一�、簡介:
Wireshark(前稱 Ethereal)是一個網絡封包分析軟件。網絡封包分析軟件的功能是擷取網絡封包�,并盡可能顯示出最為詳細的網絡封包資料。Wireshark 使用 WinPCAP 作為接口�,直接與網卡進行數據報文交換。
網絡封包分析軟件的功能可想像成 "電工技師使用電表來量測電流��、電壓���、電阻" 的工作 - 只是將場景移植到網絡上����,并將電線替換成網絡線�。在過去,網絡封包分析軟件是非常昂貴的���,或是專門屬于營利用的軟件�。Ethereal 的出現改變了這一切�����。在 GNUGPL 通用許可證的保障范圍底下���,使用者可以以免費的代價取得軟件與其源代碼��,并擁有針對其源代碼修改及客制化的權利����。Ethereal 是目前全世界最廣泛的網絡封包分析軟件之一���。
網絡管理員使用 Wireshark 來檢測網絡問題����,網絡安全工程師使用 Wireshark 來檢查資訊安全相關問題�����,開發者使用Wireshark 來為新的通訊協定除錯����,普通使用者使用 Wireshark 來學習網絡協定的相關知識。當然��,有的人也會“居心叵測”的用它來尋找一些敏感信息……
Wireshark 不是入侵偵測系統(Intrusion Detection System,IDS)���。對于網絡上的異常流量行為����,Wireshark 不會產生警示或是任何提示��。然而��,仔細分析 Wireshark 擷取的封包能夠幫助使用者對于網絡行為有更清楚的了解����。Wireshark 不會對網絡封包產生內容的修改�����,它只會反映出目前流通的封包資訊。 Wireshark 本身也不會送出封包至網絡上��。
wireshark 能獲取 HTTP��,也能獲取 HTTPS��,但是不能解密 HTTPS����,所以 wireshark 看不懂 HTTPS 中的內容��,如果是處理 HTTP�����,HTTPS 還是用 Fiddler��,其他協議比如 TCP��,UDP 就用 wireshark。同類產品:tcpview
二��、工作流程:
(1)確定 Wireshark 的位置�。如果沒有一個正確的位置,啟動 Wireshark 后會花費很長的時間捕獲一些與自己無關的數據����。
(2)選擇捕獲接口。一般都是選擇連接到 Internet 網絡的接口��,這樣才可以捕獲到與網絡相關的數據�����。否則�,捕獲到的其它數據對自己也沒有任何幫助�����。
(3)使用捕獲過濾器����。通過設置捕獲過濾器,可以避免產生過大的捕獲文件�。這樣用戶在分析數據時���,也不會受其它數據干擾。而且��,還可以為用戶節約大量的時間���。
(4)使用顯示過濾器�����。通常使用捕獲過濾器過濾后的數據����,往往還是很復雜。為了使過濾的數據包再更細致�,此時使用顯示過濾器進行過濾。
(5)使用著色規則�����。通常使用顯示過濾器過濾后的數據�,都是有用的數據包。如果想更加突出的顯示某個會話��,可以使用著色規則高亮顯示。
(6)構建圖表����。如果想要更明顯的看出一個網絡中數據的變化情況,使用圖表的形式可以很方便的展現數據分布情況����。
(7)重組數據。Wireshark 的重組功能����,可以重組一個會話中不同數據包的信息,或者是一個重組一個完整的圖片或文件�����。由于傳輸的文件往往較大�,所以信息分布在多個數據包中��。為了能夠查看到整個圖片或文件�,這時候就需要使用重組數據的方法來實現。
三�����、使用教程:
1��、英文版界面菜單及布局:
.jpg)
.jpg)
.jpg)
.jpg)
2�、捕捉過濾器:
捕捉過濾器的語法與其它使用Lipcap(Linux)或者Winpcap(Windows)庫開發的軟件一樣,比如著名的TCPdump�����。捕捉過濾器必須在開始捕捉前設置完畢�,這一點跟顯示過濾器是不同的。
設置捕捉過濾器的步驟是:
- 選擇 capture -> options�。
- 填寫"capture filter"欄或者點擊"capture filter"按鈕為您的過濾器起一個名字并保存����,以便在今后的捕捉中繼續使用這個過濾器。
- 點擊開始(Start)進行捕捉�����。
.jpg)
語法:Protocol Direction Host(s) Value Logical Operations Other expression
例子: tcp dst 10.1.1.1 80 and tcp dst 10.2.2.2 3128
Protocol(協議):
可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.
