Wireshark工具1. Wireshark软件概述2. Wireshark下载3. Wireshark安装4 .页面介绍5.1网络接口选择5.2捕获规则设置5.3搜索目标数据包5.5 导出数据包文件5.7数据包5.8数据包分析5.9配置过滤器5.10统计摘要5.11会话统计5.12端点统计5.13流量统计图表5.14数据包传输分析图6 .实用过滤器表达式(ip、协议、端口、)
1. Wireshark软件介绍
Wireshark是一个网络分组分析工具,它捕获各种网络接口类型的分组,包括无线局域网接口网络。 数据包分析工具的主要作用是分析捕获的数据包,并尝试显示数据包的尽可能详细的信息。
Wireshark是一个开源软件项目,通过通用公共许可证(GPL )协议发布。 可以免费在任意数量的机器上使用,无需担心许可证和收费,所有源代码都可以在GPL框架下免费使用。 基于以上原因,人们可以很容易地在Wireshark中添加新协议,或者作为插件集成到自己的程序中,这样的应用非常广泛。
2. Wireshark下载FTP下载:
ftp://192.168.3.222/测试软件/wireshark-win32-1.11.2.1339076454.exe
官方网站:
wireshark官网
害怕麻烦和不便的学生们也不用担心。 笔者已经下载了软件包并上传到了CSDN )。 请点击链接下载。
笔者下载软件包(附带网络测试培训文档) )。
(注意:安装Wireshark之前必须安装WinPcap。 因为Wireshark只是一个显示工具,所以真正实现捕获的软件是WinPcap。 笔者上传的安装包中包含WinPcap,不需要单独下载安装。 )
3 .打开3. Wireshark安装程序Wireshark-win32-1.11.2.exe
如图所示,单击“下一步”
点击[I Agree],如图所示
如图所示,单击“下一步”
如图所示,单击“下一步”
设置安装路径,然后单击“下一步”。 图
如果计算机上没有安装WinPcap,请在此页面上选择安装。 单击“安装”开始安装Wireshark,如图所示
安装WinPcap,然后单击“下一步”。 图
点击[I Agree],如图所示
启动自启动功能,如图所示,单击“安装”
WinPcap安装成功。 单击“完成”。 图
单击“下一步”。 如图所示
单击[Finish],然后单击图注:Wireshark找不到网卡怎么办?
第一种方法:
在安全模式下启动计算机,删除c :windowssystem32drivers下的nvmini.sys,创建名为nvmini.sys的文本文件,然后单击属性只读nvmini.sys是系统驱动器文件,如果容易感染病毒,Wireshark将找不到网卡。 退出安全模式,重启电脑就可以了。
第二种方法:
在命令行中运行net start npf,如果无法打开,请单击“我的计算机”-“管理”-“设备管理器”,单击“查看”-“显示隐藏的设备”,找到net组包过滤器驱动程序类型再开始一次。 (有资料显示,网络上可以看到net组包过滤器驱动程序。 已用此方法排除可能中毒的文件夹,但未找到病毒)
4 .介绍页面启动Wireshark,打开首页。 图
单击Start进入类似照片的捕获界面
进入本地快照界面,如下图所示
Wireshark界面有五个部分:命令菜单(The Menus)。 “文件”和“捕获”菜单项是窗口顶部的标准弹出菜单。 “捕获”(Capture )项:选择要捕获其接口包的网卡; 选择选项,然后选择筛选包的条件。数据包显示过滤区域(The Packet Display Filter Field):在此区域中,输入协议名称或其他信息以过滤数据包列表窗口(以及标题、数据包主体窗口)中的信息。数据包列表窗口(The Packet List pane):将捕获的每个数据包显示为一行。 包括数据包编号(由Wireshark指定,而不是协议的第一部分的编号)、捕获数据包的时间、数据包的源和目标、协议类型以及数据包中的协议规范信息。 协议列(Protocol )列出发送或接收此包的顶层协议。 3358 www.Sina.com/:根据OSI七层模型显示选择数据包的结构,根据协议用不同的颜色显示,显示数据包的信息。 在包列表窗口中选择的(高亮度)包的详细信息)将光标移动到包的行上以分析一个包,然后单击鼠标左键),并显示这些信
