《Wireshark介绍》由会员分享,可在线阅读,更多相关《Wireshark介绍(33页珍藏版)》请在金锄头文库上搜索。
1、WiresharkWireshark介介绍2数据通信和计算机网络数据通信和计算机网络王佳军王佳军邮邮 箱:箱:实验室:张江校区计算机楼实验室:张江校区计算机楼3143讲解内容讲解内容基础知识基础知识Wireshark历史历史Wireshark的功能特点的功能特点Wireshark的使用的使用4OSI 模型模型5Internet 参考模型参考模型6Internet参考模型参考模型应用用层能与能与应用程序界面沟通,以达到展示用程序界面沟通,以达到展示给用用户的目的。的目的。 在此常在此常见的的协议有有: HTTP,HTTPS,FTP,TELNET,SSH,SMTP,POP3等。等。运运输层在在应用
2、用层之下,之下,为在不同主机上运行的在不同主机上运行的应用用进程之程之间提供提供逻辑服服务。在运。在运输层中最普遍用到的中最普遍用到的协议是是TCP协议和和UDP协议。尽管在。尽管在网网络中可能会中可能会发生分生分组丢失和重排序,但是失和重排序,但是TCP能能够提供可靠的、提供可靠的、顺序的数据序的数据传输,而,而 UDP是一个不可靠的是一个不可靠的传输协议。网网络层负责把把传送的数据从网送的数据从网络中的一台机器中的一台机器传送到另一台机器。在送到另一台机器。在网网络中,中,Internet网网络中网中网络层的的协议是是IP协议。它根据分。它根据分组中的中的IP目的地址,尽力完成端到端(源主
3、机与目的主机)的目的地址,尽力完成端到端(源主机与目的主机)的传输。网网络层通信的路径由一系列通信通信的路径由一系列通信链路路组成,从源主机开始,成,从源主机开始,经过一系一系列的网列的网络设备如路由器,在目的主机如路由器,在目的主机结束。分束。分组是如何通是如何通过各段独立各段独立链路的?数据路的?数据链路路层的任的任务是将网是将网络层的数据的数据报通通过路径中的路径中的单段段链路从一个路从一个节点点“移移动”到到临近的近的节点点。7Wireshark 基本情况基本情况Wireshark 是网络包分析工具是网络包分析工具(packet sniffer)。网络包分析工具的主。网络包分析工具的主
4、要作用是尝试捕获网络包,要作用是尝试捕获网络包, 并尝试显示包的尽可能详细的情况并尝试显示包的尽可能详细的情况,Wireshark可能是今天能使用的最好的可能是今天能使用的最好的开源开源网络分析软件网络分析软件目前最新开发版目前最新开发版1.12.0rc3,稳定版,稳定版1.12.1下载下载:免费使用(免费使用(GNU GPL 包括帮助文件)包括帮助文件)http:/www.wireshark.org/download.html8Wiresahrk简史简史1997年,年,Gerald Combs 需要一个工具追踪网络问题并想学习网络知需要一个工具追踪网络问题并想学习网络知识,开始开发识,开始开
5、发Ethereal (Wireshark项目以前的名称项目以前的名称)。1998年,年,0.2.0版诞生了。版诞生了。Gilbert Ramirez发现它的潜力,并为其开发了一个底层分解器。发现它的潜力,并为其开发了一个底层分解器。1998年年10月,月,Guy Harris开始为开始为Ethereal进行改进,并进行改进,并开开发分解器。发分解器。1998年以后,年以后,Richard Sharpe 开始从事开始从事Ethereal的分析及改进。的分析及改进。2006年,年,Ethereal项目更名为项目更名为WiresharkSource:https:/www.wireshark.org/
6、docs/wsug_html_chunked/ChIntroHistory.html9Wireshark功能功能支持支持UNIX和和Windows等多等多平台平台在接口实时捕捉包在接口实时捕捉包能详细显示包的详细协议信息能详细显示包的详细协议信息 可以打开可以打开/保存捕捉的包保存捕捉的包可以导入导出其他捕捉程序支持的包数据格式可以导入导出其他捕捉程序支持的包数据格式可以通过多种方式过滤包可以通过多种方式过滤包多种方式查找包多种方式查找包通过过滤以多种色彩显示包通过过滤以多种色彩显示包创建多种统计分析创建多种统计分析10Wireshark实现实现基于分解器(基于分解器(dissector)网网
7、络上每一上每一层的的协议都有都有对应的分解器,分解器的作用是把每一的分解器,分解器的作用是把每一层的的信息分解,信息分解,显示出首部字段,把有效示出首部字段,把有效载荷字段(荷字段(payload)传递给向向上一上一层的分解器,以达到逐的分解器,以达到逐层分解的目的分解的目的分解器有两种分解器有两种实现方式:作方式:作为主程序中的模主程序中的模块实现,或作,或作为插件插件实现11Wireshark不能做的事不能做的事Wireshark不是入侵检测系统。不是入侵检测系统。Wireshark不会处理网络事务,它仅仅是不会处理网络事务,它仅仅是“测量测量”(监视监视)网络。网络。12Wireshar
8、k 主界面主界面13Capture Options14Capture Options15Capture Options选项选项Interface: 指定在哪个接口(网卡)上抓包。单网卡下使用缺省的就可以了。如果同时拥有以太网接口和无线网络接口,必须选择一个进行监测。16Capture Options选项选项Use promiscuous mode on all interfaces: 是否打开混杂模式。如果打开,抓取所有的数据包。一般情况下只需要监听本机收到或者发出的包,因此应该关闭这个选项。 在混杂模式下,捕获分组前,必须得到网络管理员的允许或网络用户的同意。17Capture Option
