《Wireshark使用教程(全面剖析TCPIP分析必备)》由会员分享,可在线阅读,更多相关《Wireshark使用教程(全面剖析TCPIP分析必备)(86页珍藏版)》请在金锄头文库上搜索。
1、WiresharkWireshark 经典学习书籍经典学习书籍WiresharkWireshark 使用方法全面剖析使用方法全面剖析第第 1 1 章章 介绍介绍1.1.1.1. 什么是什么是 WiresharkWireshark?WiresharkWireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包,是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包, 并尝试显示包的尽可能详细的情况。并尝试显示包的尽可能详细的情况。你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具,就好像使电工用来测量进入电信你可以把网络包分析工具当成是一种用来测量有什
2、么东西从网线上进出的测量工具,就好像使电工用来测量进入电信 的电量的电度表一样。(当然比那个更高级)的电量的电度表一样。(当然比那个更高级) 过去的此类工具要么是过于昂贵,要么是属于某人私有,或者是二者兼顾。过去的此类工具要么是过于昂贵,要么是属于某人私有,或者是二者兼顾。 WiresharkWireshark 出现以后,这种现状得以改出现以后,这种现状得以改 变。变。WiresharkWireshark 可能算得上是今天能使用的最好的开元网络分析软件。可能算得上是今天能使用的最好的开元网络分析软件。1.1.1.1.1.1. 主要应用主要应用下面是下面是 WiresharkWireshark
3、一些应用的举例:一些应用的举例:网络管理员用来解决网络问题网络管理员用来解决网络问题网络安全工程师用来检测安全隐患网络安全工程师用来检测安全隐患开发人员用来测试协议执行情况开发人员用来测试协议执行情况用来学习网络协议用来学习网络协议除了上面提到的,除了上面提到的,WiresharkWireshark 还可以用在其它许多场合。还可以用在其它许多场合。1.1.2.1.1.2. 特性特性支持支持 UNIXUNIX 和和 WindowsWindows 平台平台 在接口实时捕捉包在接口实时捕捉包能详细显示包的详细协议信息能详细显示包的详细协议信息 可以打开可以打开/ /保存捕捉的包保存捕捉的包可以导入导
4、出其他捕捉程序支持的包数据格式可以导入导出其他捕捉程序支持的包数据格式可以通过多种方式过滤包可以通过多种方式过滤包多种方式查找包多种方式查找包通过过滤以多种色彩显示包通过过滤以多种色彩显示包创建多种统计分析创建多种统计分析还有许多还有许多不管怎么说,要想真正了解它的强大,您还得使用它才行不管怎么说,要想真正了解它的强大,您还得使用它才行图图 1.1.1.1. WiresharkWireshark 捕捉包并允许您检视其内捕捉包并允许您检视其内1.1.3.1.1.3. 捕捉多种网络接口捕捉多种网络接口WiresharkWireshark 可以捕捉多种网络接口类型的包,哪怕是无线局域网接口。想了解支
5、持的所有网络接口类型,可以捕捉多种网络接口类型的包,哪怕是无线局域网接口。想了解支持的所有网络接口类型, 可以在我可以在我 们的网站上找到们的网站上找到 http:/wiki.wireshark.org/CaptureSetup/NetworkMedia.http:/wiki.wireshark.org/CaptureSetup/NetworkMedia.1.1.4.1.1.4. 支持多种其它程序捕捉的文件支持多种其它程序捕捉的文件WiresharkWireshark 可以打开多种网络分析软件捕捉的包,详见可以打开多种网络分析软件捕捉的包,详见?1.1.5.1.1.5. 支持多格式输出支持多格
6、式输出WiesharkWieshark 可以将捕捉文件输出为多种其他捕捉软件支持的格式,详见可以将捕捉文件输出为多种其他捕捉软件支持的格式,详见?1.1.6.1.1.6. 对多种协议解码提供支持对多种协议解码提供支持可以支持许多协议的解码可以支持许多协议的解码( (在在 WiresharkWireshark 中可能被称为解剖中可能被称为解剖)?)?1.1.7.1.1.7. 开源软件开源软件WiresharkWireshark 是开源软件项目,用是开源软件项目,用 GPLGPL 协议发行。您可以免费在协议发行。您可以免费在 任意数量的机器上使用它,不用担心授权和付费问题,任意数量的机器上使用它,
7、不用担心授权和付费问题, 所有的源代码在所有的源代码在 GPLGPL 框架下都可以免费使用。因为以上原因,人们可以很容易在框架下都可以免费使用。因为以上原因,人们可以很容易在 WiresharkWireshark 上添加新的协议,或者将上添加新的协议,或者将 其作为插件整合到您的程序里,这种应用十分广泛。其作为插件整合到您的程序里,这种应用十分广泛。1.1.8.1.1.8. WiresharkWireshark 不能做的事不能做的事WiresharkWireshark 不能提供如下功能不能提供如下功能 WiresharkWireshark 不是入侵检测系统。如果他不是入侵检测系统。如果他/ /
8、她在您的网络做了一些他她在您的网络做了一些他/ /她们不被允许的奇怪的事情,她们不被允许的奇怪的事情,WiresharkWireshark 不不 会警告您。但是如果发生了奇怪的事情,会警告您。但是如果发生了奇怪的事情,WiresharkWireshark 可能对察看发生了什么会有所帮助。可能对察看发生了什么会有所帮助。 3 3 WiresharkWireshark 不会处理网络事务,它仅仅是不会处理网络事务,它仅仅是“测量测量”(”(监视监视) )网络。网络。WiresharkWireshark 不会发送网络包或做其它交互性的不会发送网络包或做其它交互性的 事情(名称解析除外,但您也可以禁止解
