Wireshark 使用說明(詳細中文版)_圖文

1、 Wireshark使用說明文檔(詳細中文版前言:由于wireshark在網上的使用說明文檔較少,并且在我們的日常的工作中該軟件基本每天都要接觸,因此寫下該文檔,只希望對該軟件有興趣的同學的學習能稍微有一點點的幫助。該文檔的出現(xiàn)完全要感謝我們的部門經理,要不是他的督促下可能到現(xiàn)在仍然沒有類似的介紹wireshark的文檔出現(xiàn)。由于每天的事情也比較多最近,以至于該文檔拖了很久才出現(xiàn)在大家面前,對此也深感無奈;該文檔只介紹wireshark的一些簡單的、常用的日常使用的方式,由于書寫者水平有限,致以該文檔在書寫的過程中可能避免不了會有一些錯誤以及不準確的地方,對于錯誤的、不準確的地方還請大家多多指

2、正、多多包涵。中新軟件有限公司技術中心:孫凱 目錄簡介- 61.1.、什么是Wireshark- 62.1、主要應用- 61.1.2. 特性 - 6 安裝- 72.1、windows平臺上的安裝 - 72.2、linux平臺上的安裝 -162.3、Ubuntu apt-get安裝方式 -28 界面概括 -33 5.1、顯示過濾器概括 -875.2、抓包過濾器概括 -966.1、TCP協(xié)議原理簡介及分析- 1046.2、HTTP協(xié)議原理簡介及分析 - 118 7.1、wireshark安裝問題 - 1297.2、wireshark顯示問題 - 132 簡介1.1.、什么是WiresharkWir

3、eshark 是網絡包分析工具。網絡包分析工具的主要作用是嘗試捕獲網絡包,并嘗試顯示包的盡可能詳細的情況。過去的此類工具要么是過于昂貴,要么是屬于某人私有,或者是二者兼顧。 Wireshark 出現(xiàn)以后,這種現(xiàn)狀得以改變。2.1、主要應用網絡管理員用來解決網絡通訊問題;網絡安全工程師用來檢測已知的和未知的安全隱患;開發(fā)人員用來測試協(xié)議執(zhí)行情況;用來學習網絡協(xié)議;除了上面提到的,Wireshark還可以用在其它許多場合。1.1.2. 特性支持UNIX和Windows平臺;在接口實時捕捉包;能詳細顯示包的詳細協(xié)議信息;可以打開/保存捕捉的包;可以導入導出其他捕捉程序支持的包數(shù)據(jù)格式;可以通過多種方

4、式過濾包;多種方式查找包;通過過濾以多種色彩顯示包; 創(chuàng)建多種統(tǒng)計分析;捕捉多種網絡接口;支持多種其它程序捕捉的文件;支持多格式輸出;對多種協(xié)議解碼提供支持;開源軟件;不管怎么說,要想真正了解它的強大,您還得使用它才行!安裝2.1、windows平臺上的安裝在互聯(lián)網搜索到我們想要安裝的軟件版本,執(zhí)行安裝包后彈出如下歡迎界面: 圖2-1-1 選擇“Next”我們進入到下一步安裝步驟; 圖2-1-2如圖2-1-2這一步wireshark會詢問我們需要安裝哪些程序組件。我們可以選擇性的安裝我們必須的一些wireshark附帶的工具;通常使用到的有:wireshark主程序(圖形界面、TSshark(

5、基于命令行的、plugins/extensions (wireshark以及TSshark的一些擴展插件等.在此我們選擇安裝全部組件程序后點擊“Next”進入到下一步安裝; 圖2-1-3如圖2-1-3所示在此界面wireshark安裝程序會詢問我們是否要在開始菜單(Start Menu Item、桌面快捷方式(Desktop Icon、快速啟動欄(Quick Launch Icon以及是否關聯(lián)所列出的后綴名文件。在此我們選擇建立桌面快捷方式并且關聯(lián)到列出后綴名文件后點擊“Next”進入到下一步安裝; 圖2-1-4如圖2-1-4所示wireshark詢問我們的安裝位臵。我們選擇F盤點擊“Next

6、”; 圖2-1-5圖2-1-5所示,wireshark安裝程序詢問我們是否安裝依賴軟件WinPcap 3.0(該軟件主要用于捕獲網絡底層數(shù)據(jù)包,假如您的電腦上已經安裝了該軟件,那么我們可以取消掉該軟甲的安裝。在此處由于我們沒有安裝過該軟件我們勾選該復選框后點擊“Install”執(zhí)行安裝; 圖2-1-6 圖2-1-7如圖2-1-7所示我們進入到WinPcap的安裝界面點擊“Next”進入到下一步安裝; 圖2-1-8如圖2-1-8點擊“Next”進行到WinPcap的下一步安裝操作; 圖2-1-9圖2-1-9所示,WinPcap詢問我們是否開機自動啟動WinPcap驅動程序。我們采取默認選項后點擊

