1、,WireShark 檢測工具,Honeywell Technical Support Department QI Haoyu 2012-10,Wireshark簡介 功能界面介紹 捕捉過濾器 顯示過濾器 實(shí)例 統(tǒng)計(jì)工具,目 錄,Wireshark簡介,Wireshark是網(wǎng)絡(luò)包分析工具，前身是Ethereal，主要用來捕獲網(wǎng)絡(luò)包，并 顯示盡可能詳細(xì)的情況，具有以下特性： 在接口實(shí)時(shí)捕捉包 能詳細(xì)顯示包的詳細(xì)協(xié)議信息 可以打開/保存數(shù)據(jù)包 創(chuàng)建多種統(tǒng)計(jì)分析，可以采用多種方式過濾 可以導(dǎo)入導(dǎo)出其他捕捉程序支持的數(shù)據(jù)包格式 多種方式查找包 Wireshark的優(yōu)勢： 安裝方便。 簡單易用的界面。

2、提供豐富的功能,Wireshark簡介,網(wǎng)絡(luò)管理員使用Wireshark來檢測網(wǎng)絡(luò)問題，網(wǎng)絡(luò)安全工程師使用Wireshark來檢查資訊安全相關(guān)問題，開發(fā)者使用Wireshark來為新的通訊協(xié)定除錯(cuò)，普通使用者使用Wireshark來學(xué)習(xí)網(wǎng)絡(luò)協(xié)定的相關(guān)知識當(dāng)然，有的人也會 “居心叵測”的用它來尋找一些敏感信息 Wireshark不是入侵偵測軟件（Intrusion DetectionSoftware,IDS）。對于網(wǎng)絡(luò)上的異常流量行為，Wireshark不會產(chǎn)生警示或是任何提示。然而，仔細(xì)分析 Wireshark截取的數(shù)據(jù)包能夠幫助使用者對于網(wǎng)絡(luò)行為有更清楚的了解。Wireshark不會對網(wǎng)絡(luò)數(shù)

3、據(jù)包產(chǎn)生內(nèi)容的修改，它只會反映出目前流通的數(shù)據(jù)包資訊。 Wireshark本身也不會送出數(shù)據(jù)包至網(wǎng)絡(luò)上。,啟動后的界面,Wireshark簡介 功能界面介紹 捕捉過濾器 顯示過濾器 實(shí)例 統(tǒng)計(jì)工具,目 錄,MENUS （菜單）,SHORTCUTS（快捷方式）,DISPLAY FILTER （顯示過濾器）,PACKET LIST PANE（數(shù)據(jù)包列表),PACKET DETAILS PANE（數(shù)據(jù)包詳細(xì)信息）,DISSECTOR PANE （16進(jìn)制數(shù)據(jù)）,MISCELLANOUS（雜項(xiàng)）,File（文件） 打開或保存捕獲的信息。 Edit （編輯）查找或標(biāo)記數(shù)據(jù)包。進(jìn)行全局設(shè)置。 View（查

4、看） 設(shè)置Wireshark的視圖。 Go （轉(zhuǎn)到）跳轉(zhuǎn)到捕獲的數(shù)據(jù)。 Capture（捕獲）設(shè)置捕捉過濾器并開始捕捉。 Analyze（分析）設(shè)置分析選項(xiàng)。 Statistics （統(tǒng)計(jì)）查看Wireshark的統(tǒng)計(jì)信息。 Help （幫助）查看本地或者在線支持。,Help 幫助 Contents Wireshark 使用手冊 Supported Protocols Wireshark支持的協(xié)議清單 Manual Pages 使用手冊（HTML網(wǎng)頁） Wireshark Online Wireshark 在線 About Wireshark 關(guān)于Wireshark,ANSI 按照美國國家標(biāo)準(zhǔn)

5、協(xié)會的ANSI協(xié)議分析 Fax T38 Analysis. 按照T38傳真規(guī)范進(jìn)行分析 GSM 全球移動通信系統(tǒng)GSM的數(shù)據(jù) H.225 H.225 協(xié)議的數(shù)據(jù) MTP3 MTP3 協(xié)議的數(shù)據(jù) RTP 實(shí)時(shí)傳輸協(xié)議RTP的數(shù)據(jù) SCTP 數(shù)據(jù)流控制傳輸協(xié)議SCTP的數(shù)據(jù) SIP. 會話初始化協(xié)議SIP的數(shù)據(jù) VoIP Calls 互聯(lián)網(wǎng)IP電話的數(shù)據(jù) WAP-WSP 無線應(yīng)用協(xié)議WAP和WSP的數(shù)據(jù) BOOTP-DHCP 引導(dǎo)協(xié)議和動態(tài)主機(jī)配置協(xié)議的數(shù)據(jù) Destinations 通信目的端 Flow Graph 網(wǎng)絡(luò)通信流向圖 HTTP 超文本傳輸協(xié)議的數(shù)據(jù) IP address 互聯(lián)網(wǎng)IP

