Wireshark是世界上最流行的分析工具�����,這個工具可以捕獲網(wǎng)絡(luò)中的數(shù)據(jù),并為用戶提供有關(guān)網(wǎng)絡(luò)和上層協(xié)議的各種信息���,下文是武林技術(shù)頻道小編為您整理Wireshark的使用教程�,一起進(jìn)入下文了解一下吧��!
wireshark的原名是Ethereal�,新名字是2006年起用的����。當(dāng)時Ethereal的主要開發(fā)者決定離開他原來供職的公司����,并繼續(xù)開發(fā)這個軟件�。但由于Ethereal這個名稱的使用權(quán)已經(jīng)被原來那個公司注冊,Wireshark這個新名字也就應(yīng)運而生了�。
在成功運行Wireshark之后�����,我們就可以進(jìn)入下一步��,更進(jìn)一步了解這個強大的工具��。
下面是一張地址為192.168.1.2的計算機正在訪問“openmaniak.com”網(wǎng)站時的截圖����。
wireshark frontend
--------------------------------------------------------------------------------
1. MENUS(菜單)
2. SHORTCUTS(快捷方式)
3. DISPLAY FILTER(顯示過濾器)
4. PACKET LIST PANE(封包列表)
5. PACKET DETAILS PANE(封包詳細(xì)信息)
6. DISSECTOR PANE(16進(jìn)制數(shù)據(jù))
7. MISCELLANOUS(雜項)
--------------------------------------------------------------------------------
1. MENUS(菜單)
程序上方的8個菜單項用于對Wireshark進(jìn)行配置:
- "File"(文件)
- "Edit" (編輯)
- "View"(查看)
- "Go" (轉(zhuǎn)到)
- "Capture"(捕獲)
- "Analyze"(分析)
- "Statistics" (統(tǒng)計)
- "Help" (幫助)打開或保存捕獲的信息��。
查找或標(biāo)記封包�����。進(jìn)行全局設(shè)置��。
設(shè)置Wireshark的視圖����。
跳轉(zhuǎn)到捕獲的數(shù)據(jù)。
設(shè)置捕捉過濾器并開始捕捉����。
設(shè)置分析選項���。
查看Wireshark的統(tǒng)計信息����。
查看本地或者在線支持����。
2. SHORTCUTS(快捷方式)
在菜單下面�����,是一些常用的快捷按鈕����。
您可以將鼠標(biāo)指針移動到某個圖標(biāo)上以獲得其功能說明�。
3. DISPLAYFILTER(顯示過濾器)
顯示過濾器用于查找捕捉記錄中的內(nèi)容��。
請不要將捕捉過濾器和顯示過濾器的概念相混淆�����。請參考Wireshark過濾器中的詳細(xì)內(nèi)容��。
4. PACKET LISTPANE(封包列表)
封包列表中顯示所有已經(jīng)捕獲的封包����。在這里您可以看到發(fā)送或接收方的MAC/IP地址����,TCP/UDP端口號�����,協(xié)議或者封包的內(nèi)容�����。
如果捕獲的是一個OSI layer2的封包����,您在Source(來源)和Destination(目的地)列中看到的將是MAC地址,當(dāng)然�����,此時Port(端口)列將會為空���。
如果捕獲的是一個OSI layer3或者更高層的封包�����,您在Source(來源)和Destination(目的地)列中看到的將是IP地址��。Port(端口)列僅會在這個封包屬于第4或者更高層時才會顯示�����。
您可以在這里添加/刪除列或者改變各列的顏色:
Edit menu -> Preferences
5. PACKET DETAILSPANE(封包詳細(xì)信息)
這里顯示的是在封包列表中被選中項目的詳細(xì)信息。
信息按照不同的OSI layer進(jìn)行了分組�����,您可以展開每個項目查看��。下面截圖中展開的是HTTP信息����。
6. DISSECTOR PANE(16進(jìn)制數(shù)據(jù))
“解析器”在Wireshark中也被叫做“16進(jìn)制數(shù)據(jù)查看面板”���。這里顯示的內(nèi)容與“封包詳細(xì)信息”中相同����,只是改為以16進(jìn)制的格式表述����。
在上面的例子里����,我們在“封包詳細(xì)信息”中選擇查看TCP端口(80),其對應(yīng)的16進(jìn)制數(shù)據(jù)將自動顯示在下面的面板中(0050)�。
7. MISCELLANOUS(雜項)
在程序的最下端����,您可以獲得如下信息:
- - 正在進(jìn)行捕捉的網(wǎng)絡(luò)設(shè)備��。
- 捕捉是否已經(jīng)開始或已經(jīng)停止���。
- 捕捉結(jié)果的保存位置。
- 已捕捉的數(shù)據(jù)量����。
- 已捕捉封包的數(shù)量�����。(P)
- 顯示的封包數(shù)量���。(D) (經(jīng)過顯示過濾器過濾后仍然顯示的封包)
- 被標(biāo)記的封包數(shù)量。(M)
正如您在Wireshark教程第一部分看到的一樣�����,安裝����、運行Wireshark并開始分析網(wǎng)絡(luò)是非常簡單的����。
使用Wireshark時最常見的問題����,是當(dāng)您使用默認(rèn)設(shè)置時��,會得到大量冗余信息,以至于很難找到自己需要的部分���。
過猶不及��。
這就是為什么過濾器會如此重要����。它們可以幫助我們在龐雜的結(jié)果中迅速找到我們需要的信息��。
-
-捕捉過濾器:用于決定將什么樣的信息記錄在捕捉結(jié)果中�����。需要在開始捕捉前設(shè)置����。
顯示過濾器:在捕捉結(jié)果中進(jìn)行詳細(xì)查找��。他們可以在得到捕捉結(jié)果后隨意修改�。那么我應(yīng)該使用哪一種過濾器呢�����?