7、“Install”; 圖2-1-10假如出現(xiàn)圖2-1-10的提示,那么就是您的電腦已經安裝了該類軟件,WinPcap詢問我們是否卸載以前所安裝的WinPcap。在此我們選擇“是”后WinPcap開始自動安裝; 圖2-1-11到了如圖2-1-11所示的界面后說名wireshark已經安裝成功了,點擊“Finish”后在桌面我們可以看到wireshark的快捷方式;2.2、linux平臺上的安裝首先安裝tcpdump需要先安裝libpcap,把我們下載到的tcpdump以及l(fā)ibpcap安裝包放在linux一個目錄下面,然后我們使用cd進入該目錄后執(zhí)行l(wèi)ibpcap的解壓操作。如下圖2-2-1,2

8、-2-2所示: 圖2-2-1 圖2-2-2 解壓完畢后的;libpca目錄如下圖2-2-3所示: 圖2-2-3我們進入到該目錄,然后執(zhí)行./configure然后執(zhí)行make&make install就開始安裝了;安裝完畢后的正常狀態(tài)如下圖2-2-4所示: 圖2-2-4然后我們進入到tcpdump文件的存放目錄,再次執(zhí)行解壓操作;如下圖2-2-5,2-2-6所示: 圖2-2-5 圖2-2-6 進入到tcpdump目錄下后我們一樣執(zhí)行./configure,完畢后我們再次執(zhí)行:make&make install;安裝完畢后我們就可以使用該軟件了;如下圖2-2-7,2-2-8所示:

9、 圖2-2-7 圖2-2-8Tcpdum軟件很早之前就有,在此只為了讓大家比較一下wireshark以及tcpdump的一些不同之處。如果大家對于tcpdump有興趣也可以自己去百度一下;我們在這里就不多做贅述了。首先輸入yum install wireshark-gnome,啟動wireshark以及依賴軟件包的下載;如圖2-2-9,2-2-10所示: 圖2-2-9 圖2-2-10如上圖2-2-10,我們輸入y回車后wireshark開始自動下載wireshark以及依賴軟件;下載完后系統(tǒng)會提示是否執(zhí)行wireshark以及一些相關軟件的安裝;如下圖2-2-11,2-2-12所示: 圖2-2

10、-11 圖2-2-12我們輸入y回車后系統(tǒng)將自動執(zhí)行一系列的軟件安裝;如下圖2-2-13,2-2-14所示: 圖2-2-13 圖2-2-14如上圖2-2-14,系統(tǒng)自動完成了wireshark以及相關依賴軟件的安裝;這時候我們輸入wireshark這條命令回車后發(fā)下報錯!如下圖2-2-15: 圖2-2-15ethereal和wireshark都是基于圖形的程序,所以我們使用ssh的遠程終端是無法運行的。比如說,使用ethereal命令就可以啟動它了,但是遠程終端會提示 Gtk-WARNING *: cannot open display:;遇到該問題怎么辦呢?我們可以使用對應的命令行程序 te

11、thereal;這條命令來啟動wireshark 進行數(shù)據(jù)包捕捉。如下圖:2-2-16所示: 圖2-2-16關于linux下的wireshark的安裝我們就講這么多,但是wireshark并不止這一種安裝方式,還有其他的一些更為可選的安裝方式。這些需要大家自己去慢慢的摸索發(fā)現(xiàn)了,我們在此對于wireshark在命令行界面的使用以及其他安裝方式就不做過多的解釋了。2.3、Ubuntu apt-get安裝方式首先打開Ubuntu終端,然后輸入apt-get install wireshark。系統(tǒng)會自動從軟件中心下載以及安裝wireshark,如下圖2-2-17所示: 圖2-2-17輸入Y回車后我

12、們繼續(xù)安裝過程;如下圖2-2-18,2-2-19所示: 圖2-2-18 圖2-2-19 自動處理依賴關系;如下圖2-2-20示: 圖2-2-20安裝完成后我們輸入:wireshark來啟動圖形化的界面程序;如下圖2-2-21,2-2-22所示: 圖2-2-21 圖2-2-22至此wireshark在Ubuntu系統(tǒng)上面的apt-get安裝方式就完成了,我們可以和在windows上一樣來使用wireshark來進行數(shù)據(jù)包捕捉操作了! 界面概括 圖3-1從圖3-1所示為wireshark的一個主界面概括信息,從圖中的紅色矩形框以及標注可看出wireshark 一共分為8塊。以下我們一一介紹各個板塊