息包括:以太数据帧、包含此数据包的IP数据报文。以太网和IP层等信息显示的数量可以缩放或最小化,这只要通过单击窗口内的“+” 和“-”就可以。如果数据包通过TCP或UDP传输,TCP与UDP的详细信息就显示出来,也可以简单的缩放和最小化。数据包字节窗口(The Packet Bytes pane):显示捕获到的每一帧的所有内容,用十六进制及ASCII显示。 点击Stop the running live capture,停止抓包,如图5. 常用功能介绍 5.1 网络接口选择
选择菜单项Capture->Interfaces,或点击“工具栏”左边第一个按钮,如图19。可以选择可用网络接口,点击“Start”按钮开始抓包,如图
选择菜单项Capture->Options,或点击“工具栏”左边第二个按钮,弹出Capture Options窗口,可以对抓包规则进行详细设定,如图
设置网卡是否为混杂捕获模式(Capture packets in promiscuous mode)
在普通模式下,Wireshark捕获满足以下条件的包:含本网卡地址单播包、具有多播地址且与本网卡地址配置相吻合的数据包、广播包,其他的包一律丢弃。
在混杂模式下,Wireshark除捕获上述类型的数据包外,接收所有经过网卡的数据包,包括不是发给本机的包,即不验证MAC地址。一般来说,混杂模式不会影响网卡的正常工作,多在网络监听工具上使用。
5.3 查找目标数据包菜单EditFind Packet,弹出查找数据包对话框,如图22。在对话框中输入要查找包的关键字或表达式就可以了,可以选择是针对过滤的包进行查找还是通过16进制值进行查找,或是通过字符串进行查找;查找到目标包以后可以通过ctrl+n组合键继续查找下一个;ctrl+b查找上一个。
常见错误:
在组合表达式中使用"!="操作符,像eth.addr,ip.addr,tcp.port,udp.port等元素可能会产生非预期效果。例如要构造表达式来排除ip地址为1.2.3.4的数据包,正确的表达式应该是 !(ip.addr == 1.2.3.4)而不是ip.addr != 1.2.3.4。
在数据包列表窗口中选择所需要的数据包,右键菜单选择Apply as Filter->selected,可以以选中的数据包作为过滤器,选择需要的数据包,如图
另外,也可以构建过滤表达式,来过滤那些不感兴趣的数据包。Wireshark提供了简单而强大的过滤语法,可以用它们建立复杂的过滤表达式。数据包列表窗口的每个字段都可以作为比较值,通过在许多不同的比较操作建立比较过滤。应用这些作为过滤将会仅显示包含该字段的包。例如:过滤字符串:TCP,将会显示所有包含TCP协议的包。
为了方便查找与操作,可以将感兴趣的包做上标记以便迅速找到,选中某个包,然后点击右键菜单,选择“dydzc packet”就可以了,如图
有时候需要将多个捕获文件合并到一起。例如:如果对多个接口同时进行捕获,合并就非常有用。可以使用如下方法合并捕获文件:
File->Merge,弹出合并捕获文件对话框,如图25。通过该对话框可以选择需要合并的文件,与当前打开的数据包文件进行合并。
可以通过以下三种方式合并:将数据包插入已存在文件前、按时间顺序合并文件、追加包到当前文件。
使用拖放功能,将多个文件同时拖放到主窗口。Wireshark会创建一个临时文件尝试对拖放的文件按时间顺序进行合并。如果只拖放一个文件,Wireshark只是简单地替换已经打开的文件。
5.7 数据包的导出file->Export,弹出导出数据包对话框,如图26。在该对话框中,可以选择要导出文件存放的路径。导出与保存的区别:用户通过导出可以自主选择要导出哪个数据包,而保存是保存当前软件捕获的所有数据包,不能对保存的具体数据包进行选择。有三种导出方式:导出所有的数据包;导出在数据包列表中选择的数据包;导出标记的数据包;导出第一个标记到最后一个标记的数据包;选择数据包的范围(如5,10,11-20)导出数据包。如果选择的范围内,有忽略的数据包,还可以选择移除忽略的数据包。
菜单Analyze->Expert Infos菜单项,或者点击下图中左下角的按钮
