Wireshark介紹

1、實(shí)驗(yàn)一實(shí)驗(yàn)一Wireshark 介紹介紹王佳軍2014.10.92數(shù)據(jù)通信和計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)通信和計(jì)算機(jī)網(wǎng)絡(luò)王佳軍王佳軍 郵郵 箱：箱： 實(shí)驗(yàn)室：張江校區(qū)計(jì)算機(jī)樓實(shí)驗(yàn)室：張江校區(qū)計(jì)算機(jī)樓3143講解內(nèi)容講解內(nèi)容 基礎(chǔ)知識(shí)基礎(chǔ)知識(shí) Wireshark歷史歷史 Wireshark的功能特點(diǎn)的功能特點(diǎn) Wireshark的使用的使用4OSI 模型模型5Internet 參考模型參考模型6Internet參考模型參考模型 應(yīng)用層能與應(yīng)用程序界面溝通，以達(dá)到展示給用戶的目的。應(yīng)用層能與應(yīng)用程序界面溝通，以達(dá)到展示給用戶的目的。 在此常在此常見的協(xié)議有見的協(xié)議有: HTTP，HTTPS，F(xiàn)TP，TELNET

2、，SSH，SMTP，POP3等。等。 運(yùn)輸層在應(yīng)用層之下，為在不同主機(jī)上運(yùn)行的應(yīng)用進(jìn)程之間提供邏輯運(yùn)輸層在應(yīng)用層之下，為在不同主機(jī)上運(yùn)行的應(yīng)用進(jìn)程之間提供邏輯服務(wù)。在運(yùn)輸層中最普遍用到的協(xié)議是服務(wù)。在運(yùn)輸層中最普遍用到的協(xié)議是TCP協(xié)議和協(xié)議和UDP協(xié)議。盡管在協(xié)議。盡管在網(wǎng)絡(luò)中可能會(huì)發(fā)生分組丟失和重排序，但是網(wǎng)絡(luò)中可能會(huì)發(fā)生分組丟失和重排序，但是TCP能夠提供可靠的、順能夠提供可靠的、順序的數(shù)據(jù)傳輸，而序的數(shù)據(jù)傳輸，而 UDP是一個(gè)不可靠的傳輸協(xié)議。是一個(gè)不可靠的傳輸協(xié)議。 網(wǎng)絡(luò)層負(fù)責(zé)把傳送的數(shù)據(jù)從網(wǎng)絡(luò)中的一臺(tái)機(jī)器傳送到另一臺(tái)機(jī)器。在網(wǎng)絡(luò)層負(fù)責(zé)把傳送的數(shù)據(jù)從網(wǎng)絡(luò)中的一臺(tái)機(jī)器傳送到另一臺(tái)機(jī)器。

3、在網(wǎng)絡(luò)中，網(wǎng)絡(luò)中，Internet網(wǎng)絡(luò)中網(wǎng)絡(luò)層的協(xié)議是網(wǎng)絡(luò)中網(wǎng)絡(luò)層的協(xié)議是IP協(xié)議。它根據(jù)分組中的協(xié)議。它根據(jù)分組中的IP目的地址，盡力完成端到端（源主機(jī)與目的主機(jī)）的傳輸。目的地址，盡力完成端到端（源主機(jī)與目的主機(jī)）的傳輸。 網(wǎng)絡(luò)層通信的路徑由一系列通信鏈路組成，從源主機(jī)開始，經(jīng)過一系網(wǎng)絡(luò)層通信的路徑由一系列通信鏈路組成，從源主機(jī)開始，經(jīng)過一系列的網(wǎng)絡(luò)設(shè)備如路由器，在目的主機(jī)結(jié)束。分組是如何通過各段獨(dú)立列的網(wǎng)絡(luò)設(shè)備如路由器，在目的主機(jī)結(jié)束。分組是如何通過各段獨(dú)立鏈路的？數(shù)據(jù)鏈路層的任務(wù)是將網(wǎng)絡(luò)層的數(shù)據(jù)報(bào)通過路徑中的單段鏈鏈路的？數(shù)據(jù)鏈路層的任務(wù)是將網(wǎng)絡(luò)層的數(shù)據(jù)報(bào)通過路徑中的單段鏈路從一個(gè)節(jié)點(diǎn)

