WireShark使用說(shuō)明.ppt
《WireShark使用說(shuō)明.ppt》由會(huì)員分享,可在線閱讀,更多相關(guān)《WireShark使用說(shuō)明.ppt(38頁(yè)珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
WireShark使用說(shuō)明,培訓(xùn)目的,通過(guò)本課程的學(xué)習(xí),您將能夠: 了解WireShark的界面組成 熟悉WireShark的基本操作 適用對(duì)象: 測(cè)試、開(kāi)發(fā)、網(wǎng)絡(luò)工程人員,概述,Wireshark 是網(wǎng)絡(luò)包分析工具。網(wǎng)絡(luò)包分析工具的主要作用是在接口實(shí)時(shí)捕捉網(wǎng)絡(luò)包,并詳細(xì)顯示包的詳細(xì)協(xié)議信息。Wireshark 可以捕捉多種網(wǎng)絡(luò)接口類(lèi)型的包,哪怕是無(wú)線局域網(wǎng)接口。Wireshark可以打開(kāi)多種網(wǎng)絡(luò)分析軟件捕捉的包,可以支持許多協(xié)議的解碼。我們可以用它來(lái)檢測(cè)網(wǎng)絡(luò)安全隱患、解決網(wǎng)絡(luò)問(wèn)題,也可以用它來(lái)學(xué)習(xí)網(wǎng)絡(luò)協(xié)議、測(cè)試協(xié)議執(zhí)行情況等。 Wireshark不會(huì)處理網(wǎng)絡(luò)事務(wù),它僅僅是“測(cè)量”(監(jiān)視)網(wǎng)絡(luò)。Wireshark不會(huì)發(fā)送網(wǎng)絡(luò)包或做其它交互性的事情。,安裝注意事項(xiàng),安裝文件獲取:\\172.16.0.2\softtool\toolsLib\抓包工具 在安裝組件時(shí)候選擇所有組件,界面風(fēng)格建議選擇Wireshark(GTK2 user interface),,安裝注意事項(xiàng),勾選下圖選項(xiàng),以支持多種其他網(wǎng)絡(luò)包分析工具支持的文件格式。,,安裝注意事項(xiàng),Wireshark 安裝文件自帶WinPcap最新版本,選擇安裝。,,Wireshark的使用,1、Wireshark的主窗口,,Wireshark的使用,2、網(wǎng)絡(luò)數(shù)據(jù)流的監(jiān)測(cè)接入點(diǎn) 在被監(jiān)測(cè)計(jì)算機(jī)上直接捕獲; 利用集線器將被檢測(cè)端口的數(shù)據(jù)分為多路進(jìn)行捕獲; 利用交換機(jī)的端口數(shù)據(jù)映射功能進(jìn)行捕獲;,Wireshark的使用,3、實(shí)時(shí)捕獲數(shù)據(jù)包 使用按鈕”Capture Options”開(kāi)始捕獲取 對(duì)話框,選擇正確的NIC進(jìn)行捕獲;注意:windows平臺(tái)下不支持環(huán)回接口捕獲,即接口列表中的第一個(gè)接口,,,Wireshark的使用,3、實(shí)時(shí)捕獲數(shù)據(jù)包 設(shè)置捕獲緩存大?。˙uffer size) 設(shè)置寫(xiě)入數(shù)據(jù)到磁盤(pán)前保留在核心緩存中捕捉數(shù)據(jù)的大小。如果你發(fā)現(xiàn)丟包,可嘗試增大該值。 設(shè)置網(wǎng)卡是否為混雜捕獲模式(Capture packets in promiscuous mode) 指定Wireshark捕捉包時(shí),設(shè)置接口是否為混合接收模式。 在非混雜模式下,Wireshark捕獲滿(mǎn)足以下條件的包: 含本網(wǎng)卡地址單播包、具有多播地址且與本網(wǎng)卡地址配置相吻合的數(shù)據(jù)包、廣播包。 而在混雜模式下,Wireshark除捕獲上述類(lèi)型的數(shù)據(jù)包外,與本網(wǎng)卡地址配置不吻合的組播包也會(huì)被捕獲下來(lái)。 設(shè)置捕獲過(guò)濾規(guī)則 Wireshark使用libpcap過(guò)濾語(yǔ)句進(jìn)行捕捉過(guò)濾。 過(guò)濾語(yǔ)句的形式為:[not] primitive [and|or [not] primitive .],Wireshark的使用,常用的基本單元(primitive)類(lèi)型: [src|dst] host 過(guò)濾主機(jī)ip地址或名稱(chēng)。