6、地址 ISUP Messages ISUP 協(xié)議的報(bào)文 Multicast Streams 多播數(shù)據(jù)流 ONC-RPC Programs Packet Length 數(shù)據(jù)包的長度 Port Type 傳輸層通信端口類型 TCP Stream Graph 傳輸控制協(xié)議TCP數(shù)據(jù)流波形圖,Statistics對已捕獲的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析 Summary 已捕獲數(shù)據(jù)文件的總統(tǒng)計(jì)概況 Protocol Hierarchy 數(shù)據(jù)中的協(xié)議類型和層次結(jié)構(gòu) Conversations 會話 Endpoints 定義統(tǒng)計(jì)分析的結(jié)束點(diǎn) IO Graphs 輸入/輸出數(shù)據(jù)流量圖 Conversation List

7、 會話列表 Endpoint List 統(tǒng)計(jì)分析結(jié)束點(diǎn)的列表 Service Response Time 從客戶端發(fā)出請求至收到服務(wù)器 響應(yīng)的時(shí)間間隔,Analyze 對已捕獲的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析 Display Filters 選擇顯示過濾器 Apply as Filter 將其應(yīng)用為過濾器 Prepare a Filter 設(shè)計(jì)一個(gè)過濾器 Firewall ACL Rules 防火墻ACL規(guī)則 Enabled Protocols 已可以分析的協(xié)議列表 Decode As 將網(wǎng)絡(luò)數(shù)據(jù)按某協(xié)議規(guī)則解碼 User Specified Decodes 用戶自定義的解碼規(guī)則 Follow TCP St

8、ream 跟蹤TCP傳輸控制協(xié)議的通信數(shù)據(jù)段， 將分散傳輸?shù)臄?shù)據(jù)組裝還原 Follow SSL stream 跟蹤SSL 安全套接層協(xié)議的通信數(shù)據(jù)流 Expert Info 專家分析信息 Expert Info Composite 構(gòu)造專家分析信息,Capture 捕獲網(wǎng)絡(luò)數(shù)據(jù) Interfaces 選擇本機(jī)的網(wǎng)絡(luò)接口 進(jìn)行數(shù)據(jù)捕獲 Options 捕獲參數(shù)選擇 Start 開始捕獲網(wǎng)絡(luò)數(shù)據(jù) Stop 停止捕獲網(wǎng)絡(luò)數(shù)據(jù) Restart 重新開始捕獲 Capture Filters 選擇捕獲過濾器,Go 運(yùn)行 Back 向后運(yùn)行 Forward 向前運(yùn)行 Go to packet 轉(zhuǎn)移到某數(shù)據(jù)包

9、 Go to Corresponding Packet 轉(zhuǎn)到相應(yīng)的數(shù)據(jù)包 Previous Packet 前一個(gè)數(shù)據(jù)包 Next Packet 下一個(gè)數(shù)據(jù)包 First Packet 第一個(gè)數(shù)據(jù)包 Last Packet 最后一個(gè)數(shù)據(jù)包,View 視圖 Main Toolbar 主工具欄 Filter Toolbar 過濾器工具欄 Wireless Toolbar 無線工具欄 Statusbar 運(yùn)行狀況工具欄 Packet List 數(shù)據(jù)包列表 Packet Details 數(shù)據(jù)包細(xì)節(jié) Packet Bytes 數(shù)據(jù)包字節(jié) Time Display Format 時(shí)間顯示格式 Name re

10、solution 名字解析（轉(zhuǎn)換： 域名/IP地址， 廠商名/MAC地址,端口號/端口名） Colorize Packet List 顏色標(biāo)識的數(shù)據(jù)包列表 Auto Scroll in Live Capture 現(xiàn)場捕獲時(shí)實(shí)時(shí)滾動 Zoom In 放大顯示 Zoom Out 縮小顯示 Normal Size 正常大小 Resize All Columns 改變所有列大小 Expand Sub trees 擴(kuò)展開數(shù)據(jù)包內(nèi)封裝協(xié)議的子樹結(jié)構(gòu) Expand All 全部擴(kuò)展開 Collapse All 全部折疊收縮 Coloring Rules 對不同類型的數(shù)據(jù)包用 不同顏色標(biāo)識的規(guī)則 Show P

