Wireshark 使用教程
[基础]软件使用调试
Wireshark安装入门
软件介绍
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
Wireshark是目前全球使用最广泛的开源抓包软件(前身为Ethereal),是一个通用化的网络数据嗅探器和协议分析器,由Gerald Combs编写并于1998年以GPL开源许可证发布。如果是网络工程师,可以通过Wireshark对网络进行故障定位和排错;如果是安全工程师,可以通过wireshark对网络黑客渗透攻击进行快速定位并找出攻击源;如果是测试或者软件工程师,可以通过wireshark分析底层通信机制等等。
软件功能
- 分析网络底层协议
- 解决网络故障问题
- 找寻网络安全问题
适合人群
- 网络管理员
- 网络工程师
- 安全工程师
- IT运维工程师
平台支持
- Windows
- MacOS
- Linux/Unix
相关地址
相关软件
- Sniffer
- Omnipeek
- Fiddler
- Httpwatch
- 科来网络分析系统
抓包原理
网络原理
本机环境
直接抓包本机网卡进出流量
集线器环境
流量防洪,同一冲突域
交换机环境
-
端口镜像
-
ARP欺骗
-
MAC泛洪
底层原理
Win-/libpcap
Wireshark抓包时依赖的库文件
Capture
捕包引擎,利用libpcap/Winpcap从底层抓取网络数据包,libpcap/Winpcap提供了通用的抓包接口,能从不同类型的网络接口(包括以太网,令牌环网,ATM网等)获取数据包
Wiretap
格式支持,从抓包文件中读取数据包,支持多种文件格式
Core
核心引擎,通过函数调用将其他模块连接在一起,起到联动调度的作用
GTK1/2
图像处理工具,处理用户的输入输出显示
初始安装
从官网下载,默认选项即可
快速抓包
-
初始界面
-
选择网卡
双击选中的网卡
-
停止抓包
-
保存数据包
界面介绍
- 标题栏
- 菜单栏
- 工具栏
- 数据包过滤栏
- 数据包列表区
- 数据包详细区
- 数据包字节区
- 数据包统计区
Wireshark进阶调试
显示界面设置
显示大小
在菜单栏可调整字体显示大小
列设置
-
增加列
在
数据包详细区可选择想要作为列的信息,右键,应用为列,在数据包列表区即可显示相应增加的列
-
修改列
-
隐藏列
-
删除列
在
数据包列表区的列名右键,即可完成操作
时间设置
-
设置时间格式
在
视图里设置
-
设置参考时间
选择想要设置为参照点的数据包,右键,设置为时间参考
名字解析
-
功能:将MAC地址,IP地址,端口号等转换成名字,默认是开启MAC地址解析
-
开启名字解析
在Capture捕获里点击选项开启想要解析的
-
手工设置解析
在想要手动解析的数据包右键,编辑解析的名字
数据包操作
标记数据包
-
标记/高亮数据包
选择所想标记/高亮数据包,右键,标记分组
-
修改数据包颜色
-
直接在数据包列表修改
在数据包,右键,会话着色,可对不同协议设置不同颜色(仅对本次进程有效,程序重启恢复默认)
-
修改数据包默认颜色方案
在
视图里点击着色规则,在里面选择想要修改的数据包类型,通过修改前景,后景来修改默认颜色
-
注释数据包
功能:为数据包编写注释信息
在所想注释数据包右键,分组注释,写下自己的注释,然后在数据包详细区即可显示自己所写注释
合并数据包
功能:将两个数据包文件合并
在文件里点击合并,选择想要合并的数据包文件
打印数据包
在文件里点击Print
导出数据包
在文件里点击导出特定分组,选定导出的种类(All packets,Selected packet etc.)
导出为其他格式文件,如CSV格式
在文件里点击导出分组解析结果,选择想导出的类型
首选项设置
功能:设置默认软件参数
-
修改默认打开目录
在
编辑里点击首选项,点击Appearance里即可更改打开路径
-
修改用户界面
在
编辑里点击首选项,点击Appearance里的Layout,Columns,Font and Colors即可调整用户界面 -
修改抓包设置
功能:
- 网卡设置
- 抓包过滤器
- 多文件连续保存
- 停止抓包规则
- 名字解析
-
修改名字解析
都在编辑里点击首选项里面设置