Wireshark簡介以及使用教程

2020-02-28 16:49:32

字體：大中小

來源：轉載

供稿：網友

　　一、簡介：

　　Wireshark(前稱 Ethereal)是一個網絡封包分析軟件。網絡封包分析軟件的功能是擷取網絡封包，并盡可能顯示出最為詳細的網絡封包資料。Wireshark 使用 WinPCAP 作為接口，直接與網卡進行數據報文交換。

　　網絡封包分析軟件的功能可想像成 "電工技師使用電表來量測電流、電壓、電阻" 的工作 - 只是將場景移植到網絡上，并將電線替換成網絡線。在過去，網絡封包分析軟件是非常昂貴的，或是專門屬于營利用的軟件。Ethereal 的出現改變了這一切。在 GNUGPL 通用許可證的保障范圍底下，使用者可以以免費的代價取得軟件與其源代碼，并擁有針對其源代碼修改及客制化的權利。Ethereal 是目前全世界最廣泛的網絡封包分析軟件之一。

　　網絡管理員使用 Wireshark 來檢測網絡問題，網絡安全工程師使用 Wireshark 來檢查資訊安全相關問題，開發者使用Wireshark 來為新的通訊協定除錯，普通使用者使用 Wireshark 來學習網絡協定的相關知識。當然，有的人也會“居心叵測”的用它來尋找一些敏感信息……

　　Wireshark 不是入侵偵測系統(Intrusion Detection System,IDS)。對于網絡上的異常流量行為，Wireshark 不會產生警示或是任何提示。然而，仔細分析 Wireshark 擷取的封包能夠幫助使用者對于網絡行為有更清楚的了解。Wireshark 不會對網絡封包產生內容的修改，它只會反映出目前流通的封包資訊。 Wireshark 本身也不會送出封包至網絡上。

　　wireshark 能獲取 HTTP，也能獲取 HTTPS，但是不能解密 HTTPS，所以 wireshark 看不懂 HTTPS 中的內容，如果是處理 HTTP，HTTPS 還是用 Fiddler，其他協議比如 TCP，UDP 就用 wireshark。同類產品：tcpview

　　二、工作流程：

　　(1)確定 Wireshark 的位置。如果沒有一個正確的位置，啟動 Wireshark 后會花費很長的時間捕獲一些與自己無關的數據。

　　(2)選擇捕獲接口。一般都是選擇連接到 Internet 網絡的接口，這樣才可以捕獲到與網絡相關的數據。否則，捕獲到的其它數據對自己也沒有任何幫助。

　　(3)使用捕獲過濾器。通過設置捕獲過濾器，可以避免產生過大的捕獲文件。這樣用戶在分析數據時，也不會受其它數據干擾。而且，還可以為用戶節約大量的時間。

　　(4)使用顯示過濾器。通常使用捕獲過濾器過濾后的數據，往往還是很復雜。為了使過濾的數據包再更細致，此時使用顯示過濾器進行過濾。

　　(5)使用著色規則。通常使用顯示過濾器過濾后的數據，都是有用的數據包。如果想更加突出的顯示某個會話，可以使用著色規則高亮顯示。

　　(6)構建圖表。如果想要更明顯的看出一個網絡中數據的變化情況，使用圖表的形式可以很方便的展現數據分布情況。

　　(7)重組數據。Wireshark 的重組功能，可以重組一個會話中不同數據包的信息，或者是一個重組一個完整的圖片或文件。由于傳輸的文件往往較大，所以信息分布在多個數據包中。為了能夠查看到整個圖片或文件，這時候就需要使用重組數據的方法來實現。

　　三、使用教程：

　　1、英文版界面菜單及布局：

　　2、捕捉過濾器：

　　捕捉過濾器的語法與其它使用Lipcap(Linux)或者Winpcap(Windows)庫開發的軟件一樣，比如著名的TCPdump。捕捉過濾器必須在開始捕捉前設置完畢，這一點跟顯示過濾器是不同的。

　　設置捕捉過濾器的步驟是：

　　- 選擇 capture -> options。

　　- 填寫"capture filter"欄或者點擊"capture filter"按鈕為您的過濾器起一個名字并保存，以便在今后的捕捉中繼續使用這個過濾器。

　　- 點擊開始(Start)進行捕捉。

　　語法：Protocol Direction Host(s) Value Logical Operations Other expression

　　例子：tcp dst 10.1.1.1 80 and tcp dst 10.2.2.2 3128

　　Protocol(協議):

　　可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.

　　如果沒有特別指明是什么協議，則默認使用所有支持的協議。

　　Direction(方向):

　　可能的值: src, dst, src and dst, src or dst

　　如果沒有特別指明來源或目的地，則默認使用 "src or dst" 作為關鍵字。

　　例如，"host 10.2.2.2"與"src or dst host 10.2.2.2"是一樣的。

　　Host(s):

　　可能的值： net, port, host, portrange.

　　如果沒有指定此值，則默認使用"host"關鍵字。

　　例如，"src 10.1.1.1"與"src host 10.1.1.1"相同。

　　Logical Operations(邏輯運算):

　　可能的值：not, and, or.

　　否("not")具有最高的優先級。或("or")和與("and")具有相同的優先級，運算時從左至右進行。例如，

　　"not tcp port 3128 and tcp port 23"與"(not tcp port 3128) and tcp port 23"相同。

　　"not tcp port 3128 and tcp port 23"與"not (tcp port 3128 and tcp port 23)"不同。

　　例子：

　　tcp dst port 3128 顯示目的TCP端口為3128的封包。

　　ip src host 10.1.1.1 顯示來源IP地址為10.1.1.1的封包。

　　host 10.1.2.3 顯示目的或來源IP地址為10.1.2.3的封包。

　　src portrange 2000-2500 顯示來源為UDP或TCP，并且端口號在2000至2500范圍內的封包。

　　not imcp 顯示除了icmp以外的所有封包。(icmp通常被ping工具使用)

　　src host 10.7.2.12 and not dst net 10.200.0.0/16 顯示來源IP地址為10.7.2.12，但目的地不是10.200.0.0/16的封包。

　　(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8 顯示來源IP為10.4.1.12或者來源網絡為10.6.0.0/16，目的地TCP端口號在200至10000之間，并且目的位于網絡10.0.0.0/8內的所有封包。

　　注意事項：

　　當使用關鍵字作為值時，需使用反斜杠“/”。

　　"ether proto /ip" (與關鍵字"ip"相同).

　　這樣寫將會以IP協議作為目標。

　　"ip proto /icmp" (與關鍵字"icmp"相同).

　　這樣寫將會以ping工具常用的icmp作為目標。

　　可以在"ip"或"ether"后面使用"multicast"及"broadcast"關鍵字。

　　當您想排除廣播請求時，"no broadcast"就會非常有用。

　　3、顯示過濾器：

　　通常經過捕捉過濾器過濾后的數據還是很復雜。此時您可以使用顯示過濾器進行更加細致的查找。

　　它的功能比捕捉過濾器更為強大，而且在您想修改過濾器條件時，并不需要重新捕捉一次。

　　語法：Protocol String 1 String 2 Comparison operator Value Logical Operations Other expression