11、acket in New Window 將數(shù)據(jù)包顯示在一個(gè)新的窗口 Reload 將數(shù)據(jù)文件重新加,Edit 編輯 Find Packet 搜索數(shù)據(jù)包 Find Next 搜索下一個(gè) Find Previous 搜索前一個(gè) Mark Packet (toggle) 對數(shù)據(jù)包做標(biāo)記（標(biāo)定） Find Next Mark 搜索下一個(gè)標(biāo)記的包 Find Previous Mark 搜索前一個(gè)標(biāo)記的包 Mark All Packets 對所有包做標(biāo)記 Unmark All Packets 去除所有包的標(biāo)記 Set Time Reference (toggle) 設(shè)置參考時(shí)間 （標(biāo)定） Find Nex

12、t Reference 搜索下一個(gè)參考點(diǎn) Find Previous Reference 搜索前一個(gè)參考點(diǎn) Preferences 參數(shù)選擇,File 打開文件 Open 打開文件 Open Recent 打開近期訪問過的文件 Merge 將幾個(gè)文件合并為一個(gè)文件 Close 關(guān)閉此文件 Save As 保存為 File Set 文件屬性 Export 文件輸出 Print 打印輸出 Quit 關(guān)閉,在菜單下面，是一些常用的快捷按鈕。 您可以將鼠標(biāo)指針移動到某個(gè)圖標(biāo)上以獲得其功能說明。,顯示過濾器用于查找捕捉記錄中的內(nèi)容。 請不要將捕捉過濾器和顯示過濾器的概念相混淆。請參考Wireshark過

13、濾器中的詳細(xì)內(nèi)容。,數(shù)據(jù)包列表中顯示所有已經(jīng)捕獲的數(shù)據(jù)包。在這里您可以看到發(fā)送或接收方的MAC/IP地址，TCP/UDP端口號，協(xié)議或者數(shù)據(jù)包的內(nèi)容。 如果捕獲的是一個(gè)OSI layer 2的數(shù)據(jù)包，在Source（來源）和Destination（目的地）列中看到的將是MAC地址，當(dāng)然，此時(shí)Port（端口）列將會為空。 如果捕獲的是一個(gè)OSI layer 3或者更高層的數(shù)據(jù)包，在Source（來源）和Destination（目的地）列中看到的將是IP地址。Port（端口）列僅會在這個(gè)數(shù)據(jù)包屬于第4或者更高層時(shí)才會顯示。 在Edit menu - Preferences下可以添加/刪除列或者改變

14、各列的顏色：,這里顯示的是在數(shù)據(jù)包列表中被選中項(xiàng)目的詳細(xì)信息。信息按照不同的OSI layer進(jìn)行了分組，可以展開每個(gè)項(xiàng)目查看。下面截圖中展開的是HTTP信息。,“解析器”在Wireshark中也被叫做“16進(jìn)制數(shù)據(jù)查看面板”。這里顯示的內(nèi)容與“數(shù)據(jù)包詳細(xì)信息”中相同，只是改為以16進(jìn)制的格式表述。在上面的例子里，我們在“數(shù)據(jù)包詳細(xì)信息”中選擇查看TCP端口（80），其對應(yīng)的16進(jìn)制數(shù)據(jù)將自動顯示在下面的面板中（0050）。,非混雜模式下抓包,非混雜模式指：WireShark只抓取指定網(wǎng)卡上的發(fā)出與接收的數(shù)據(jù)包，與指定網(wǎng)卡無關(guān)的數(shù)據(jù)包將被忽略。,混雜模式下抓包,混雜模式指：WireShark能

15、夠抓取主機(jī)所在局域網(wǎng)內(nèi)的全部網(wǎng)絡(luò)包，即局域網(wǎng)內(nèi)其他主機(jī)之間的通信數(shù)據(jù)包也能被抓獲，我們經(jīng)常使用此模式。,Wireshark簡介 功能界面介紹 捕捉過濾器 顯示過濾器 實(shí)例 統(tǒng)計(jì)工具,目 錄,點(diǎn)擊show the capture options,一：選擇本地的網(wǎng)絡(luò)適配器,二：設(shè)置捕捉過濾,填寫capture filter欄或者點(diǎn)擊capture filter按鈕為您的過濾器起一個(gè)名字并保存，以便在今后的捕捉中繼續(xù)使用這個(gè)過濾器。,語法： Protocol Direction Host(s) Logical Operations,Protocol（協(xié)議）: 可能的值: ether, fddi, i

