Wireshark抓包软件使用教程.pptx

1、Wireshark抓包软件使用教程启动后的界面启动后的界面功能界面介绍MENUS（菜单）（菜单）SHORTCUTS（快捷方式）（快捷方式）DISPLAY FILTER（显示过滤器）（显示过滤器）PACKET LIST PANE（封包列表（封包列表)PACKET DETAILS PANE（封包详细信息）（封包详细信息）DISSECTOR PANE（16进制数据）进制数据）MISCELLANOUS（杂项）（杂项）对应的协议分层File（文件）打开或保存捕获的信息。Edit（编辑）查找或标记封包。进行全局设置。View（查看）设置Wireshark的视图。Go（转到）跳转到捕获的数据。Capture

2、（捕获）设置捕捉过滤器并开始捕捉。Analyze（分析）设置分析选项。Statistics（统计）查看Wireshark的统计信息。Help（帮助）查看本地或者在线支持。在菜单下面，是一些常用的快捷按钮。在菜单下面，是一些常用的快捷按钮。您可以将鼠标指针移动到某个图标上以获得其功能说明您可以将鼠标指针移动到某个图标上以获得其功能说明。显示过滤器用于查找捕捉记录中的内容。显示过滤器用于查找捕捉记录中的内容。注意，注意，不要不要将捕捉过滤器和显示过滤器的概念相混淆将捕捉过滤器和显示过滤器的概念相混淆。封包列表中显示所有已经捕获的封包。在封包列表中显示所有已经捕获的封包。在这里可以这里可以看到发送或

3、接收方的看到发送或接收方的MAC/IP地址，地址，TCP/UDP端口号，协议或者封包的内容。端口号，协议或者封包的内容。如果捕获的是一个如果捕获的是一个OSI layer 2的封包，在的封包，在Source（来源）和（来源）和Destination（目的地）列中（目的地）列中看到的将是看到的将是MAC地址，当然，此时地址，当然，此时Port（端口）列将会为空。（端口）列将会为空。如果捕获的是一个如果捕获的是一个OSI layer 3或者更高层的封包，在或者更高层的封包，在Source（来源）和（来源）和Destination（目（目的地）列中看到的将是的地）列中看到的将是IP地址。地址。Por

4、t（端口）列仅会在这个封包属于第（端口）列仅会在这个封包属于第4或者更高层时或者更高层时才会显示。才会显示。在在Edit menu-Preferences下可以添加下可以添加/删除列或者改变各列的颜色：删除列或者改变各列的颜色：这里显示的是在封包列表中被选中项目的详细信息。这里显示的是在封包列表中被选中项目的详细信息。信息按照不同的信息按照不同的OSI layer进行了分组，可以展开每个项目查看。下进行了分组，可以展开每个项目查看。下面截图中展开的是面截图中展开的是HTTP信息。信息。“解析器解析器”在在Wireshark中也被叫做中也被叫做“16进制数据查看面板进制数据查看面板”。这里显。这

5、里显示的内容与示的内容与“封包详细信息封包详细信息”中相同，只是改为以中相同，只是改为以16进制的格式表述。进制的格式表述。在上面的例子里，我们在在上面的例子里，我们在“封包详细信息封包详细信息”中选择查看中选择查看TCP端口（端口（80），），其对应的其对应的16进制数据将自动显示在下面的面板中（进制数据将自动显示在下面的面板中（0050）。）。通过通过Ctrl+F快捷键打开查找窗口，可以在已经捕捉到的包中查找你需要的信息（查快捷键打开查找窗口，可以在已经捕捉到的包中查找你需要的信息（查找文本比较方便）找文本比较方便）常用的查找类型是常用的查找类型是String，查找包的详细内容，查找包的详

6、细内容Packet details 举例，查找捕获的包中解码出来的内容包含举例，查找捕获的包中解码出来的内容包含index的包的包使用使用Wireshark时最常见的问题，是使用默认设置时，会得到大量冗余信息，以至于很难时最常见的问题，是使用默认设置时，会得到大量冗余信息，以至于很难找到自己需要的部分。因此，过滤器的使用可以提高分析的效率找到自己需要的部分。因此，过滤器的使用可以提高分析的效率捕捉过滤器：捕捉过滤器：用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。显示过滤器：显示过滤器：在捕捉结果中进行详细查找。他们可