4、路從一個(gè)節(jié)點(diǎn)“移動(dòng)移動(dòng)”到臨近的節(jié)點(diǎn)到臨近的節(jié)點(diǎn)。7Wireshark 基本情況基本情況Wireshark 是網(wǎng)絡(luò)包分析工具是網(wǎng)絡(luò)包分析工具(packet sniffer)。網(wǎng)絡(luò)包分析工具的。網(wǎng)絡(luò)包分析工具的主要作用是嘗試捕獲網(wǎng)絡(luò)包，主要作用是嘗試捕獲網(wǎng)絡(luò)包， 并嘗試顯示包的盡可能詳細(xì)的情況并嘗試顯示包的盡可能詳細(xì)的情況，Wireshark可能是今天能使用的最好的可能是今天能使用的最好的開源開源網(wǎng)絡(luò)分析軟件網(wǎng)絡(luò)分析軟件目前最新開發(fā)版目前最新開發(fā)版1.12.0rc3，穩(wěn)定版，穩(wěn)定版1.12.1下載下載:免費(fèi)使用（免費(fèi)使用（GNU GPL 包括幫助文件）包括幫助文件）http:/www.wires

5、/download.html8Wiresahrk簡(jiǎn)史簡(jiǎn)史1997年，年，Gerald Combs 需要一個(gè)工具追蹤網(wǎng)絡(luò)問題并想學(xué)習(xí)網(wǎng)絡(luò)需要一個(gè)工具追蹤網(wǎng)絡(luò)問題并想學(xué)習(xí)網(wǎng)絡(luò)知識(shí)，開始開發(fā)知識(shí)，開始開發(fā)Ethereal (Wireshark項(xiàng)目以前的名稱項(xiàng)目以前的名稱)。1998年，年，0.2.0版誕生了。版誕生了。Gilbert Ramirez發(fā)現(xiàn)它的潛力，并為其開發(fā)了一個(gè)底層分解器。發(fā)現(xiàn)它的潛力，并為其開發(fā)了一個(gè)底層分解器。1998年年10月，月，Guy Harris開始為開始為Ethereal進(jìn)行改進(jìn)，并進(jìn)行改進(jìn)，并開開發(fā)分解器。發(fā)分解器。1998年以后，年以后，Richar

6、d Sharpe 開始從事開始從事Ethereal的分析及改進(jìn)。的分析及改進(jìn)。2006年，年，Ethereal項(xiàng)目更名為項(xiàng)目更名為WiresharkSource：/docs/wsug_html_chunked/ChIntroHistory.html9Wireshark功能功能支持支持UNIX和和Windows等多等多平臺(tái)平臺(tái)在接口實(shí)時(shí)捕捉包在接口實(shí)時(shí)捕捉包能詳細(xì)顯示包的詳細(xì)協(xié)議信息能詳細(xì)顯示包的詳細(xì)協(xié)議信息 可以打開可以打開/保存捕捉的包保存捕捉的包可以導(dǎo)入導(dǎo)出其他捕捉程序支持的包數(shù)據(jù)格式可以導(dǎo)入導(dǎo)出其他捕捉程序支持的包數(shù)據(jù)格式可以通過多種方式過

7、濾包可以通過多種方式過濾包多種方式查找包多種方式查找包通過過濾以多種色彩顯示包通過過濾以多種色彩顯示包創(chuàng)建多種統(tǒng)計(jì)分析創(chuàng)建多種統(tǒng)計(jì)分析10Wireshark實(shí)現(xiàn)實(shí)現(xiàn) 基于分解器（基于分解器（dissector） 網(wǎng)絡(luò)上每一層的協(xié)議都有對(duì)應(yīng)的分解器，分解器的作用是把每一層的網(wǎng)絡(luò)上每一層的協(xié)議都有對(duì)應(yīng)的分解器，分解器的作用是把每一層的信息分解，顯示出首部字段，把有效載荷字段（信息分解，顯示出首部字段，把有效載荷字段（payload）傳遞給向）傳遞給向上一層的分解器，以達(dá)到逐層分解的目的上一層的分解器，以達(dá)到逐層分解的目的 分解器有兩種實(shí)現(xiàn)方式：作為主程序中的模塊實(shí)現(xiàn)，或作為插件實(shí)現(xiàn)分解器有兩種實(shí)現(xiàn)