兩種過濾器的目的是不同的。
捕捉過濾器是數(shù)據(jù)經(jīng)過的第一層過濾器����,它用于控制捕捉數(shù)據(jù)的數(shù)量����,以避免產(chǎn)生過大的日志文件。
顯示過濾器是一種更為強大(復(fù)雜)的過濾器�。它允許您在日志文件中迅速準(zhǔn)確地找到所需要的記錄。
兩種過濾器使用的語法是完全不同的��。我們將在接下來的幾頁中對它們進(jìn)行介紹:
1. 捕捉過濾器
捕捉過濾器的語法與其它使用Lipcap(Linux)或者Winpcap(Windows)庫開發(fā)的軟件一樣����,比如著名的TCPdump�����。捕捉過濾器必須在開始捕捉前設(shè)置完畢��,這一點跟顯示過濾器是不同的�����。
設(shè)置捕捉過濾器的步驟是:
- 選擇 capture -> options����。
- 填寫"capture filter"欄或者點擊"capturefilter"按鈕為您的過濾器起一個名字并保存,以便在今后的捕捉中繼續(xù)使用這個過濾器����。
- 點擊開始(Start)進(jìn)行捕捉。
語法: Protocol Direction Host(s) Value Logical Operations Other expression
例子: tcp
dst 10.1.1.1 80 and tcp dst 10.2.2.2 3128
Wireshark圖解教程(簡介��、抓包����、過濾器) Protocol(協(xié)議):
可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.
如果沒有特別指明是什么協(xié)議,則默認(rèn)使用所有支持的協(xié)議��。
Wireshark圖解教程(簡介����、抓包、過濾器) Direction(方向):
可能的值: src, dst, src and dst, src or dst
如果沒有特別指明來源或目的地�,則默認(rèn)使用 "src or dst" 作為關(guān)鍵字��。
例如��,"host 10.2.2.2"與"src or dst host 10.2.2.2"是一樣的�����。
Wireshark圖解教程(簡介��、抓包�、過濾器) Host(s):
可能的值: net, port, host, portrange.
如果沒有指定此值���,則默認(rèn)使用"host"關(guān)鍵字����。
例如����,"src 10.1.1.1"與"src host 10.1.1.1"相同��。
Wireshark圖解教程(簡介、抓包��、過濾器) Logical Operations(邏輯運算):
可能的值:not, and, or.
否("not")具有最高的優(yōu)先級�。或("or")和與("and")具有相同的優(yōu)先級�����,運算時從左至右進(jìn)行����。
例如��,
"not tcp port 3128 and tcp port 23"與"(not tcp port 3128) and tcp port 23"相同�。
"not tcp port 3128 and tcp port 23"與"not (tcp port 3128 and tcp port 23)"不同。
例子:
tcp dst port 3128顯示目的TCP端口為3128的封包�����。
ip src host 10.1.1.1顯示來源IP地址為10.1.1.1的封包�����。
host 10.1.2.3顯示目的或來源IP地址為10.1.2.3的封包��。
src portrange 2000-2500顯示來源為UDP或TCP���,并且端口號在2000至2500范圍內(nèi)的封包。
not imcp顯示除了icmp以外的所有封包��。(icmp通常被ping工具使用)
src host 10.7.2.12 and not dst net 10.200.0.0/16顯示來源IP地址為10.7.2.12�,但目的地不是10.200.0.0/16的封包����。
(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dstportrange 200-10000 and dst net 10.0.0.0/8顯示來源IP為10.4.1.12或者來源網(wǎng)絡(luò)為10.6.0.0/16,目的地TCP端口號在200至10000之間����,并且目的位于網(wǎng)絡(luò)10.0.0.0/8內(nèi)的所有封包。
注意事項:
當(dāng)使用關(guān)鍵字作為值時�,需使用反斜杠“/”。
"ether proto /ip" (與關(guān)鍵字"ip"相同).
