiki.wireshark.org/

相关软件

  1. Sniffer
  2. Omnipeek
  3. Fiddler
  4. Httpwatch
  5. 科来网络分析系统

抓包原理

网络原理

本机环境

直接抓包本机网卡进出流量

集线器环境

流量防洪,同一冲突域

交换机环境
  1. 端口镜像

  2. ARP欺骗

  3. MAC泛洪

底层原理

Win-/libpcap

Wireshark抓包时依赖的库文件

Capture

捕包引擎,利用libpcap/Winpcap从底层抓取网络数据包,libpcap/Winpcap提供了通用的抓包接口,能从不同类型的网络接口(包括以太网,令牌环网,ATM网等)获取数据包

Wiretap

格式支持,从抓包文件中读取数据包,支持多种文件格式

Core

核心引擎,通过函数调用将其他模块连接在一起,起到联动调度的作用

GTK1/2

图像处理工具,处理用户的输入输出显示

初始安装

从官网下载,默认选项即可

快速抓包

  1. 初始界面

  2. 选择网卡

    双击选中的网卡

  3. 停止抓包

  4. 保存数据包

界面介绍

  1. 标题栏
  2. 菜单栏
  3. 工具栏
  4. 数据包过滤栏
  5. 数据包列表区
  6. 数据包详细区
  7. 数据包字节区
  8. 数据包统计区

Wireshark进阶调试

显示界面设置

显示大小

菜单栏可调整字体显示大小

列设置

  1. 增加列

    数据包详细区可选择想要作为列的信息,右键应用为列,在数据包列表区即可显示相应增加的列

  2. 修改列

  3. 隐藏列

  4. 删除列

    数据包列表区的列名右键,即可完成操作

时间设置

  1. 设置时间格式

    视图里设置

  2. 设置参考时间

    选择想要设置为参照点的数据包,右键设置为时间参考

名字解析

  1. 功能:将MAC地址,IP地址,端口号等转换成名字,默认是开启MAC地址解析

  2. 开启名字解析

    Capture捕获里点击选项开启想要解析的

  3. 手工设置解析

    在想要手动解析的数据包右键编辑解析的名字

数据包操作

标记数据包

  1. 标记/高亮数据包

    选择所想标记/高亮数据包,右键标记分组

  2. 修改数据包颜色

    1. 直接在数据包列表修改

      在数据包,右键会话着色,可对不同协议设置不同颜色(仅对本次进程有效,程序重启恢复默认

    2. 修改数据包默认颜色方案

      视图里点击着色规则,在里面选择想要修改的数据包类型,通过修改前景后景来修改默认颜色

注释数据包

功能:为数据包编写注释信息

在所想注释数据包右键分组注释,写下自己的注释,然后在数据包详细区即可显示自己所写注释

合并数据包

功能:将两个数据包文件合并

文件里点击合并,选择想要合并的数据包文件

打印数据包

文件里点击Print

导出数据包

文件里点击导出特定分组,选定导出的种类(All packets,Selected packet etc.)

导出为其他格式文件,如CSV格式

文件里点击导出分组解析结果,选择想导出的类型

首选项设置

功能:设置默认软件参数

  1. 修改默认打开目录

    编辑里点击首选项,点击Appearance里即可更改打开路径

  2. 修改用户界面

    编辑里点击首选项,点击Appearance里的LayoutColumnsFont and Colors即可调整用户界面

  3. 修改抓包设置

    功能:

    1. 网卡设置
    2. 抓包过滤器
    3. 多文件连续保存
    4. 停止抓包规则
    5. 名字解析
  4. 修改名字解析

都在编辑里点击首选项里面设置

抓包选项设置

过滤器设置

Wireshark高级功能