按钮为“红色”:捕获的数据包达到了Error类型;按钮为“黄色”:捕获的数据包达到了Warning类型;按钮为“绿色”:捕获的数据包类型达到了Notes类型;按钮为“蓝色”:捕获的数据包类型达到Chats类型)。可以查看Wireshark对捕获的数据包的分析,如图
弹出具体信息窗口,共有80条信息,如图
抓包结果的存放地址,丢包率查看,如图 5.9 设定过滤器Analyze->Display Filter,弹出过滤器列表,可以编辑过滤数据包依据的规则,修改可以通过先删除再添加实现,如图
创建过滤宏
Analyze->Display Filter Macros,是用来创建复杂显示过滤器的快捷方式的工具。
Statistics->Summary,弹出下面的窗口,如图33_1,33_2。统计摘要主要包括当前网络数据包文件的一些基本信息。比如文件名、文件大小、第一个包和最后一个包的时间戳、网络传输的相关统计等。如果设置了显示过滤,统计信息会显示成两列。Captured列显示过滤前的信息,Displayed列显示过滤后对应的信息。
5.11 会话统计一个网络会话,指的是两个特定端点之间发生的通信。例如,一个IP会话是两个IP地址间的所有通信。
Statistics->Conversations,弹出会话统计信息窗口,如图。在该窗口中,每个支持的协议,都显示为一个选项卡。选项标签显示被捕获端点数目(例如:“Ethernet:30”表示有30个Ethernet端点被捕获到)。如果某个协议没有端点被捕获到,选项标签显示为灰色。列表中每行显示单个端点的统计信息。
5.12 结束点统计从Statistics->Endpoints,打开数据包传送中按结束点统计的信息窗口,如图。
按照协议显示结束点的数据包的个数
会话统计与结束点统计的区别:会话统计是以数据包的接收发送端点进行的统计,结束统计是分别以数据包的两个端点为统计方式,进行的统计。
从Statistics->IO Graphs,弹出流量统计信息窗口,如图。
Wireshark根据用户配置生成曲线图。
用户可以对一下内容进行设置:
Statistics->Graph Analysis,弹出数据包传送的分析图,如图。
左侧一列为时间列,右侧一列是数据包的传送。从这里可以查看原地址和目标地址之间发送的数据包。
首先说几个最常用的关键字,“eq” 和 “==”等同,可以使用 “and” 表示并且,“or”表示或者。“!" 和 "not” 都表示取反。
针对wireshark最常用的自然是针对IP地址的过滤。其中有几种情况且对源地址为192.168.0.1的包的过滤,即抓取源地址满足要求的包。
表达式为:ip.src == 192.168.0.1
对目的地址为192.168.0.1的包的过滤,即抓取目的地址满足要求的包。
表达式为:ip.dst == 192.168.0.1
对源或者目的地址为192.168.0.1的包的过滤,即抓取满足源或者目的地址的ip地址是192.168.0.1的包。
表达式为:ip.addr == 192.168.0.1,
或者 ip.src == 192.168.0.1 or ip.dst == 192.168.0.1
要排除以上的数据包,我们只需要将其用括号囊括,然后使用 “!” 即可。
表达式为:!(表达式)
仅仅需要捕获某种协议的数据包,表达式很简单仅仅需要把协议的名字输入即可。
表达式为:http
需要捕获多种协议的数据包,也只需对协议进行逻辑组合即可。
表达式为:http or telnet (多种协议加上逻辑符号的组合即可)
排除某种协议的数据包
表达式为:not arp !tcp
表达式为:tcp.port == 80捕获多端口的数据包,可以使用and来连接,下面是捕获高端口的表达式
表达式为:udp.port >= 2048 针对长度和内容的过滤
针对长度的过虑(这里的长度指定的是数据段的长度)
表达式为:udp.length < 30 http.content_length <=20
针对数据包内容的过滤
表达式为:http.request.uri matches “vipscu” (匹配http请求中含有vipscu字段的请求信息)
通过以上的最基本的功能的学习,如果随意发挥,可以灵活应用,就基本上算是入门了。