這樣寫將會以IP協(xié)議作為目標(biāo)�����。
"ip proto /icmp" (與關(guān)鍵字"icmp"相同).
這樣寫將會以ping工具常用的icmp作為目標(biāo)��。
可以在"ip"或"ether"后面使用"multicast"及"broadcast"關(guān)鍵字�。
當(dāng)您想排除廣播請求時,"no broadcast"就會非常有用��。
查看 TCPdump的主頁以獲得更詳細(xì)的捕捉過濾器語法說明�。
在Wiki Wireshark website上可以找到更多捕捉過濾器的例子����。
2. 顯示過濾器:
通常經(jīng)過捕捉過濾器過濾后的數(shù)據(jù)還是很復(fù)雜。此時您可以使用顯示過濾器進(jìn)行更加細(xì)致的查找�����。
它的功能比捕捉過濾器更為強大�,而且在您想修改過濾器條件時,并不需要重新捕捉一次���。
| 語法: | | Protocol | . | String 1 | . | String 2 | | Comparison
operator | | Value | | Logical
Operations | | Other
expression |
| 例子: | | ftp | | passive | | ip | | == | | 10.2.3.4 | | xor | | icmp.type |
Protocol(協(xié)議):
您可以使用大量位于OSI模型第2至7層的協(xié)議�。點擊"Expression..."按鈕后��,您可以看到它們���。
比如:IP����,TCP����,DNS,SSH
您同樣可以在如下所示位置找到所支持的協(xié)議:
Wireshark的網(wǎng)站提供了對各種 協(xié)議以及它們子類的說明�����。
String1,String2 (可選項):
協(xié)議的子類����。
點擊相關(guān)父類旁的"+"號�,然后選擇其子類�。
Comparisonoperators (比較運算符):
可以使用6種比較運算符:
| 英文寫法: | C語言寫法: | 含義: |
| eq | == | 等于 |
| ne | != | 不等于 |
| gt | > | 大于 |
| lt | < | 小于 |
| ge | >= | 大于等于 |
| le | <= | 小于等于 |
Logical expressions(邏輯運算符):
| 英文寫法: | C語言寫法: | 含義: |
| and | && | 邏輯與 |
| or | || | 邏輯或 |
| xor | ^^ | 邏輯異或 |
| not | ! | 邏輯非 |
被程序員們熟知的邏輯異或是一種排除性的或�����。當(dāng)其被用在過濾器的兩個條件之間時����,只有當(dāng)且僅當(dāng)其中的一個條件滿足時����,這樣的結(jié)果才會被顯示在屏幕上。
讓我們舉個例子:
"tcp.dstport 80 xor tcp.dstport 1025"
只有當(dāng)目的TCP端口為80或者來源于端口1025(但又不能同時滿足這兩點)時�����,這樣的封包才會被顯示��。
例子:
snmp || dns || icmp 顯示SNMP或DNS或ICMP封包��。
ip.addr == 10.1.1.1
顯示來源或目的IP地址為10.1.1.1的封包����。
ip.src != 10.1.2.3 or ip.dst != 10.4.5.6
顯示來源不為10.1.2.3或者目的不為10.4.5.6的封包�。
換句話說�����,顯示的封包將會為:
來源IP:除了10.1.2.3以外任意;目的IP:任意
以及
來源IP:任意����;目的IP:除了10.4.5.6以外任意
ip.src != 10.1.2.3 and ip.dst != 10.4.5.6
顯示來源不為10.1.2.3并且目的IP不為10.4.5.6的封包�。
換句話說,顯示的封包將會為:
來源IP:除了10.1.2.3以外任意��;同時須滿足����,目的IP:除了10.4.5.6以外任意
tcp.port == 25 顯示來源或目的TCP端口號為25的封包�。
tcp.dstport == 25 顯示目的TCP端口號為25的封包。
tcp.flags 顯示包含TCP標(biāo)志的封包���。
tcp.flags.syn == 0x02 顯示包含TCP SYN標(biāo)志的封包。
如果過濾器的語法是正確的����,表達(dá)式的背景呈綠色���。如果呈紅色,說明表達(dá)式有誤����。
表達(dá)式正確
表達(dá)式錯誤
上文是Wireshark的使用教程,相信大家都有了一定的了解����,想要了解更多的技術(shù)信息���,請繼續(xù)關(guān)注武林技術(shù)頻道吧��!