13、的功能選項; 圖3-1-1如圖3-1-1所示帶顏色矩形框內,主菜單欄又分為6個子功能選項欄。從左至右依次為:抓包工具欄、文件工具欄、包定位工具欄、顏色以及滾動界面工具欄、數(shù)據(jù)包列表字體定義工具欄以及首選項工具欄;下面我們從左至右分別介紹各個工具欄的功能。如圖3-1-1紅色矩形框內所示,抓包工具欄顯示共有5個功能圖標。從左至右依次為: 列出計算機可以抓包的接口(與菜單-Capture-Interfaces功能相同; 定義抓包參數(shù)選項(與菜單-Capture-Options功能相同; 開始一個新的抓包操作(與菜單-Capture-Start功能相同; 停止抓包操作(與菜單-Capture-Stop

14、功能相同; 重新開始一個新的抓包操作(與菜單-Capture-Restart功能相同; 點擊圖標后,wireshark會自動彈出一個對話框,該對話框列出了我們計算機所安裝的網卡信息。從上面我們可以看出網卡的IP地址以及網卡的型號,在有數(shù)據(jù)包收發(fā)時候“Packets”字段會有數(shù)字滾動。如果計算機安裝了多塊網卡并且每個網卡配臵了多個IP地址的情況下,想針對某一塊網卡開始一個抓包操作可以根據(jù)IP地址或者MAC地址來區(qū)分不同的網卡。然后可直接點擊與網卡相對應的“Start”按鈕;如圖3-1-2,; 圖3-1-2 如果我們想對抓包動作做相應的設臵的話,我們可以點擊該圖標或者使用圖3-1-2所示的“Opt

15、ions”按鈕。在中文版界面該圖標被翻譯為“抓包參數(shù)選項”。點擊圖標后彈出一個對話框,該對話框主要如圖3-1-3所示分為以下5大塊:Capture(捕獲、Capture Files(抓包文件、Stop Capture(停止抓包、Display Options(查看設臵以及Name Resolution(名字映射。首先Capture列出了可以抓包的網卡,從圖3-1-4可以看出列出了我本機的一塊網卡,假如你主機裝了多塊網卡的話wireshark會一一列出來。你可以選擇特定的網卡捕捉進出該網卡的數(shù)據(jù)包;Capture on all interfaces(捕捉所有接口選擇該復選框后本機安裝的所有顯示到

16、網卡列表的網卡都會執(zhí)行數(shù)據(jù)包捕捉操作;Capture all in promiscuous mode (設臵網卡為雜合模式如果不選擇該復選框那么wireshark將只會捕捉本機網卡所發(fā)收的數(shù)據(jù)包而不會捕捉局域網其他主機所發(fā)出的數(shù)據(jù)包;在這里我們選擇默認操作。 Capture Files(捕捉數(shù)據(jù)包為文件這一欄如圖3-1-3所示有以下幾個選項:Use multiple files(使用多個文件、Use pcap-ng format (該功能Wireshark暫未正式支持、Next file every n megabyte(s (到達指定文件大小、Next file every n minute

17、s(s (到達指定時間、Ring buffer with n files (到達緩沖區(qū)指定文件數(shù)目以及Stop caputure after n file(s (到達指定文件數(shù)目;以上幾個選項有效前提是選擇了第一個即:Use multiple files(使用多個文件復選框時生效。 圖3-1-3如上圖3-1-3所示我們選擇了Use multiple files(使用多個文件、Next file every n megabyte(s (到達指定文件大小以及Stop caputure after n file(s (到達指定文件數(shù)目復選框后指定到達1024KB 時自動換一個新的文件進行存儲,存儲文

18、件到達2個時自動停止抓包進程。然后我們選擇“Browse”瀏覽到我們新建的.cap后綴名的文件(使用以上功能時候要新建一個后綴名為.cap的空文件,假如沒有指定 文件wireshark將找不到所要根據(jù)的文件名來自動創(chuàng)建文件,將會彈出如圖3-1-4所示錯誤信息。然后點擊“Start”按鈕執(zhí)行抓包操作。Wireshark會根據(jù)我們要求在抓取大小到1024KB(下拉菜單有多個存儲單位選項數(shù)據(jù)包后自動創(chuàng)建2個1M大小的.cap文件來對數(shù)據(jù)包進行存儲并且存儲文件數(shù)目達到2個時自動停止抓包。如圖3-1-5所示; 圖3-1-4 圖3-1-5除了上述根據(jù)抓取數(shù)據(jù)包大小變換文件外,我們還可以使用Next fil