通過(guò)指定src|dst關(guān)鍵詞來(lái)確定所關(guān)注的是源地址還是目標(biāo)地址。如果未指定,則指定的地址出現(xiàn)在源地址或目標(biāo)地址中的包會(huì)被抓取。 ether [src|dst] host 過(guò)濾主機(jī)以太網(wǎng)地址。通過(guò)指定關(guān)鍵詞src|dst來(lái)確定所關(guān)注的是源地址還是目標(biāo)地址。如果未指定,則指定的地址出現(xiàn)在源地址或目標(biāo)地址中的包會(huì)被抓取。 [tcp|udp] [src|dst] port 選擇在以太網(wǎng)層或是ip層的指定協(xié)議的包 例 1. 捕捉來(lái)自特定主機(jī)的telnet協(xié)議:tcp port 23 and host 10.0.0.5 例 2. 捕捉所有不是來(lái)自10.0.0.5的telnet 通信:tcp port 23 and not src host 10.0.0.5,Wireshark的使用,設(shè)置多文件連續(xù)存儲(chǔ) Use multiple files 如果指定條件達(dá)到臨界值,Wireshark將會(huì)自動(dòng)生成一個(gè)新文件。 Next file every n megabyte(s) 如果捕捉文件容量達(dá)到指定值,將會(huì)生成切換到新文件 Next file every n minutes(s) 如果捕捉文件持續(xù)時(shí)間達(dá)到指定值,將會(huì)切換到新文件。 Ring buffer with n files 僅生成制定數(shù)目的文件。 Stop caputure after n file(s) 當(dāng)生成指定數(shù)目文件時(shí),停止捕捉。,Wireshark的使用,設(shè)置停止捕獲規(guī)則 after n packet(s) 在捕捉到指定數(shù)目數(shù)據(jù)包后停止捕捉; after n megabytes(s) 在捕捉到指定容量的數(shù)據(jù)后停止捕捉。如果使用“user multiple files“,該選項(xiàng)將是灰色; after n minute(s) 在達(dá)到指定時(shí)間后停止捕捉; 選擇開(kāi)始按鈕,進(jìn)行捕獲。 選擇停止按鈕,停止捕獲。,Wireshark的使用,4、處理已經(jīng)捕獲的包 瀏覽已經(jīng)捕獲的包 在已經(jīng)捕捉完成之后,或者打開(kāi)先前保存的數(shù)據(jù)包文件時(shí),通過(guò)點(diǎn)擊包列表面版中的包,就可以在包詳情面板看到關(guān)于這個(gè)數(shù)據(jù)包的樹(shù)狀結(jié)構(gòu)以及字節(jié)面板。通過(guò)點(diǎn)擊左側(cè)“+”標(biāo)記或者選擇右鍵菜單“Expand Subtrees”,展開(kāi)數(shù)據(jù)包當(dāng)前選擇的子樹(shù)。也可以通過(guò)右鍵選擇“Expand All”展開(kāi)數(shù)據(jù)包的所有子樹(shù)。,,Wireshark的使用,瀏覽過(guò)濾包 顯示過(guò)濾可以隱藏一些你不感興趣的包,讓你可以集中注意力在你感興趣的那些包上面。在包列表面板中選擇所需要的包,右鍵菜單選擇“Apply as Filter”-〉“selected”即可過(guò)濾其他數(shù)據(jù)包。,,Wireshark的使用,另外,也可以構(gòu)建過(guò)濾表達(dá)式,來(lái)過(guò)濾那些不感興趣的數(shù)據(jù)包。Wireshark提供了簡(jiǎn)單而強(qiáng)大的過(guò)濾語(yǔ)法,你可以用它們建立復(fù)雜的過(guò)濾表達(dá)式。包詳情面板的每個(gè)字段都可以作為比較值,通過(guò)在許多不同的比較操作建立比較過(guò)濾。應(yīng)用這些作為過(guò)濾將會(huì)僅顯示包含該字段的包。例如:過(guò)濾字符串:TCP將會(huì)顯示所有包含TCP協(xié)議的包。,表 1 顯示過(guò)濾比較操作符,,也可以用邏輯操作符將過(guò)濾表達(dá)式組合在一起使用。 