8、方式：作為主程序中的模塊實(shí)現(xiàn)，或作為插件實(shí)現(xiàn)11Wireshark不能做的事不能做的事 Wireshark不是入侵檢測(cè)系統(tǒng)。不是入侵檢測(cè)系統(tǒng)。 Wireshark不會(huì)處理網(wǎng)絡(luò)事務(wù)，它僅僅是不會(huì)處理網(wǎng)絡(luò)事務(wù)，它僅僅是“測(cè)量測(cè)量”(監(jiān)視監(jiān)視)網(wǎng)絡(luò)。網(wǎng)絡(luò)。12Wireshark 主界面主界面13Capture Options14Capture Options15Capture Options選項(xiàng)選項(xiàng) Interface: 指定在哪個(gè)接口（網(wǎng)卡）上抓包。單網(wǎng)卡下使用缺省的就可以了。如果同時(shí)擁有以太網(wǎng)接口和無線網(wǎng)絡(luò)接口，必須選擇一個(gè)進(jìn)行監(jiān)測(cè)。16Capture Options選項(xiàng)選項(xiàng) Use promi

9、scuous mode on all interfaces: 是否打開混雜模式。如果打開，抓取所有的數(shù)據(jù)包。一般情況下只需要監(jiān)聽本機(jī)收到或者發(fā)出的包，因此應(yīng)該關(guān)閉這個(gè)選項(xiàng)。 在混雜模式下，捕獲分組前，必須得到網(wǎng)絡(luò)管理員的允許或網(wǎng)絡(luò)用戶的同意。17Capture Options選項(xiàng)選項(xiàng) Capture Filter：抓包過濾器。只抓取滿足過濾規(guī)則的包，用在抓包：抓包過濾器。只抓取滿足過濾規(guī)則的包，用在抓包過程中限制捕獲的數(shù)據(jù)量。過程中限制捕獲的數(shù)據(jù)量。抓包過濾器使用的是抓包過濾器使用的是libcap過濾器語言，在過濾器語言，在Wireshark help中中有詳細(xì)的解釋?；窘Y(jié)構(gòu)是：有詳細(xì)的解釋

10、?；窘Y(jié)構(gòu)是： not primitive andor not primitive . 。例如例如: not tcp port 3389，tcp port http18Capture Options選項(xiàng)選項(xiàng) File：如果需要將抓到的包寫到文件中，在這里輸入文件名稱。：如果需要將抓到的包寫到文件中，在這里輸入文件名稱。use multiple files： 是否使用循環(huán)緩沖。注意，循環(huán)緩沖只有在寫文件是否使用循環(huán)緩沖。注意，循環(huán)緩沖只有在寫文件的時(shí)候才有效。如果使用了循環(huán)緩沖，還需要設(shè)置文件的數(shù)目，文件的時(shí)候才有效。如果使用了循環(huán)緩沖，還需要設(shè)置文件的數(shù)目，文件多大時(shí)回卷。多大時(shí)回卷。19Ca

11、pture Options選項(xiàng)選項(xiàng) 其他的項(xiàng)選缺省值就可以。其他的項(xiàng)選缺省值就可以。 Display options(顯示選項(xiàng)顯示選項(xiàng)):默認(rèn)情況下，分組的顯示與它們被捕獲默認(rèn)情況下，分組的顯示與它們被捕獲時(shí)的狀態(tài)不一樣?？梢赃x擇觀察實(shí)時(shí)更新的分組項(xiàng)，然后可選擇讓顯時(shí)的狀態(tài)不一樣?？梢赃x擇觀察實(shí)時(shí)更新的分組項(xiàng)，然后可選擇讓顯示屏自動(dòng)滾動(dòng)最后捕獲的分組。示屏自動(dòng)滾動(dòng)最后捕獲的分組。 Name resolution(名字解析名字解析):把分組中的數(shù)字轉(zhuǎn)化成名字。默認(rèn)把分組中的數(shù)字轉(zhuǎn)化成名字。默認(rèn)是是:MAC地址解析和傳輸名字解析。地址解析和傳輸名字解析。20Capture Options選項(xiàng)選項(xiàng)

