应用简介
Wireshark是一款功能强大的网络协议检测程序。本程序功能强大完全免费,让您借由本程序抓取运行的网站的相关资讯,包括每一封包流向及其内容、资讯可依操作系统语系看出,方便查看、监控TCP session动态等等。网络管理员可以使用它检测网络问题,网络安全工程师可以使用它来检查资讯安全相关问题,开发者使用它来为新的通讯协定除错,普通使用者使用它来学习网络协定的相关知识。Wireshark不是入侵侦测系统(Intrusion Detection System,IDS)。对于网络上的异常流量行为,软件不会产生警示或是任何提示。然而,仔细分析软件撷取的封包能够帮助使用者对于网络行为有更清楚的了解。也不会对网络封包产生内容的修改,它只会反映出目前流通的封包资讯。 而它本身也不会送出封包至网络上。
【操作技巧】
1、菜单用于开始操作。
2、主工具栏提供快速访问菜单中经常用到的项目的功能。
3、Fiter toolbar/过滤工具栏提供处理当前显示过滤得方法。
4、Packet List面板显示打开文件的每个包的摘要。点击面板中的单独条目,包的其他情况将会显示在另外两个面板中。
5、Packet detail面板显示您在Packet list面板中选择的包德更多详情。
6、Packet bytes面板显示您在Packet list面板选择的包的数据,以及在Packet details面板高亮显示的字段。
7、状态栏显示当前程序状态以及捕捉数据的更多详情。
【怎么抓包】
1、设置捕获接口
2、数据包的保存
Wireshark完成数据包的捕获后,可能我们并不急着马上做分析,或者说当前能做的分析还不够完整,需要后面来加深……如此种种,我们需要用文件保存这些数据包。保存数据包也有三种方式,
1、使用Ctrl+S组合键;
2、菜单栏:依次点击"File"-->"Save"
3、主工具栏 的按钮
【过滤规则及使用方法】
初学者使用wireshark时,将会得到大量的冗余数据包列表,以至于很难找到自己自己抓取的数据包部分。wireshar工具中自带了两种类型的过滤器,学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。
1、抓包过滤器
捕获过滤器的菜单栏路径为Capture --> Capture Filters。用于在抓取数据包前设置。
如何使用?可以在抓取数据包前设置如下。
ip host 60.207.246.216 and icmp表示只捕获主机IP为60.207.246.216的ICMP数据包。获取结果如下:
2、显示过滤器
显示过滤器是用于在抓取数据包后设置过滤条件进行过滤数据包。通常是在抓取数据包时设置条件相对宽泛,抓取的数据包内容较多时使用显示过滤器设置条件顾虑以方便分析。同样上述场景,在捕获时未设置捕获规则直接通过网卡进行抓取所有数据包,如下
执行ping www.huawei.com获取的数据包列表如下;
观察上述获取的数据包列表,含有大量的无效数据。这时可以通过设置显示器过滤条件进行提取分析信息。ip.addr == 211.162.2.183 and icmp。并进行过滤。
上述介绍了抓包过滤器和显示过滤器的基本使用方法,在组网不复杂或者流量不大情况下,使用显示器过滤器进行抓包后处理就可以满足我们使用。