表 2 顯示過(guò)濾邏輯操作符,查找目標(biāo)包 選擇菜單”Edit?Find Packet…”在對(duì)話框中輸入要查找包的關(guān)鍵字或表達(dá)式就可以了,用戶(hù)可以選擇是針對(duì)過(guò)濾的包進(jìn)行查找還是通過(guò)16進(jìn)制值進(jìn)行查找,或是通過(guò)字符串進(jìn)行查找; 查找到目標(biāo)包以后可以通過(guò)ctrl+n組合鍵繼續(xù)查找下一個(gè);ctrl+b查找上一個(gè),Wireshark的使用,標(biāo)記包 為了方便查找與操作,我們可以將感興趣的包做上標(biāo)記以便迅速找到,選中某個(gè)包,然后點(diǎn)擊右鍵菜單,選擇”Mark packet”就可以了,,Wireshark的使用,標(biāo)記包 除了標(biāo)記單個(gè)包,可以選擇”Edit?Mark all packet”對(duì)所有包進(jìn)行標(biāo)記,Wireshark的使用,反標(biāo)記包 被標(biāo)記的包都會(huì)變成黑色;同樣可以選擇”Edit?UnMark all packet”對(duì)所有包進(jìn)行還原(反標(biāo)記),Wireshark的使用,Wireshark常用快捷鍵介紹 從可用網(wǎng)絡(luò)接口列表開(kāi)始抓包,點(diǎn)擊”工具欄”左邊第一個(gè)按鈕,Wireshark的使用,Wireshark常用快捷鍵介紹 從網(wǎng)絡(luò)接口列表中選擇一個(gè)網(wǎng)卡,點(diǎn)擊”Start”開(kāi)始抓包,Wireshark的使用,Wireshark常用快捷鍵介紹 點(diǎn)擊”工具欄”左邊第二個(gè)按鈕,Wireshark的使用,Wireshark常用快捷鍵介紹 以下是抓包的選項(xiàng)設(shè)置,可以對(duì)抓包規(guī)則進(jìn)行詳細(xì)設(shè)定,Wireshark的使用,Wireshark常用快捷鍵介紹 點(diǎn)擊”工具欄”左邊第三個(gè)按鈕,可以進(jìn)行實(shí)時(shí)抓包,Wireshark的使用,Wireshark常用快捷鍵介紹 點(diǎn)擊”工具欄”左邊第4個(gè)按鈕,停止抓包,Wireshark的使用,Wireshark的使用,常見(jiàn)錯(cuò)誤:在組合表達(dá)式中使用“!=“操作符,像eth.addr,ip.addr,tcp.port,udp.port等元素可能會(huì)產(chǎn)生非預(yù)期效果。 例如要構(gòu)造表達(dá)式來(lái)排除ip地址為1.2.3.4的包,正確的表達(dá)式應(yīng)該是 !(ip.addr == 1.2.3.4)而不是ip.addr != 1.2.3.4。,Wireshark的使用,按指定協(xié)議解析數(shù)據(jù)包 在包列表面板選中包,右鍵選擇“Decode As“,在Decode As對(duì)話框選擇協(xié)議,按指定的協(xié)議解析數(shù)據(jù)包。,,Wireshark的使用,5、文件輸入輸出 打開(kāi)已捕獲的數(shù)據(jù)包文件 Wireshark可以讀取以前保存的文件。想讀取這些文件,只需選擇菜單或工具欄的:“File/Open”。Wireshark將會(huì)彈出打開(kāi)文件對(duì)話框。你可以在打開(kāi)文件后修改顯示過(guò)濾器和名稱(chēng)解析設(shè)置。但在一些大文件中進(jìn)行這些操作將會(huì)占用大量的時(shí)間。在這種情況下建議在打開(kāi)文件之前就進(jìn)行相關(guān)過(guò)濾、解析設(shè)置。另外,也可以直接從文件管理器拖動(dòng)你想要打開(kāi)的文件到Wireshark主窗口。,,Wireshark的使用,保存已捕獲的數(shù)據(jù)包 通過(guò)File-Save As.菜單保存已捕獲的數(shù)據(jù)包。 在保存時(shí)可以選擇保存哪些包,以什么格式保存: 輸入指定的文件名。 選擇保存的目錄。 選擇保存包的范圍。 通過(guò)點(diǎn)擊“保存類(lèi)型”下拉列表指定保存文件 的格式。 可以將Wireshark捕獲的包保存為其默認(rèn)格 式文件(libpcap),也可以保存為其他格式供其他工 具進(jìn)行讀取分析。比如保存文件時(shí)候選擇格式 NA Sniffer(Windows)2.00x (*.cap)以便Sniffer進(jìn) 行讀取分析。 點(diǎn)擊“保存(S)“按鈕保存。