12、Stop Capture Automatically After:控制在一定數(shù)量的分組、跟蹤記錄到達(dá)一定的大小或者一個(gè)特定的時(shí)控制在一定數(shù)量的分組、跟蹤記錄到達(dá)一定的大小或者一個(gè)特定的時(shí)間后停止跟蹤。間后停止跟蹤。 點(diǎn)擊點(diǎn)擊Start， Wireshark就開始捕獲分組并顯示捕獲統(tǒng)計(jì)窗口。就開始捕獲分組并顯示捕獲統(tǒng)計(jì)窗口。 點(diǎn)擊點(diǎn)擊Stop，停止捕獲。，停止捕獲。21Wireshark顯示過濾器顯示過濾器 顯示過濾器顯示過濾器:在顯示所有分組的同時(shí)限制所顯示的分組。在顯示所有分組的同時(shí)限制所顯示的分組。 可以根據(jù)可以根據(jù)協(xié)議、是否存在某個(gè)域、域值、域值之間的比較協(xié)議、是否存在某個(gè)域、域值、域值

13、之間的比較來查找你感來查找你感興趣的包興趣的包. 在在Wireshark窗口的左上角的窗口的左上角的Filter 中輸入過濾條件。中輸入過濾條件。 注意注意:只有在只有在Filter的背景是綠色，你設(shè)定的的背景是綠色，你設(shè)定的Filter是正確的。當(dāng)背景是正確的。當(dāng)背景是紅色的，說明你設(shè)定的是紅色的，說明你設(shè)定的Filter是是Wireshark不允許的不允許的。22Display Filter 值比較表達(dá)式可以使用下面的操作符值比較表達(dá)式可以使用下面的操作符:= , !=, , 表達(dá)式組合可以使用下面的邏輯操作符表達(dá)式組合可以使用下面的邏輯操作符:&, |, ! 例如例如:顯示從顯示

14、從IP發(fā)出和發(fā)往它的分組發(fā)出和發(fā)往它的分組: 輸入輸入( ip.dst = )|(ip.src = )查看使用查看使用tcp協(xié)議的包協(xié)議的包:輸入輸入tcp23通過界面設(shè)置通過界面設(shè)置Display Filter24Display Filter Reference Display Filter Reference：/docs/dfref/ 如：對(duì)于如：對(duì)于IP協(xié)議，顯示過濾器可參見協(xié)議，顯示過濾器可參見/docs/dfref/i/ip.h

15、tml25跟蹤記錄跟蹤記錄 在一定時(shí)間內(nèi)抓包，把跟蹤結(jié)果存放在一個(gè)文件中，如在一定時(shí)間內(nèi)抓包，把跟蹤結(jié)果存放在一個(gè)文件中，如test.cap文件文件中。中。 然后打開文件進(jìn)行查看。然后打開文件進(jìn)行查看。 對(duì)捕獲的分組進(jìn)行分析。對(duì)捕獲的分組進(jìn)行分析。26包分析包分析跟蹤列表框跟蹤列表框協(xié)議層框協(xié)議層框原始分組層原始分組層27列表框列表框 顯示所捕獲分組的列表顯示所捕獲分組的列表編號(hào)編號(hào)時(shí)間時(shí)間源源IPIP目的目的IPIP最高層協(xié)議最高層協(xié)議分組長度分組長度信息信息28協(xié)議層框協(xié)議層框 協(xié)議層框顯示所選分組的各層的分層協(xié)議協(xié)議層框顯示所選分組的各層的分層協(xié)議:鏈路層幀（鏈路層幀（frame）、網(wǎng)絡(luò)）、網(wǎng)絡(luò)層數(shù)據(jù)報(bào)（層數(shù)據(jù)報(bào)（datagram）、運(yùn)輸層的報(bào)文段（）、運(yùn)輸層的報(bào)文段（segment）、應(yīng)用層的）、應(yīng)用層