一、簡(jiǎn)介：

Wireshark（前稱 Ethereal）是一個(gè)網(wǎng)絡(luò)封包分析軟件。網(wǎng)絡(luò)封包分析軟件的功能是擷取網(wǎng)絡(luò)封包，并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)封包資料。Wireshark 使用 WinPCAP 作為接口，直接與網(wǎng)卡進(jìn)行數(shù)據(jù)報(bào)文交換。

網(wǎng)絡(luò)封包分析軟件的功能可想像成 "電工技師使用電表來(lái)量測(cè)電流、電壓、電阻" 的工作 - 只是將場(chǎng)景移植到網(wǎng)絡(luò)上，并將電線替換成網(wǎng)絡(luò)線。在過(guò)去，網(wǎng)絡(luò)封包分析軟件是非常昂貴的，或是專門屬于營(yíng)利用的軟件。Ethereal 的出現(xiàn)改變了這一切。在 GNUGPL 通用許可證的保障范圍底下，使用者可以以免費(fèi)的代價(jià)取得軟件與其源代碼，并擁有針對(duì)其源代碼修改及客制化的權(quán)利。Ethereal 是目前全世界最廣泛的網(wǎng)絡(luò)封包分析軟件之一。

網(wǎng)絡(luò)管理員使用 Wireshark 來(lái)檢測(cè)網(wǎng)絡(luò)問(wèn)題，網(wǎng)絡(luò)安全工程師使用 Wireshark 來(lái)檢查資訊安全相關(guān)問(wèn)題，開(kāi)發(fā)者使用Wireshark 來(lái)為新的通訊協(xié)定除錯(cuò)，普通使用者使用 Wireshark 來(lái)學(xué)習(xí)網(wǎng)絡(luò)協(xié)定的相關(guān)知識(shí)。當(dāng)然，有的人也會(huì)“居心叵測(cè)”的用它來(lái)尋找一些敏感信息……

Wireshark 不是入侵偵測(cè)系統(tǒng)（Intrusion Detection System,IDS）。對(duì)于網(wǎng)絡(luò)上的異常流量行為，Wireshark 不會(huì)產(chǎn)生警示或是任何提示。然而，仔細(xì)分析 Wireshark 擷取的封包能夠幫助使用者對(duì)于網(wǎng)絡(luò)行為有更清楚的了解。Wireshark 不會(huì)對(duì)網(wǎng)絡(luò)封包產(chǎn)生內(nèi)容的修改，它只會(huì)反映出目前流通的封包資訊。 Wireshark 本身也不會(huì)送出封包至網(wǎng)絡(luò)上。

wireshark 能獲取 HTTP，也能獲取 HTTPS，但是不能解密 HTTPS，所以 wireshark 看不懂 HTTPS 中的內(nèi)容，如果是處理 HTTP，HTTPS 還是用 Fiddler，其他協(xié)議比如 TCP，UDP 就用 wireshark。同類產(chǎn)品：tcpview

二、工作流程：

（1）確定 Wireshark 的位置。如果沒(méi)有一個(gè)正確的位置，啟動(dòng) Wireshark 后會(huì)花費(fèi)很長(zhǎng)的時(shí)間捕獲一些與自己無(wú)關(guān)的數(shù)據(jù)。
（2）選擇捕獲接口。一般都是選擇連接到 Internet 網(wǎng)絡(luò)的接口，這樣才可以捕獲到與網(wǎng)絡(luò)相關(guān)的數(shù)據(jù)。否則，捕獲到的其它數(shù)據(jù)對(duì)自己也沒(méi)有任何幫助。
（3）使用捕獲過(guò)濾器。通過(guò)設(shè)置捕獲過(guò)濾器，可以避免產(chǎn)生過(guò)大的捕獲文件。這樣用戶在分析數(shù)據(jù)時(shí)，也不會(huì)受其它數(shù)據(jù)干擾。而且，還可以為用戶節(jié)約大量的時(shí)間。
（4）使用顯示過(guò)濾器。通常使用捕獲過(guò)濾器過(guò)濾后的數(shù)據(jù)，往往還是很復(fù)雜。為了使過(guò)濾的數(shù)據(jù)包再更細(xì)致，此時(shí)使用顯示過(guò)濾器進(jìn)行過(guò)濾。
（5）使用著色規(guī)則。通常使用顯示過(guò)濾器過(guò)濾后的數(shù)據(jù)，都是有用的數(shù)據(jù)包。如果想更加突出的顯示某個(gè)會(huì)話，可以使用著色規(guī)則高亮顯示。
（6）構(gòu)建圖表。如果想要更明顯的看出一個(gè)網(wǎng)絡(luò)中數(shù)據(jù)的變化情況，使用圖表的形式可以很方便的展現(xiàn)數(shù)據(jù)分布情況。
（7）重組數(shù)據(jù)。Wireshark 的重組功能，可以重組一個(gè)會(huì)話中不同數(shù)據(jù)包的信息，或者是一個(gè)重組一個(gè)完整的圖片或文件。由于傳輸?shù)奈募^大，所以信息分布在多個(gè)數(shù)據(jù)包中。為了能夠查看到整個(gè)圖片或文件，這時(shí)候就需要使用重組數(shù)據(jù)的方法來(lái)實(shí)現(xiàn)。

三、使用教程：

1、英文版界面菜單及布局：













2、捕捉過(guò)濾器：

捕捉過(guò)濾器的語(yǔ)法與其它使用Lipcap（Linux）或者Winpcap（Windows）庫(kù)開(kāi)發(fā)的軟件一樣，比如著名的TCPdump。捕捉過(guò)濾器必須在開(kāi)始捕捉前設(shè)置完畢，這一點(diǎn)跟顯示過(guò)濾器是不同的。