如果沒有特別指明是什么協議�����,則默認使用所有支持的協議���。
Direction(方向):
可能的值: src, dst, src and dst, src or dst
如果沒有特別指明來源或目的地��,則默認使用 "src or dst" 作為關鍵字�����。
例如��,"host 10.2.2.2"與"src or dst host 10.2.2.2"是一樣的�。
Host(s):
可能的值: net, port, host, portrange.
如果沒有指定此值,則默認使用"host"關鍵字���。
例如�����,"src 10.1.1.1"與"src host 10.1.1.1"相同�。
Logical Operations(邏輯運算):
可能的值:not, and, or.
否("not")具有最高的優先級���?����;?"or")和與("and")具有相同的優先級��,運算時從左至右進行��。例如����,
"not tcp port 3128 and tcp port 23"與"(not tcp port 3128) and tcp port 23"相同。
"not tcp port 3128 and tcp port 23"與"not (tcp port 3128 and tcp port 23)"不同�。
例子:
tcp dst port 3128 顯示目的TCP端口為3128的封包。
ip src host 10.1.1.1 顯示來源IP地址為10.1.1.1的封包�����。
host 10.1.2.3 顯示目的或來源IP地址為10.1.2.3的封包����。
src portrange 2000-2500 顯示來源為UDP或TCP���,并且端口號在2000至2500范圍內的封包�。
not imcp 顯示除了icmp以外的所有封包���。(icmp通常被ping工具使用)
src host 10.7.2.12 and not dst net 10.200.0.0/16 顯示來源IP地址為10.7.2.12��,但目的地不是10.200.0.0/16的封包�。
(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8 顯示來源IP為10.4.1.12或者來源網絡為10.6.0.0/16���,目的地TCP端口號在200至10000之間�����,并且目的位于網絡10.0.0.0/8內的所有封包�。
注意事項:
當使用關鍵字作為值時����,需使用反斜杠“/”。
"ether proto /ip" (與關鍵字"ip"相同).
這樣寫將會以IP協議作為目標����。
"ip proto /icmp" (與關鍵字"icmp"相同).
這樣寫將會以ping工具常用的icmp作為目標。
可以在"ip"或"ether"后面使用"multicast"及"broadcast"關鍵字���。
當您想排除廣播請求時���,"no broadcast"就會非常有用。
3�、顯示過濾器:
通常經過捕捉過濾器過濾后的數據還是很復雜。此時您可以使用顯示過濾器進行更加細致的查找。
它的功能比捕捉過濾器更為強大���,而且在您想修改過濾器條件時��,并不需要重新捕捉一次�����。
語法:Protocol String 1 String 2 Comparison operator Value Logical Operations Other expression
例子:ftp passive ip == 10.2.3.4 xor icmp.type
Protocol(協議):
您可以使用大量位于OSI模型第2至7層的協議�����。點擊"Expression..."按鈕后,您可以看到它們�。
比如:IP,TCP���,DNS��,SSH
.jpg)
.jpg)
Wireshark的網站提供了對各種 協議以及它們子類的說明。
.jpg)
.jpg)
.jpg)
四����、練習:
首次啟動:本案例的客戶端有 4 塊網卡,其中出口網卡被命名為 “28”�,使用 Wireshark 版本是 v2.0.1
.jpg)
雙擊 出口網卡 “28”,開始捕捉包�����?����;蛘邚牟藛伍_始此步�,注意勾選“混雜模式”:
.jpg)
正在對 網卡“28” 進行捕包:
.jpg)
滾屏設置:
.jpg)
封包列表(Packet List Pane)的面板中顯示:編號,時間戳��,源地址���,目標地址,協議�����,長度����,以及封包信息���。
不同的協議用了不同的顏色顯示,也可以修改這些顯示顏色的規則���, View ->Coloring Rules
.jpg)
保存后的本地文件:
查看 arp 協議的數據包:
.jpg)
查看與某個地址相關的握手:
.jpg)