9、析)。事情(名称解析除外,但您也可以禁止解析)。1.2.1.2. 系通需求系通需求想要安装运行想要安装运行 WiresharkWireshark 需要具备的软硬件条件需要具备的软硬件条件.1.2.1.1.2.1. 一般说明一般说明给出的值只是最小需求,在大多数网络中可以正常使用,但不排除某些情况下不能使用。给出的值只是最小需求,在大多数网络中可以正常使用,但不排除某些情况下不能使用。 4 4 在繁忙的网络中捕捉包将很容塞满您的硬盘!举个简单的例子:在在繁忙的网络中捕捉包将很容塞满您的硬盘!举个简单的例子:在 100MBIT/s100MBIT/s 全双工以太网中捕捉数据将会产全双工以太网中捕捉数
10、据将会产 生生 750MByties/min750MByties/min 的数据!在此类网络中拥有高速的的数据!在此类网络中拥有高速的 CPUCPU,大量的内存和足够的磁盘空间是十分有必要的。,大量的内存和足够的磁盘空间是十分有必要的。如果如果 WiresharkWireshark 运行时内存不足将会导致异常终止。可以在运行时内存不足将会导致异常终止。可以在 http:/wiki.wireshark.org/KnownBugs/OutOfMemoryhttp:/wiki.wireshark.org/KnownBugs/OutOfMemory 察看详细介绍以及解决办法。察看详细介绍以及解决办法。
11、WiresharkWireshark 作为对处理器时间敏感任务,在多处理器作为对处理器时间敏感任务,在多处理器/ /多线程系统环境工作不会比单独处理器有更快的速度,多线程系统环境工作不会比单独处理器有更快的速度, 例如过滤包就是在一个处理器下线程运行,除了以下情况例外:在捕捉包时例如过滤包就是在一个处理器下线程运行,除了以下情况例外:在捕捉包时“实时更新包列表实时更新包列表”,此时捕捉包,此时捕捉包 将会运行在一个处理下,显示包将会运行在另一个处理器下。此时多处理或许会有所帮助。将会运行在一个处理下,显示包将会运行在另一个处理器下。此时多处理或许会有所帮助。 5 5 1.2.2.1.2.2.
12、MicrosoftMicrosoft WindowsWindowsWindowsWindows 2000,XP2000,XP HomeHome 版版,XP,XP ProPro 版版,XP,XP TabletTablet PCPC,XPXP MediaMedia Center,Center, ServerServer 20032003 oror Vista(Vista(推荐在推荐在 XPXP 下下 使用使用) )32-bit32-bit 奔腾处理器或同等规格的处理器(建议频率:奔腾处理器或同等规格的处理器(建议频率:400MHz400MHz 或更高)或更高),64-bit,64-bit 处理器在
13、处理器在 WoW64WoW64 仿真环境下仿真环境下- -见见 一般说明一般说明128MB128MB 系统内存(建议系统内存(建议 256Mbytes256Mbytes 或更高)或更高)75MB75MB 可用磁盘空间(如果想保存捕捉文件,需要更多空间)可用磁盘空间(如果想保存捕捉文件,需要更多空间) 800*600800*600(建议(建议 1280*10241280*1024 或更高)分辨率最少或更高)分辨率最少 65536(16bit)65536(16bit)色,色,(256(256 色旧设备安装时需要选择色旧设备安装时需要选择”legacy”legacy GTK1”)GTK1”)网卡需求
14、:网卡需求:o以太网:以太网:windowswindows 支持的任何以太网卡都可以支持的任何以太网卡都可以o无线局域网卡:见无线局域网卡:见 MicroLogixMicroLogix supportsupport listlist, , 不捕捉不捕捉 802.11802.11 包头和无数据桢。包头和无数据桢。o其它接口见:其它接口见:http:/wiki.wireshark.org/CaptureSetup/NetworkMediahttp:/wiki.wireshark.org/CaptureSetup/NetworkMedia 说明说明 基于以下三点原因,将不会对旧版基于以下三点原因,将
15、不会对旧版 WindowsWindows 提供支持:没有任何开发人员正在使用那些操作系统,提供支持:没有任何开发人员正在使用那些操作系统, 这将使支这将使支 持变得更加困难,持变得更加困难,WiresharkWireshark 运行所依赖的库文件(如运行所依赖的库文件(如 GTKGTK,WinPCapWinPCap 等)也放弃对它们的支持。等)也放弃对它们的支持。 同样,微软同样,微软 也放弃了对它们的技术支持。也放弃了对它们的技术支持。WindowsWindows 95,9895,98 和和 MEME 不能运行不能运行 WiresharkWireshark。已知的最后一个可以运行在以上平台的
16、版本是。已知的最后一个可以运行在以上平台的版本是 Ethereal0.99.0(Ethereal0.99.0(需需 要安装要安装 WinPCap3.1),WinPCap3.1),你依然可以使用从你依然可以使用从: : http:/ 获得。顺便提一下:微软于获得。顺便提一下:微软于 20062006 年年 1 1 月月 1111 日停止对日停止对 98/ME98/ME 支持。支持。WindowsWindows NTNT 4.04.0 今后将无法运行今后将无法运行 Wireshark.Wireshark.最有一个已知版本是最有一个已知版本是 Wireshark0.99.4(Wireshark0.99.4(需安装自带