16、p, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 如果沒有特別指明是什么協(xié)議，則默認(rèn)使用所有支持的協(xié)議。 Direction（方向）: 可能的值: src, dst, src and dst, src or dst 如果沒有特別指明來源或目的地，則默認(rèn)使用 src or dst 作為關(guān)鍵字。 例如，host 與src or dst host 是一樣的。 Host(s): 可能的值： net, port, host, portrange. 如果沒有指定此值，則默認(rèn)使用host關(guān)鍵字。 例如，src

17、 與src host 相同。 Logical Operations（邏輯運(yùn)算）: 可能的值：not, and, or. 否(“not”)具有最高的優(yōu)先級?；?“or”)和與(“and”)具有相同的優(yōu)先級，運(yùn)算時(shí)從左至右進(jìn)行。 例如， not tcp port 3128 and tcp port 23與(not tcp port 3128) and tcp port 23相同。 not tcp port 3128 and tcp port 23與not (tcp port 3128 and tcp port 23)不同。,例子,tcp dst port 3128

18、捕獲目的TCP端口為3128的數(shù)據(jù)包。 ip src host 捕獲來源IP地址為的數(shù)據(jù)包。 host 捕獲目的或來源IP地址為的數(shù)據(jù)包。 src portrange 2000-2500 捕獲來源為UDP或TCP，并且端口號在2000至2500范圍內(nèi)的數(shù)據(jù)包。 not icmp 捕獲除了icmp以外的所有數(shù)據(jù)包。（icmp通常被ping工具使用） src host 2 and not dst net /16 捕獲來源IP地址為2，但目的地不是/16的數(shù)據(jù)包

19、。 (src host 2 or src net /16) and tcp dst portrange 200-10000 and dst net /8 捕獲來源IP為2或者來源網(wǎng)絡(luò)為/16，目的地TCP端口號在200至10000之間，并且目的位于網(wǎng)絡(luò)/8內(nèi)的所有數(shù)據(jù)包。 可以在”ip”或”ether”后面使用”multicast”及”broadcast”關(guān)鍵字。 排除廣播請求時(shí)，用”no broadcast”,填寫capture filter欄或者點(diǎn)擊capture filter按鈕為您的過濾器起

20、一個(gè)名字并保存，以便在今后的捕捉中繼續(xù)使用這個(gè)過濾器。,三：點(diǎn)擊開始,Wireshark簡介 功能界面介紹 捕捉過濾器 顯示過濾器 實(shí)例 統(tǒng)計(jì)工具,目 錄,可以使用大量位于OSI模型第2至7層的協(xié)議。點(diǎn)擊Expression.按鈕后，可以看到它們。比如：IP，TCP，DNS，SSH,可以在如下所示位置找到所支持的協(xié)議：,Wireshark的網(wǎng)站提供了對各種 協(xié)議以及它們子類的說明。,Comparison operators （比較運(yùn)算符）: 可以使用6種比較運(yùn)算符：,Logical expressions（邏輯運(yùn)算符）: 被程序員們熟知的邏輯異或是一種排除性的或。當(dāng)其被用在過濾器的兩個(gè)條件之間

21、時(shí)，只有當(dāng)且僅當(dāng)其中的一個(gè)條件滿足時(shí)，這樣的結(jié)果才會被顯示在屏幕上。,例子： tcp.dstport=80 or tcp.dstport=1025 只有當(dāng)目的TCP端口為80或者來源于端口1025時(shí)，這樣的數(shù)據(jù)包才會被顯示。,例子： snmp | dns | icmp 顯示SNMP或DNS或ICMP數(shù)據(jù)包。 ip.addr = 顯示來源或目的IP地址為的數(shù)據(jù)包。 ip.src != or ip.dst != 顯示來源不為 或者 目的不為的數(shù)據(jù)包。 換句話說，顯示的數(shù)據(jù)包將會為： 來源IP：除了

22、以外任意；目的IP：任意 以及 來源IP：任意；目的IP：除了以外任意 ip.src != and ip.dst != 顯示來源不為并且目的IP不為的數(shù)據(jù)包。 換句話說，顯示的數(shù)據(jù)包將會為： 來源IP：除了以外任意；同時(shí)須滿足，目的IP：除了以外任意 tcp.port = 25 顯示來源或目的TCP端口號為25的數(shù)據(jù)包。 tcp.dstport = 25 顯示目的TCP端口號為25的數(shù)據(jù)包。 tcp.flags 顯示包含TCP標(biāo)志的數(shù)據(jù)包。 tcp.flags.syn = 0 x02 顯示包含TCP SYN標(biāo)志的數(shù)據(jù)包。 注意：如果過濾器的語法是正確的，表達(dá)式的背景呈綠色。如果呈紅色，說明表達(dá)式有誤