,,Wireshark的使用,合并數(shù)據(jù)包文件 有時(shí)候你需要將多個(gè)捕捉文件合并到一起。例如:如果你對(duì)多個(gè)接口同時(shí)進(jìn)行捕捉,合并就非常有用??梢允褂萌缦路椒ê喜⒉蹲轿募?1、從“File-Merge…“,打開(kāi)合并對(duì)話框。通過(guò)該對(duì)話框可以選擇需要合并的文件,與當(dāng)前打開(kāi)的數(shù)據(jù)包文件進(jìn)行合并。 可以通過(guò)以下三種方式合并: 將包插入已存在文件前、按時(shí)間順序合并文件、追加包到當(dāng)前文件。 2、使用拖放功能,將多個(gè)文件同時(shí)拖放到主窗口。Wireshark會(huì)創(chuàng)建一個(gè)臨時(shí)文件嘗試對(duì)拖放的文件按時(shí)間順序進(jìn)行合并。如果你只拖放一個(gè)文件,Wireshark只是簡(jiǎn)單地替換已經(jīng)打開(kāi)的文件。,Wireshark的使用,文件集 在進(jìn)行捕捉時(shí)如果設(shè)置“Multiple Files/多文件“選項(xiàng),捕捉數(shù)據(jù)會(huì)分割為多個(gè)文件,稱(chēng)為文件集合。大量文件手動(dòng)管理十分困難,Wirreshark的文件集合特性可以讓文件管理變得方便一點(diǎn)。 使用“File“菜單項(xiàng)的子菜單“File Set“可以對(duì)文件集合集合進(jìn)行很方便的控制。如下圖: 單擊單選鈕,當(dāng)前文件會(huì)被關(guān)閉,同時(shí)載入對(duì)應(yīng)的文件。 注意:前提是你目前打開(kāi)的文件為文件集中的某個(gè)文件才能使”File Set”命令有效,Wireshark的使用,導(dǎo)出數(shù)據(jù) Wireshark支持多種方法,多種格式導(dǎo)出包數(shù)據(jù)。從“File-Export-File”,打開(kāi)導(dǎo)出數(shù)據(jù)對(duì)話框: 指定導(dǎo)出包數(shù)據(jù)的文件名。 選擇文件保存路徑。 選擇文件保存類(lèi)型。 導(dǎo)出包數(shù)據(jù)為文本文件,常用于打印 數(shù)據(jù)包; 導(dǎo)出包數(shù)據(jù)摘要為CVS格式,可以被 Excel使用。常用來(lái)做相關(guān)統(tǒng)計(jì); 選擇需要導(dǎo)出的數(shù)據(jù)包范圍。 選擇保存按鈕。,,,Wireshark的使用,統(tǒng)計(jì)分析 Wireshark提供了多種多樣的網(wǎng)絡(luò)統(tǒng)計(jì)功能。包括捕獲數(shù)據(jù)包文件的基本信息(比如包的數(shù)量),對(duì)指定協(xié)議的統(tǒng)計(jì)(例如,統(tǒng)計(jì)包文件內(nèi)HTPP請(qǐng)求和應(yīng)答數(shù))等等。,統(tǒng)計(jì)摘要 統(tǒng)計(jì)摘要主要包括當(dāng)前網(wǎng)絡(luò) 數(shù)據(jù)包文件的一些基本信息。比 如文件名、文件大小、第一個(gè)包 和最后一個(gè)包的時(shí)間戳、網(wǎng)絡(luò)傳 輸?shù)南嚓P(guān)統(tǒng)計(jì)等。如果設(shè)置了顯 示過(guò)濾,統(tǒng)計(jì)信息會(huì)顯示成兩列 。Captured列顯示過(guò)濾前的信息 ,Displayed列顯示過(guò)濾后對(duì)應(yīng)的 信息。,,Wireshark的使用,會(huì)話統(tǒng)計(jì) 一個(gè)網(wǎng)絡(luò)會(huì)話,指的是兩個(gè)特定端點(diǎn)之間發(fā)生的通信。例如,一個(gè)IP會(huì)話是兩個(gè)IP地址間的所有通信。 從“Statistics - Conversations”,打開(kāi)會(huì)話統(tǒng)計(jì)信息窗口。在該窗口中,每個(gè)支持的協(xié)議,都顯示為一個(gè)選項(xiàng)卡。選項(xiàng)標(biāo)簽顯示被捕捉端點(diǎn)數(shù)目(例如:“Ethernet :30”表示有30個(gè)Ethernet端點(diǎn)被捕捉到)。如果某個(gè)協(xié)議沒(méi)有端點(diǎn)被捕捉到,選項(xiàng)標(biāo)簽顯示為 灰色。 列表中每行顯示單個(gè)端點(diǎn)的統(tǒng)計(jì) 信息。