实验二 Wireshark安装和使用

2024年2月20日发(作者：)

实验二 Wireshark安装和使用

实验目的

1.安装Wireshark网络协议分析软件；

2.学习了解Wireshark软件功能；

实验内容

1.1 Wireshark简介

Wireshark（前称Ethereal）是最好的开源网络封包分析软件之一。网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPcap作为接口，直接与网卡进行数据报文交换。

ark的主要应用

1）网络管理员用来解决网络问题；

2）网络安全工程师用来检测安全隐患；

3）开发人员用来测试协议执行情况；

4）网络初学者用来学习网络协议；

5）除了上面提到的，Wireshark还可以用在其它许多场合。

ark的主要特性

1）支持UNIX和Windows平台；

2）在接口实时捕捉包；

3）能详细显示包的详细协议信息；

4）可以打开/保存捕捉的包；

5）可以导入/导出其他捕捉程序支持的包数据格式；

6）可以通过多种方式过滤包；

7）可以通过多种方式查找包；

8）可以通过过滤以多种色彩显示包；

9）创建多种统计分析。

1

1.2 安装Wireshark

Wireshark软件可以通过官方网站（/）进行下载，根据主机配置选择下载适合的版本，例如主机操作系统为windows 7

64位旗舰版，可以选择下载版本为。下载完成后，打开下载文件进行如下安装。

1）双击此下载的软件包，开始进行安装，该界面显示了Wireshark的基本信息，点击“Next”，如图2-1所示；

图2-1欢迎界面

2）该界面显示了使用Wireshark的许可证条款信息。阅读许可证条款，如果同意接受此条款，点击“I Agree”，如图2-2所示：

2

图2- 1许可协议对话框

3）选择希望安装的Wireshark组件，这里接受默认选项即可，如图2-3所示；

图2-3 选择组件对话框

4）该界面用来设置创建快捷方式的位置和关联文件扩展名，如图2-4所示；

3

图2-4 Select Additional Tasks对话框

5）选择Wireshark安装路径，点击“Next”，如图2-5所示：

图2-5 安装位置对话框

6）该界面提示是否要安装WinPcap。如果要使用Wireshark捕获数据，必须要安装WinPcap，因此这里将Install WinPcap 4.1.3复选框选中，单击“Install”，4

Wireshark将开始安装，如图2-6所示；

图2-6 安装WinPcap对话框

7）Wireshark安装过程中弹出WinPcap安装欢迎界面，该界面显示了WinPcap基本信息，点击“Next”，准备进行WinPcap安装，如图2-7所示；

图2-7 WinPcap欢迎界面

8）该界面显示WinPcap许可证条款信息，点击“I Agree”，如图2-8所示；

5

图2-8 WinPcap许可证条款对话框

9）该界面显示了安装WinPcap选项，点击“Install”，开始安装，如图2-9所示；

图2-9 安装选项

10）该界面显示WinPcap已安装完成，点击“Finish”按钮，将继续安装6

Wireshark，如图2-10所示；

图2-10 安装WinPcap完成

11）该界面显示Wireshark已经安装完成，点击“Next”按钮，如图2-11所示：

图2-11 Wireshark安装完成

7

12）该界面显示Wireshark设置向导完成，此时如果想直接启动Wireshark，则选择“Run Wireshark 2.2.7(64-bit)”，然后单击“Finish”，如图2-12所示；

图2-12 完成界面

13）安装完成后，在Windows窗口程序中会出现Wireshark的两个图标。启动Wireshark Legacy程序是英文版界面；启动Wireshark是中文版界面，如图2-13所示。

图2-13 Wireshark图标

1.3 Wireshark功能介绍

1.3.1 Wireshark主界面

Wireshark主界面中包括了菜单栏、工具栏、过滤栏、帮助窗口等功能，如图14所示。菜单栏中主要功能包括：

（1）File：包括打开文件，合并捕捉文件，保存，打印，导出捕捉文件，退出等功能。

（2）Edit：包括查找包，时间参考，标记一个或多个包，设置预设参数。

（3）View：控制捕捉数据的显示方式，包括颜色，字体缩放，将包显示在8

分离的窗口，展开或收缩详情面板的树状节点。

（4）GO：包含到指定包的功能。

（5）Capture：允许开始或停止捕捉、编辑过滤器。

（6）Analyze：包含处理显示过滤，允许或禁止分析协议，配置用户指定解码和追踪TCP流等功能。

（7）Statistics：显示多个统计窗口，包括关于捕捉包的摘要，协议层次统计等。

（8）Help：包含一些辅助用户的参考内容，如访问一些基本的帮助文件，支持的协议列表，用户手册，在线访问一些网站等。

图2-14 Wireshark主界面

1.3.2 Capture Options 选项

要开始数据捕获，首先需要选择Capture（捕获）菜单栏中的Options（选项），该对话框显示了多项设置和过滤器，用于确定捕获的数据通信类型及其数量，如图2-15所示：