19、e every n minutes(s (到達指定時間指定一個抓包時間來進行數(shù)據(jù)包抓取操作。如下圖3-1-6所示,我們選擇抓包時間為30秒(下拉菜單具有多個時間選項。點擊“Start”后wireshark執(zhí)行抓包操作; 圖3-1-6如上圖3-1-6所示,我們假如沒有選擇Stop caputure after n file(s (到達指定文件數(shù)目復選框,那么wireshark將每30秒創(chuàng)建一個新的.cap文件,并且會一直持續(xù)抓包除非人工手動停止。所以建議和Stop caputure after n file(s (到達指定文件數(shù)目該復選框聯(lián)合使用;Ring buffer with n files

20、(到達緩沖區(qū)指定文件數(shù)目該復選框是規(guī)定所抓取的數(shù)據(jù)包到達指定文件大小后覆蓋文件內容循環(huán)進行抓包。相應的操作如圖3-1-7所示: 圖3-1-7按上圖3-1-7配臵抓包操作,wireshark將會在抓包數(shù)量到達1M時自動創(chuàng)建第2個文件,當?shù)?個文件所存儲數(shù)據(jù)包數(shù)量也到達指定的1M時wireshark將會覆蓋之前第一個文件的內容。繼而繼續(xù)存儲新的數(shù)據(jù)包;Stop Capture(停止抓包:該欄具有與上面Capture fils 一欄類似的功能,也是限制抓取數(shù)據(jù)包數(shù)量,唯一不同的是該欄是先抓取后存儲即不用預先指定參照文件名。在此欄我們可以定義在抓取多少數(shù)據(jù)包之后停止抓包,抓取數(shù)據(jù)包到達多大存儲大小以及

21、抓包多長時間后停止抓包。假如我們選擇了如圖3-1-8所示配臵,那么wireshark將會在抓取了10個數(shù)據(jù)包之后停止抓包動作; 圖3-1-8如圖3-1-9所示,wireshark在抓取了10個數(shù)據(jù)包之后停止了抓包進程; 圖3-1-9除了按包數(shù)量捕捉外,我們還可以指定捕捉數(shù)據(jù)包到達指定大小以及捕捉動作執(zhí)行多長時間后停止抓包動作,方法是勾選相應的復選框后制定一個數(shù)值。在這里我們不在做過多贅述;Display Options(顯示設臵:顧名思義該選項與顯示有關,如下圖3-1-10所示,從上至下第一個復選框Update list of packets in real time (實時更新數(shù)據(jù)包列表此選

22、項相當于主菜單欄-顏色設臵欄- 圖標。勾選此選項wireshark在捕捉數(shù)據(jù)包時我們可以實時看到數(shù)據(jù)包被捕獲到,反之捕獲進行時的界面將會是如圖3-1-11所示,直到我們手動或者自動停止捕捉進程wireshark才會列出所捕捉到的數(shù)據(jù)包; 圖3-1-10 圖3-1-11從上圖3-1-11所示底部狀態(tài)欄紅色矩形框內,我們可以看到數(shù)據(jù)包一直在增加,說明wireshark在工作;依賴于Update list of packets in real time (實時更新數(shù)據(jù)包列表該選項工作的是Automatic scrolling in live capture (捕捉進行時自動滾動。Wireshark在

23、有數(shù)據(jù)進入時實時滾動包列表面板,這樣您將一直能看到最近的包。反之,則最新數(shù)據(jù)包會被放臵在行末,但不會自動滾動面板。假如我們不選擇Update list of packets in real time (實時更新數(shù)據(jù)包列表該選項的話,那么Automatic scrolling in live capture (捕捉進行時自動滾動選項將是灰色不可用狀態(tài)。Hide capture info dialog (隱藏捕捉信息對話框如果我們取消選擇該復選框,那么在wireshark 執(zhí)行捕捉進程時我們將看到一個數(shù)據(jù)包統(tǒng)計對話框。如圖3-1-12所示: 圖3-1-12依照數(shù)據(jù)包統(tǒng)計對話框我們可以看到在所有捕獲