7、以在得到捕捉结果后随意修改。在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。两种过滤器的目的是不同的两种过滤器的目的是不同的捕捉过滤器是数据经过的第一层过滤器，用于控制捕捉数据的数量，以避免产生过大的捕捉过滤器是数据经过的第一层过滤器，用于控制捕捉数据的数量，以避免产生过大的日志文件。日志文件。显示过滤器是一种更为强大和复杂的过滤器。用于在已经捕获的数据包中迅速准确地找显示过滤器是一种更为强大和复杂的过滤器。用于在已经捕获的数据包中迅速准确地找到所需要的记录。到所需要的记录。捕捉捕捉过滤器过滤器点击点击show the capture options一：一：选择本地的网络适配器选择

8、本地的网络适配器二：二：设置捕捉过滤设置捕捉过滤填写填写capture filter栏或者点击栏或者点击capture filter按钮为您的过滤器起一个名按钮为您的过滤器起一个名字并保存，以便在今后的捕捉中继续使用这个过滤器。字并保存，以便在今后的捕捉中继续使用这个过滤器。捕捉过滤器捕捉过滤器Protocol（协议）（协议）:可能的值:ether,fddi,ip,arp,rarp,decnet,lat,sca,moprc,mopdl,tcp and udp.如果没有特别指明是什么协议，则默认使用所有支持的协议。Direction（方向）（方向）:可能的值:src,dst,src and ds

9、t,src or dst如果没有特别指明来源或目的地，则默认使用“src or dst”作为关键字。例如，”host 10.2.2.2与”src or dst host 10.2.2.2是一样的。Host(s):可能的值：net,port,host,portrange.如果没有指定此值，则默认使用”host”关键字。例如，”src 10.1.1.1与”src host 10.1.1.1相同。Logical Operations（逻辑运算）（逻辑运算）:可能的值：not,and,or.否(“not”)具有最高的优先级。或(“or”)和与(“and”)具有相同的优先级，运算时从左至右进行。例如，“

10、not tcp port 3128 and tcp port 23与”(not tcp port 3128)and tcp port 23相同。“not tcp port 3128 and tcp port 23与”not(tcp port 3128 and tcp port 23)”不同。例子：例子：tcp dst port 3128 /捕捉目的TCP端口为3128的封包。ip src host 10.1.1.1 /捕捉来源IP地址为10.1.1.1的封包。host 10.1.2.3 /捕捉目的或来源IP地址为10.1.2.3的封包。ether host e0-05-c5-44-b1-3c/

11、捕捉目的或来源MAC地址为e0-05-c5-44-b1-3c的封包。如果你想抓本机与所有外网通讯的数据包时，可以将这里的mac地址换成路由的mac地址即可。src portrange 2000-2500 /捕捉来源为UDP或TCP，并且端口号在2000至2500范围内的封包。not imcp /显示除了icmp以外的所有封包。（icmp通常被ping工具使用）src host 10.7.2.12 and not dst net 10.200.0.0/16/显示来源IP地址为10.7.2.12，但目的地不是10.200.0.0/16的封包。(src host 10.4.1.12 or src n

12、et 10.6.0.0/16)and tcp dst portrange 200-10000 and dst net 10.0.0.0/8 /捕捉来源IP为10.4.1.12或者来源网络为10.6.0.0/16，目的地TCP端口号在200至10000之间，并且目的位于网络 10.0.0.0/8内的所有封包。src net 192.168.0.0/24 src net 192.168.0.0 mask 255.255.255.0 /捕捉源地址为192.168.0.0网络内的所有封包。注意事项：注意事项：当使用关键字作为值时，需使用反斜杠“/”。“ether proto/ip”(与关键字”ip”相

13、同).这样写将会以IP协议作为捕捉目标。“ip proto/icmp”(与关键字”icmp”相同).这样写将会以icmp作为捕捉目标。可以在”ip”或”ether”后面使用”multicast”及”broadcast”关键字。想排除广播请求时，”no broadcast”就会非常有用。填写capture filter栏或者点击capture filter按钮为您的过滤器起一个名字并保存，以便在今后的捕捉中继续使用这个过滤器。三：三：点击开始点击开始可以使用大量位于可以使用大量位于OSI模型第模型第2至至7层的协议。点击层的协议。点击Expression.按按钮后，可以看到它们。钮后，可以看到它