9

图2-15 Wireshark数据捕和选项

（1）Interface：指定在哪个接口（网卡）上抓包。单网卡下使用默认即可，如果同时拥有多个以太网接口和无线网络接口，必须选择一个进行监测。

（2）Use promiscuous mode on all interfaces：是否打开混杂模式。如果打开，抓取所有的数据包。一般情况下只需监听本机收到或者发出的包，因此应该关闭这个选项。

（3）Capture Filter：抓包过滤器。只抓取满足过滤规则的包，用在抓包过程中限制捕获的数据量。抓包过滤器使用的是libcap过滤器语言，在Wireshark help中有详细解释。

（4）File：如果需要将抓到的包写到文件中，在这里输入文件名称或者点击“”，选择已经存在的文件。

（5）Use multiple files：是否使用循环缓冲。注意，循环缓冲只有在写文件时才有效。如果使用了循环缓冲，还需要设置文件的数目，以及文件回卷大小。

（6）Display option：显示选项。默认情况下，分组显示与它们被捕获时的状态不一样；可以选择观察实时更新的分组项，也可选择让显示屏自动滚动最后捕获的分组。

（7）Name Resolution：名字解析。把分组中的数字转化成名字，默认情况下是MAC地址解析和传输名字解析。

10

（8）Stop Capture ：控制在一定数量的分组、跟踪记录到达一定的大小或者一个特定的时间后停止跟踪。

（9）Start：点击“Start”，Wireshark就开始捕获分组并显示捕获统计窗口。

1.3.3 包分析

图2-16展示了Wireshark捕获包进行分析的主窗口界面，主要包含列表框、协议层框和原始框三个部分。

图2-16 Wireshark主窗口

1）列表框：显示捕获的每个数据包的摘要信息，包括编号、时间、源IP、目的IP、最高层协议、分组长度、信息。单击此窗格中数据包可控制另外两个窗格中的显示信息。

图2-17 列表框

2）协议层框：显示所选分组的各层分层协议，链路层帧（frame）、网络层数据报（datagram）、运输层的报文段（segment）、应用层的报文（message）。

图2-18 协议层框

11

3）原始框：显示了分组中包含的数据的每个字节。方框的左边以十六进制的形式表示实际的二进制，右边显示的是ASCII码，突出显示在协议层框所选的字段。

图2-19 原始框

1.3.4 Filter

使用Filter，得到所需的特定包，过滤器包含两种类型。

1）一种是显示过滤器，位于主界面工具栏下方，如图2-20所示，用来在捕获的记录中找到所需要的记录。

图2-20 显示过滤器

在Filter栏上，填好所要过滤的表达式后，点击“Save”按钮，给表达式取名，例如“Filter 1010”，如图2-21所示，点击“OK”。

图2-21 保存过滤

在Filter栏上会出现一个“Filter 1010”的按钮。

12

图2-22 过滤保存成功

过滤表达式的规则如下：

（1）协议过滤：保留指定协议，例如输入“TCP”，则结果中只显示TCP协议。

（2）IP过滤：保留所捕获的指定IP地址的数据包，例如“==61.6.192.100”，显示源地址为61.6.192.100的数据包；“==61.6.192.100”，显示目的地址为61.6.192.100的数据包。

（3）端口过滤：显示指定端口的数据包，例如“==80 ”，只显示TCP协议源端口为80的数据包。

（4）Http模式过滤：“=="GET"”，只显示HTTP GET方法的获得的数据包。

2）另一种是捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录。在Capture在的Capture Filters中设置。可新建或者删除过滤条件，如图2-23所示。

图2-23捕获过滤器

13

1.根据上面所述，自己动手安装Wireshark软件，并将成功安装完成后的软件界面进行截图；

2.根据上文介绍，了解并熟悉Wireshark软件相关功能。14

15