1.什么是Wireshark
Wireshark 是網(wǎng)絡(luò)包分析工具����,是今天能使用的好的開源網(wǎng)絡(luò)分析軟件。網(wǎng)絡(luò)包分析工具的主要作用是嘗試捕獲網(wǎng)絡(luò)包,并嘗試顯示包的盡可能詳細(xì)的情況�����。Wireshark是開源軟件項(xiàng)目���,用GPL協(xié)議發(fā)行����,所有的源代碼在GPL框架下都可以免費(fèi)使用�����。因?yàn)橐陨显�,人們可以很容易在Wireshark上添加新的協(xié)議��,或者將其作為插件整合到您的程序里���,這種應(yīng)用十分廣泛�。
1.1主要應(yīng)用
網(wǎng)絡(luò)管理員用來解決網(wǎng)絡(luò)問題
網(wǎng)絡(luò)安全工程師用來檢測安全隱患
開發(fā)人員用來測試協(xié)議執(zhí)行情況
用來學(xué)習(xí)網(wǎng)絡(luò)協(xié)議
1.2.特性
支持UNIX和Windows平臺(tái)
在接口實(shí)時(shí)捕捉包
能詳細(xì)顯示包的詳細(xì)協(xié)議信息
可以打開/保存捕捉的包
可以導(dǎo)入導(dǎo)出其他捕捉程序支持的包數(shù)據(jù)格式
可以通過多種方式過濾包
多種方式查找包
通過過濾以多種色彩顯示包
創(chuàng)建多種統(tǒng)計(jì)分析
…
1.3適合人群
網(wǎng)絡(luò)管理員
網(wǎng)絡(luò)工程師
安全工程師
IT運(yùn)維人員…
1.4 平臺(tái)支持
Windows��,linux�����,unix
1.5相關(guān)軟件
Sniffer,omnipeek�,fiddler,httpwatch,科學(xué)網(wǎng)絡(luò)分析系統(tǒng)
抓包原理
(1) 網(wǎng)絡(luò)原理
(a)本機(jī)環(huán)境:直接抓本機(jī)網(wǎng)卡進(jìn)出流量
b) 集線器環(huán)境:流量防洪,同一沖突域
C) 交換機(jī)環(huán)境:
端口鏡像
arp欺騙
mac泛洪
(2) 底層原理
① Win/libcap:wireshark抓包時(shí)依賴的庫文件
② Capture:抓包引擎���,利用Win/libcap從底層抓取網(wǎng)絡(luò)數(shù)據(jù)包���,Win/libcap提供通用生物抓包借口���,能從不同類型的網(wǎng)絡(luò)接口獲取數(shù)據(jù)包;
③ Wiretap:格式支持,從抓包文件中讀取數(shù)據(jù)包���,支持多種格式
④ Core:核心引擎��,通過函數(shù)調(diào)用將其他模塊連接在一起����,起到聯(lián)動(dòng)調(diào)度的作用
⑤ GTK 1/2:圖形處理工具�����,處理用戶的輸入輸出顯示
2.wireshark使用
2.1安裝流程
參考:https://jingyan.baidu.com/article/bad08e1e87d68209c9512153.html
2.2界面分析
2.3 Wireshark 主界面的操作菜單
File 打開文件
Open 打開文件
Open Recent 打開近期訪問過的文件
Merge…將幾個(gè)文件合并為一個(gè)文件
Close 關(guān)閉此文件
Save As…保存為…
File Set 文件屬性
Export 文件輸出
Print…打印輸出
Quit 關(guān)閉
Edit 編輯
Find Packet…搜索數(shù)據(jù)包
Find Next 搜索下一個(gè)
Find Previous 搜索前一個(gè)
Mark Packet (toggle) 對數(shù)據(jù)包做標(biāo)記(標(biāo)定)
Find Next Mark 搜索下一個(gè)標(biāo)記的包
Find Previous Mark 搜索前一個(gè)標(biāo)記的包
Mark All Packets 對所有包做標(biāo)記
Unmark All Packets 去除所有包的標(biāo)記
Set Time Reference (toggle) 設(shè)置參考時(shí)間(標(biāo)定)
Find Next Reference 搜索下一個(gè)參考點(diǎn)
Find Previous Reference 搜索前一個(gè)參考點(diǎn)
Preferences 參數(shù)選擇
View 視圖
Main Toolbar 主工具欄
Filter Toolbar 過濾器工具欄
Wireless Toolbar 無線工具欄
Statusbar 運(yùn)行狀況工具欄
Packet List 數(shù)據(jù)包列表
Packet Details 數(shù)據(jù)包細(xì)節(jié)
Packet Bytes 數(shù)據(jù)包字節(jié)
Time Display Format 時(shí)間顯示格式
Name resolution 名字解析(轉(zhuǎn)換:域名/IP地址����,廠商名/MAC地址,端口號(hào)/端口名)
Colorize Packet List 顏色標(biāo)識(shí)的數(shù)據(jù)包列表
Auto Scroll in Live Capture 現(xiàn)場捕獲時(shí)實(shí)時(shí)滾動(dòng)
Zoom In 放大顯示
Zoom Out 縮小顯示
Normal Size 正常大小
Resize All Columns 改變所有列大小
Expand Sub trees 擴(kuò)展開數(shù)據(jù)包內(nèi)封裝協(xié)議的子樹結(jié)構(gòu)
Expand All 全部擴(kuò)展開
Collapse All 全部折疊收縮
Coloring Rules…對不同類型的數(shù)據(jù)包用不同顏色標(biāo)識(shí)的規(guī)則