9、s选项选项Capture Filter:抓包过滤器。只抓取满足过滤规则的包,用在抓包:抓包过滤器。只抓取满足过滤规则的包,用在抓包过程中限制捕获的数据量。过程中限制捕获的数据量。抓包过滤器使用的是抓包过滤器使用的是libcap过滤器语言,在过滤器语言,在Wireshark help中有中有详细的解释。基本结构是:详细的解释。基本结构是: not primitive andor not primitive . 。例如例如: not tcp port 3389,tcp port http18Capture Options选项选项File:如果需要将抓到的包写到文件中,在这里输入文件名称。:如果需要
10、将抓到的包写到文件中,在这里输入文件名称。use multiple files: 是否使用循环缓冲。注意,循环缓冲只有在写文件是否使用循环缓冲。注意,循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲,还需要设置文件的数目,文件的时候才有效。如果使用了循环缓冲,还需要设置文件的数目,文件多大时回卷。多大时回卷。19Capture Options选项选项其他的项选缺省值就可以。其他的项选缺省值就可以。Display options(显示选项显示选项):默认情况下,分组的显示与它们被捕获默认情况下,分组的显示与它们被捕获时的状态不一样。可以选择观察实时更新的分组项,然后可选择让显时的状态不一样。
11、可以选择观察实时更新的分组项,然后可选择让显示屏自动滚动最后捕获的分组。示屏自动滚动最后捕获的分组。Name resolution(名字解析名字解析):把分组中的数字转化成名字。默认是把分组中的数字转化成名字。默认是:MAC地址解析和传输名字解析。地址解析和传输名字解析。20Capture Options选项选项Stop Capture Automatically After:控制在一定数量的分组、跟踪记录到达一定的大小或者一个特定的时间控制在一定数量的分组、跟踪记录到达一定的大小或者一个特定的时间后停止跟踪。后停止跟踪。点击点击Start, Wireshark就开始捕获分组并显示捕获统计窗口
12、。就开始捕获分组并显示捕获统计窗口。点击点击Stop,停止捕获。,停止捕获。21Wireshark显示过滤器显示过滤器显示过滤器显示过滤器:在显示所有分组的同时限制所显示的分组。在显示所有分组的同时限制所显示的分组。可以根据可以根据协议、是否存在某个域、域值、域值之间的比较协议、是否存在某个域、域值、域值之间的比较来查找你感来查找你感兴趣的包兴趣的包.在在Wireshark窗口的左上角的窗口的左上角的Filter 中输入过滤条件。中输入过滤条件。注意注意:只有在只有在Filter的背景是绿色,你设定的的背景是绿色,你设定的Filter是正确的。当背景是是正确的。当背景是红色的,说明你设定的红色
13、的,说明你设定的Filter是是Wireshark不允许的不允许的。22Display Filter值比较表达式可以使用下面的操作符值比较表达式可以使用下面的操作符:= , !=, , 表达式组合可以使用下面的逻辑操作符表达式组合可以使用下面的逻辑操作符:&, |, !例如例如:显示从显示从IP192.168.0.1发出和发往它的分组发出和发往它的分组: 输入输入( ip.dst = 192.168.0.1)|(ip.src = 192.168.0.1)查看使用查看使用tcp协议的包协议的包:输入输入tcp23通过界面设置通过界面设置Display Filter24Display Filter
14、 ReferenceDisplay Filter Reference:http:/www.wireshark.org/docs/dfref/如:对于如:对于IP协议,显示过滤器可参见协议,显示过滤器可参见http:/www.wireshark.org/docs/dfref/i/ip.html25跟踪记录跟踪记录在一定时间内抓包,把跟踪结果存放在一个文件中,如在一定时间内抓包,把跟踪结果存放在一个文件中,如test.cap文件文件中。中。然后打开文件进行查看。然后打开文件进行查看。对捕获的分组进行分析。对捕获的分组进行分析。26包分析包分析跟踪列表框跟踪列表框协议层框协议层框原始分组层原始分组层
15、27列表框列表框显示所捕获分组的列表显示所捕获分组的列表编号编号时间时间源源IPIP目的目的IPIP最高层协议最高层协议分组长度分组长度信息信息28协议层框协议层框协议层框显示所选分组的各层的分层协议协议层框显示所选分组的各层的分层协议:链路层帧(链路层帧(frame)、网络)、网络层数据报(层数据报(datagram)、运输层的报文段()、运输层的报文段(segment)、应用层的)、应用层的报文(报文(message)。)。29原始框原始框原始框显示了分组中包含的数据的每个字节。方框的左边显示的是十原始框显示了分组中包含的数据的每个字节。方框的左边显示的是十六进制的数据,右边显示的是六进制的数据,右边显示的是ASCII码。码。30Filter使用Filter,得到需要的特定包31菜单菜单Statistics/Summary跟踪记录的统计概要跟踪记录的统计概要32菜菜单单Statistics/Protocol Hierarchy基于分基于分层的的统计结束结束