24、到的數(shù)據(jù)包當中,哪種協(xié)議的數(shù)據(jù)包數(shù)量最多;可以根據(jù)實際應用情況選擇以上三項功能;最后要介紹的一項功能如圖3-1-10所示,Name Resolution (名稱解析:該欄有三個選項可選,依次為Enable MAC name resolution (開啟MAC地址名字解析、Enable network name resolution (開啟網絡地址名稱解析以及Enable transport name resolution (開啟傳輸協(xié)議解析。codes(ethers file 如果ARP解析錯誤,Wireshark會嘗試將以太網地址解析為已知設備名。這種解析需要用戶指定一個ethers文件為m

25、ac地址分配名稱。(e.g. 00:09:5b:01:02:03 -> homerouter.Ethernet manufacturer codes (manuf file 如果ARP解析和ethers文件都無法成功解析,Wireshark 會嘗試轉換mac地址的前三個字節(jié)為廠商名的縮寫。mac地址的前三個字節(jié)是IEEE為各廠商分配的獨立地址(通過前三個字節(jié)可以得出每個網絡設備的供應商,當然這些也是可以被篡改的。,(e.g.00:09:5b:01:02:03 -> Netgear_01:02:03.Enable network name resolution (開啟網絡地址名稱解析

26、:該功能開啟和不開啟基本無區(qū)別,建 議不要開啟;Enable transport name resolution (開啟傳輸協(xié)議解析:開啟該功能后,wireshark會對所抓取的TCP、UDP協(xié)議的數(shù)據(jù)包發(fā)送接收的端口自動解析為相對應的服務。例如我們該功能后wireshark會自動將發(fā)送至TCP端口80的數(shù)據(jù)包解析為相對應的HTTP服務。如圖3-1-13所示: 圖3-1-13如果我們不開啟此功能的話那么wireshark將只會顯示出所發(fā)送或接收數(shù)據(jù)包的端口號,而不會顯示該端口用于什么服務;在這里我們不在做過多的演示操作; 該圖標用于開始一個新的抓包操作,點擊后wireshark將會開始一個新的

27、抓包進程,如果您已經抓取了數(shù)據(jù)包(數(shù)據(jù)包列表存在數(shù)據(jù)包那么wireshark將會問您是不是對當前的數(shù)據(jù)包保存;如圖3-1-14所示: 3-1-14選擇“Continue without Saving”(繼續(xù)操作不做保存后wireshark將會開始一個新的抓包進程; 該圖標用于停止一個抓包進程。當我們捕捉到合適數(shù)量的數(shù)據(jù)包后,我們點擊該按鈕wireshark 將會停止抓包操作。這時我們即可對所抓取的數(shù)據(jù)包進行觀察; 重新開始一個新的抓包進程,如果我們沒有抓取到我們需要的數(shù)據(jù)包,那么可以點擊該按鈕重新開始抓包;類似于。在這里不再過多描述;如圖3-1-1黃色矩形框內所示,文件工具欄有六個圖標。他們分

28、別代表: 打開一個新的數(shù)據(jù)包文件;(與菜單欄-file-open相同 保存當前所抓取的數(shù)據(jù)包為文件;(與菜單欄-file-Save相同 關閉當前抓取的數(shù)據(jù)包列表顯示界面;(與菜單欄-file-Close相同 重新載入當前的抓取的數(shù)據(jù)包;(與菜單欄-View-Reload相同 打印當前捕捉的數(shù)據(jù)包;(與菜單欄-file-Print相同從以上介紹大家也可以看出,該工具欄主要用于數(shù)據(jù)包問價的操作。由于有些操作簡單在這里就不一 沒有任何反應,這時候我們點擊后可以看到HTTP傳輸?shù)哪康亩丝谟?0變成了HTTP。如圖3-1-16: (沒有做修改刷新前圖3-1-15 (修改刷新后圖3-1-16從以上兩幅圖紅色矩形框內可以看到wireshark把80端口解析為常用的HTTP協(xié)議。當然在此我們只是舉一個小小的示例,刷新功能還有其他的用法。這就需要大家實際操作中慢慢的來進行發(fā)現(xiàn)了;如圖3-1-1黃色矩形框內所示,該工具欄主用于數(shù)據(jù)包的定位操作。各圖標的功能如下: 該功能我們會在后續(xù)與抓包過濾器一起介紹; 在數(shù)據(jù)包列表向后顯示鼠標所點擊過的數(shù)據(jù)包; 在數(shù)據(jù)包列表向前顯示鼠標所點擊過的數(shù)據(jù)包; 定位到特定數(shù)據(jù)包序號;(點擊該按鈕會彈出對話框,指定