14、们。比如：比如：IP，TCP，DNS，SSH可以在如下所示位置找到所支持的协议：可以在如下所示位置找到所支持的协议：Wireshark的网站提供的网站提供了对各种了对各种 协议以及它们协议以及它们子类的说明。子类的说明。显示过滤器显示过滤器Protocol（协议）（协议）:您可以使用大量位于OSI模型第2至7层的协议。点击”Expression”按钮后，您可以看到它们。比如：IP，TCP，DNS，SSHString1,String2(可选项可选项):协议的子类。点击相关父类旁的”+”号，然后选择其子类。Comparison operators（比较运算符）（比较运算符）:可以使用6种比较运算符

15、：Logicalexpressions（逻辑运算符）（逻辑运算符）:Comparison operators（比较运算符）（比较运算符）:可以使用6种比较运算符：还可以使用contains 判断一个协议，字段或者分片包含一个值matches 判断一个协议或者字符串匹配一个给定的Perl表达式contains 操作符允许一个过滤器搜索一串字符，其形式为字符串，或者字节，或者字节组。例如在搜索一个HTTP URL地址，可以使用下面的过滤器：http contains“http:/www.wireshark.org”；containscontains操作符不能被用于原子型的字段，比如数字和操作符不能

16、被用于原子型的字段，比如数字和ipip地址。地址。matches 操作符允许一个过滤器使用与Perl兼容的正则表达式（PCRE）。“matches”操作符只能应用于协议或者字符串类型的协议字段。例如：搜索一个给定的WAP WSP User-Agent，可以这样写过滤器：wsp.user_agent matches(?i)cldcLogical expressions（逻辑运算符）（逻辑运算符）:例子：例子：snmp|dns|icmp/显示SNMP或DNS或ICMP封包。ip.addr=10.1.1.1 /显示来源或目的IP地址为10.1.1.1的封包。ip.src!=10.1.2.3 or i

17、p.dst!=10.4.5.6 /显示来源不为10.1.2.3或者目的不为10.4.5.6的封包。换句话说，显示的封包将会为：来源IP：除了10.1.2.3以外任意；目的IP：任意；以及来源IP：任意；目的IP：除了10.4.5.6以外任意ip.src!=10.1.2.3 and ip.dst!=10.4.5.6 /显示来源不为10.1.2.3并且目的IP不为10.4.5.6的封包。换句话说，显示的封包将会为：来源IP：除了10.1.2.3以外任意；同时须满足，目的IP：除了10.4.5.6以外任意tcp.port=25 /显示来源或目的TCP端口号为25的封包。tcp.dstport=25

18、/显示目的TCP端口号为25的封包。tcp.flags /显示包含TCP标志的封包。tcp.flags.syn=002 /显示包含TCP SYN标志的封包。显示过滤器使用小技巧如果在抓包文件中已经找到一个你想看到的包，希望快速查找整个抓包文件中这种类型的包，可以在相关的显示内容处，右键-Apply as Filter，即可快速的筛选出真个抓包文件中需要找到的相同类型的包举例：想在抓到的内容中筛选出所有HTTP GET类型的包如果用显示过滤器来写，要写 http.request.method=“GET”，比较复杂可以找一个包，里面有HTTP GET的在这里点右键选择后，软件会自动过滤出所有包含H

19、TTP GET的包，并且在显示过滤器处写好了正确的语法注意：注意：无论是捕捉过滤器还是显示过滤器，无论是捕捉过滤器还是显示过滤器，如果过滤器的语法是正确的，表达式的背景如果过滤器的语法是正确的，表达式的背景呈绿色。如果呈红色，说明表达式有误。呈绿色。如果呈红色，说明表达式有误。表达式错误表达式错误 表达式正确表达式正确 统计工具 Summary（显示（显示摘要信息摘要信息）在综合窗口里可以看到全局的统计信息：-保存捕捉结果的文件-捕捉时间-捕捉过滤器的信息。-显示过滤器的信息。Protocol Hierarchy（协议类型和层次结构协议类型和层次结构）协议层：显示按照OSI layer分类后的统计数据。Conversations（会话）（会话）Ethernet 会话：会话：每种协议后面会有一个数字，这个数字表示的是使用这种协议的会话总数。例如：Ethernet:45。会话如果使用的是TCP/IP协议或者基于此技术的应用，那么这一页将会有四个标签：Ethernet，IP，TCP以及UDP。“会话”是指两台主机之间进行的交互。IP会话：会话：TCP会话会话:Endpoints(节点节点)这一项提供了每个节点接收和发送数据的统计信息。这一项提供了每个节点接收和发送数据的统计信息。Packet Lengths(包长度包长度)IO Graphs(输入输出图输入输出图)