Show Packet in New Window 將數(shù)據(jù)包顯示在一個(gè)新的窗口
Reload 將數(shù)據(jù)文件重新加
Go 運(yùn)行
Back 向后運(yùn)行
Forward 向前運(yùn)行
Go to packet…轉(zhuǎn)移到某數(shù)據(jù)包
Go to Corresponding Packet 轉(zhuǎn)到相應(yīng)的數(shù)據(jù)包
Previous Packet 前一個(gè)數(shù)據(jù)包
Next Packet 下一個(gè)數(shù)據(jù)包
First Packet 第一個(gè)數(shù)據(jù)包
Last Packet 后一個(gè)數(shù)據(jù)包
Capture 捕獲網(wǎng)絡(luò)數(shù)據(jù)
Interfaces…選擇本機(jī)的網(wǎng)絡(luò)接口進(jìn)行數(shù)據(jù)捕獲
Options…捕獲參數(shù)選擇
Start 開始捕獲網(wǎng)絡(luò)數(shù)據(jù)
Stop 停止捕獲網(wǎng)絡(luò)數(shù)據(jù)
Restart 重新開始捕獲
Capture Filters…選擇捕獲過濾器
Analyze 對已捕獲的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析
Display Filters…選擇顯示過濾器
Apply as Filter 將其應(yīng)用為過濾器
Prepare a Filter 設(shè)計(jì)一個(gè)過濾器
Firewall ACL Rules 防火墻ACL規(guī)則
Enabled Protocols…已可以分析的協(xié)議列表
Decode As…將網(wǎng)絡(luò)數(shù)據(jù)按某協(xié)議規(guī)則解碼
User Specified Decodes…用戶自定義的解碼規(guī)則
Follow TCP Stream 跟蹤TCP傳輸控制協(xié)議的通信數(shù)據(jù)段��,將分散傳輸?shù)臄?shù)據(jù)組裝還原
Follow SSL stream 跟蹤SSL 安全套接層協(xié)議的通信數(shù)據(jù)流
Expert Info 專家分析信息
Expert Info Composite 構(gòu)造專家分析信息
Statistics對已捕獲的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析
Summary 已捕獲數(shù)據(jù)文件的總統(tǒng)計(jì)概況
Protocol Hierarchy 數(shù)據(jù)中的協(xié)議類型和層次結(jié)構(gòu)
Conversations 會(huì)話
Endpoints 定義統(tǒng)計(jì)分析的結(jié)束點(diǎn)
IO Graphs 輸入/輸出數(shù)據(jù)流量圖
Conversation List 會(huì)話列表
Endpoint List 統(tǒng)計(jì)分析結(jié)束點(diǎn)的列表
Service Response Time 從客戶端發(fā)出請求至收到服務(wù)器響應(yīng)的時(shí)間間隔
ANSI 按照美國標(biāo)準(zhǔn)協(xié)會(huì)的ANSI協(xié)議分析
Fax T38 Analysis... 按照T38傳真規(guī)范進(jìn)行分析
GSM 全球移動(dòng)通信系統(tǒng)GSM的數(shù)據(jù)
H.225 H.225協(xié)議的數(shù)據(jù)
MTP3 MTP3協(xié)議的數(shù)據(jù)
RTP 實(shí)時(shí)傳輸協(xié)議RTP的數(shù)據(jù)
SCTP 數(shù)據(jù)流控制傳輸協(xié)議SCTP的數(shù)據(jù)
SIP... 會(huì)話初始化協(xié)議SIP的數(shù)據(jù)
VoIP Calls 互聯(lián)網(wǎng)IP電話的數(shù)據(jù)
WAP-WSP 無線應(yīng)用協(xié)議WAP和WSP的數(shù)據(jù)
BOOTP-DHCP 引導(dǎo)協(xié)議和動(dòng)態(tài)主機(jī)配置協(xié)議的數(shù)據(jù)
Destinations…通信目的端
Flow Graph…網(wǎng)絡(luò)通信流向圖
HTTP 超文本傳輸協(xié)議的數(shù)據(jù)
IP address…互聯(lián)網(wǎng)IP地址
ISUP Messages… ISUP協(xié)議的報(bào)文
Multicast Streams 多播數(shù)據(jù)流
ONC-RPC Programs
Packet Length 數(shù)據(jù)包的長度
Port Type…傳輸層通信端口類型
TCP Stream Graph 傳輸控制協(xié)議TCP數(shù)據(jù)流波形圖
Help 幫助
Contents Wireshark 使用手冊
Supported Protocols Wireshark支持的協(xié)議清單
Manual Pages 使用手冊(HTML網(wǎng)頁)
Wireshark Online Wireshark 在線
About Wireshark 關(guān)于Wireshark
2.4 基本使用
(1) 選擇網(wǎng)絡(luò)接口�,并雙擊選擇的網(wǎng)卡啟動(dòng)抓包,如:雙擊以太網(wǎng)2
(2) 點(diǎn)擊紅框的按鈕以結(jié)束
(3)保存
(4) 數(shù)據(jù)解析
wireshark抓包工具如何使用
時(shí)間:2018-08-14 來源:未知