設(shè)置捕捉過(guò)濾器的步驟是：

- 選擇 capture -> options。
- 填寫"capture filter"欄或者點(diǎn)擊"capture filter"按鈕為您的過(guò)濾器起一個(gè)名字并保存，以便在今后的捕捉中繼續(xù)使用這個(gè)過(guò)濾器。
- 點(diǎn)擊開(kāi)始（Start）進(jìn)行捕捉。



語(yǔ)法：Protocol  Direction  Host(s)  Value  Logical Operations  Other expression
例子： tcp      dst       10.1.1.1  80          and           tcp dst 10.2.2.2 3128

Protocol（協(xié)議）:
可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.
如果沒(méi)有特別指明是什么協(xié)議，則默認(rèn)使用所有支持的協(xié)議。

Direction（方向）:
可能的值: src, dst, src and dst, src or dst
如果沒(méi)有特別指明來(lái)源或目的地，則默認(rèn)使用 "src or dst" 作為關(guān)鍵字。
例如，"host 10.2.2.2"與"src or dst host 10.2.2.2"是一樣的。

Host(s):
可能的值： net, port, host, portrange.
如果沒(méi)有指定此值，則默認(rèn)使用"host"關(guān)鍵字。
例如，"src 10.1.1.1"與"src host 10.1.1.1"相同。

Logical Operations（邏輯運(yùn)算）:
可能的值：not, and, or.
否("not")具有最高的優(yōu)先級(jí)?；?"or")和與("and")具有相同的優(yōu)先級(jí)，運(yùn)算時(shí)從左至右進(jìn)行。例如，
"not tcp port 3128 and tcp port 23"與"(not tcp port 3128) and tcp port 23"相同。
"not tcp port 3128 and tcp port 23"與"not (tcp port 3128 and tcp port 23)"不同。

例子：

tcp dst port 3128 顯示目的TCP端口為3128的封包。

ip src host 10.1.1.1 顯示來(lái)源IP地址為10.1.1.1的封包。

host 10.1.2.3 顯示目的或來(lái)源IP地址為10.1.2.3的封包。

src portrange 2000-2500 顯示來(lái)源為UDP或TCP，并且端口號(hào)在2000至2500范圍內(nèi)的封包。

not imcp 顯示除了icmp以外的所有封包。（icmp通常被ping工具使用）

src host 10.7.2.12 and not dst net 10.200.0.0/16 顯示來(lái)源IP地址為10.7.2.12，但目的地不是10.200.0.0/16的封包。

(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8 顯示來(lái)源IP為10.4.1.12或者來(lái)源網(wǎng)絡(luò)為10.6.0.0/16，目的地TCP端口號(hào)在200至10000之間，并且目的位于網(wǎng)絡(luò)10.0.0.0/8內(nèi)的所有封包。

注意事項(xiàng)：

當(dāng)使用關(guān)鍵字作為值時(shí)，需使用反斜杠“\”。
"ether proto \ip" (與關(guān)鍵字"ip"相同).
這樣寫將會(huì)以IP協(xié)議作為目標(biāo)。

"ip proto \icmp" (與關(guān)鍵字"icmp"相同).
這樣寫將會(huì)以ping工具常用的icmp作為目標(biāo)。

可以在"ip"或"ether"后面使用"multicast"及"broadcast"關(guān)鍵字。
當(dāng)您想排除廣播請(qǐng)求時(shí)，"no broadcast"就會(huì)非常有用。


3、顯示過(guò)濾器：

通常經(jīng)過(guò)捕捉過(guò)濾器過(guò)濾后的數(shù)據(jù)還是很復(fù)雜。此時(shí)您可以使用顯示過(guò)濾器進(jìn)行更加細(xì)致的查找。
它的功能比捕捉過(guò)濾器更為強(qiáng)大，而且在您想修改過(guò)濾器條件時(shí)，并不需要重新捕捉一次。

語(yǔ)法：Protocol  String 1  String 2  Comparison operator Value  Logical Operations  Other expression
例子：ftp       passive    ip                ==       10.2.3.4        xor            icmp.type

Protocol（協(xié)議）:

您可以使用大量位于OSI模型第2至7層的協(xié)議。點(diǎn)擊"Expression..."按鈕后，您可以看到它們。
比如：IP，TCP，DNS，SSH





Wireshark的網(wǎng)站提供了對(duì)各種 協(xié)議以及它們子類的說(shuō)明。

四、練習(xí)：

首次啟動(dòng)：本案例的客戶端有 4 塊網(wǎng)卡，其中出口網(wǎng)卡被命名為 “28”，使用 Wireshark 版本是 v2.0.1



雙擊 出口網(wǎng)卡 “28”，開(kāi)始捕捉包?；蛘邚牟藛伍_(kāi)始此步，注意勾選“混雜模式”：



正在對(duì) 網(wǎng)卡“28” 進(jìn)行捕包：



滾屏設(shè)置：



封包列表（Packet List Pane）的面板中顯示：編號(hào)，時(shí)間戳，源地址，目標(biāo)地址，協(xié)議，長(zhǎng)度，以及封包信息。
不同的協(xié)議用了不同的顏色顯示，也可以修改這些顯示顏色的規(guī)則，  View ->Coloring Rules



保存后的本地文件：



查看 arp 協(xié)議的數(shù)據(jù)包：



查看與某個(gè)地址相關(guān)的握手：

最新評(píng)論