,,Wireshark的使用,流量統(tǒng)計(jì)曲線圖: 從“Statistics - IO Graphs“,打開(kāi)流量統(tǒng)計(jì)信息窗口。 Wireshark根據(jù)用戶(hù)配置生成曲線圖。用戶(hù)可以對(duì)一下內(nèi)容進(jìn)行設(shè)置: Graphs Graph 1-5: 開(kāi)啟1-5圖表(默認(rèn)僅開(kāi)啟graph 1) Color: 圖表的顏色(不可修改) Filter: 指定顯示過(guò)濾器 Style: 圖表樣式(Line/Impulse/FBar) X Axis Tick interval 設(shè)置X軸的每格代表的時(shí)間(10/1/0.1/0.01/0.001 seconds) Pixels per tick 設(shè)置X軸每格占用像素 (10/5/2/1 pixels) Y Axis Unit y軸的單位(Packets/Tick, Bytes/Tick, Bits/Tick, Advanced.) Ssale Y軸單位的刻度(10,20,50,100,200,500,.),Wireshark的使用,服務(wù)響應(yīng)時(shí)間 服務(wù)響應(yīng)時(shí)間是發(fā)送請(qǐng)求到產(chǎn)生應(yīng)答之間的時(shí)間間隔。響應(yīng)時(shí)間在很多協(xié)議中可用,比如H.225 RAS。從“Statistics - Service Response Time“,選擇所要查看的協(xié)議類(lèi)型,打開(kāi)服務(wù)響應(yīng)時(shí)間信息窗口。下圖為H.225 RAS 服務(wù)響應(yīng)時(shí)間.,,Wireshark的使用,FQA: 使用接口列表中默認(rèn)的第一個(gè)接口時(shí)候,為什么捕獲不到數(shù)據(jù)? 接口列表中的第一個(gè)接口為環(huán)回接口,Wireshark在windows平臺(tái)下不支持環(huán)回接口捕獲。選擇正確的接口然后進(jìn)行數(shù)據(jù)包捕獲。 在接口列表中顯示多個(gè)接口,如何確定哪個(gè)接口為本pc的網(wǎng)卡? 選擇“Capture - Interface“,可以在Interface對(duì)話框中根據(jù)接口的IP地址來(lái)確定PC所對(duì)應(yīng)的網(wǎng)卡。 為何在非混雜模式下,Wireshark依然捕獲到不希望看到的網(wǎng)絡(luò)包? 在非混雜模式下可捕獲含本網(wǎng)卡地址單播包、具有多播地址且與本網(wǎng)卡地址配置相吻合的數(shù)據(jù)包、廣播包。而在混雜模式下,Wireshark除捕獲上述類(lèi)型的數(shù)據(jù)包外,與本網(wǎng)卡地址配置不吻合的組播包也會(huì)被捕獲下來(lái)。 如果有其他應(yīng)用程序?qū)⒕W(wǎng)卡設(shè)置成混雜模式的話,Wireshark只能在混雜模式下進(jìn)行捕獲,雖然當(dāng)前Wireshark設(shè)置為非混雜模式進(jìn)行捕獲。比如ifconfig指令會(huì)把網(wǎng)卡設(shè)置成混雜模式。,- 1.請(qǐng)仔細(xì)閱讀文檔,確保文檔完整性,對(duì)于不預(yù)覽、不比對(duì)內(nèi)容而直接下載帶來(lái)的問(wèn)題本站不予受理。
- 2.下載的文檔,不會(huì)出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請(qǐng)點(diǎn)此認(rèn)領(lǐng)!既往收益都?xì)w您。
下載文檔到電腦,查找使用更方便
9.9 積分
下載 |
- 配套講稿:
如PPT文件的首頁(yè)顯示word圖標(biāo),表示該P(yáng)PT已包含配套word講稿。雙擊word圖標(biāo)可打開(kāi)word文檔。
- 特殊限制:
部分文檔作品中含有的國(guó)旗、國(guó)徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計(jì)者僅對(duì)作品中獨(dú)創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- WireShark 使用說(shuō)明
鏈接地址:http://italysoccerbets.com/p-1825569.html