2024年2月20日发(作者:)
word格式-可编辑-感谢下载支持
Wireshark使用说明文档(详细中文版)
前言:
由于wireshark在网上的使用说明文档较少,并且在我们的日常的工作中该软件基本每天都要接触,因此写下该文档,只希望对该软件有兴趣的同学的学习能稍微有一点点的帮助。
该文档的出现完全要感谢我们的部门经理,要不是他的督促下可能到现在仍然没有类似的介绍wireshark的文档出现。由于每天的事情也比较多最近,以至于该文档拖了很久才出现在大家面前,对此也深感无奈;`
该文档只介绍wireshark的一些简单的、常用的日常使用的方式,由于书写者水平有限,致以该文档在书写的过程中可能避免不了会有一些错误以及不准确的地方,对于错误的、不准确的地方还请大家多多指正、多多包涵。
中新软件有限公司
技术中心:孙凯
目 录
简介 -------------------------------------------------------------------------------------------------------------------------------------- 3
1.1.、什么是Wireshark ----------------------------------------------------------------------------------------------------- 3
2.1、 主要应用 --------------------------------------------------------------------------------------------------------------- 3
1.1.2. 特性 ------------------------------------------------------------------------------------------------------------- 4
安装 -------------------------------------------------------------------------------------------------------------------------------------- 4
2.1、windows平台上的安装 ------------------------------------------------------------------------------------------------ 4
2.2、linux平台上的安装 -------------------------------------------------------------------------------------------------- 11
2.2.1、RedHat版本 ---------------------------------------------------------------------------------------------------- 11
2.2.1.1、tcpdump源码安装方式 ---------------------------------------------------------------------------- 11
2.2.2.2、Linux yum安装方式 ------------------------------------------------------------------------------- 16
2.3、Ubuntu apt-get安装方式 ------------------------------------------------------------------------------------------ 21
界面概括 ------------------------------------------------------------------------------------------------------------------------------- 25
3.1.0、主菜单栏 -------------------------------------------------------------------------------------------------------------- 26
word格式-可编辑-感谢下载支持
3.1.1、抓包工具栏 ----------------------------------------------------------------------------------------------------------- 26
3.1.2、文件工具栏 ----------------------------------------------------------------------------------------------------------- 37
3.1.3、包查找工具栏 -------------------------------------------------------------------------------------------------------- 38
3.1.4、颜色定义工具栏 ---------------------------------------------------------------------------------------------------- 38
3.1.5、字体大小工具栏 ---------------------------------------------------------------------------------------------------- 39
3.1.6、首选项工具栏 -------------------------------------------------------------------------------------------------------- 39
菜单简介 ------------------------------------------------------------------------------------------------------------------------------- 44
4.2.0、菜单栏 ----------------------------------------------------------------------------------------------------------------- 44
4.2.1、file菜单 ------------------------------------------------------------------------------------------------------------- 45
4.2.2、Edit菜单 ------------------------------------------------------------------------------------------------------------- 46
4.2.3、View菜单 ------------------------------------------------------------------------------------------------------------- 49
4.2.4、Go菜单栏 ------------------------------------------------------------------------------------------------------------- 53
4.2.5、Capture菜单栏 ----------------------------------------------------------------------------------------------------- 54
4.2.6、Analyze菜单栏 ----------------------------------------------------------------------------------------------------- 55
4.2.7、Statistics菜单栏 ------------------------------------------------------------------------------------------------ 62
4.2.8、Telephony菜单栏 -------------------------------------------------------------------------------------------------- 70
4.2.9、Tools菜单栏 -------------------------------------------------------------------------------------------------------- 71
4.3.0、Internals(内部)菜单栏 -------------------------------------------------------------------------------------- 71
4.3.1、Help菜单栏 ---------------------------------------------------------------------------------------------------------- 72
wireshark显示/抓包过滤器 ----------------------------------------------------------------------------------------------------- 74
5.1、显示过滤器概括 -------------------------------------------------------------------------------------------------------- 74
5.1.1、wireshark规则编辑 ----------------------------------------------------------------------------------------- 75
5.1.2、语法以及连接符 ---------------------------------------------------------------------------------------------- 76
5.1.3、新建规则 -------------------------------------------------------------------------------------------------------- 76
5.2、抓包过滤器概括 -------------------------------------------------------------------------------------------------------- 83
5.2.1、wireshark规则编辑 ----------------------------------------------------------------------------------------- 84
5.2.2、语法以及连接符 ---------------------------------------------------------------------------------------------- 84
5.2.3、新建规则 -------------------------------------------------------------------------------------------------------- 85
协议分析 ------------------------------------------------------------------------------------------------------------------------------- 90
6.1、TCP协议原理简介及分析 -------------------------------------------------------------------------------------------- 90
6.1.1、TCP协议原理简介 -------------------------------------------------------------------------------------------- 91
word格式-可编辑-感谢下载支持
6.1.2、TCP协议数据包捕捉分析 ---------------------------------------------------------------------------------- 97
6.1.2.1、TCP数据包头部格式 ------------------------------------------------------------------------------- 97
6.1.2.2、TCP连接建立的三次握手 ------------------------------------------------------------------------- 99
6.1.2.3、TCP四次挥手的连接终止 ----------------------------------------------------------------------- 100
6.1.2.4、SYN Flood攻击数据包 -------------------------------------------------------------------------- 101
6.1.2.5、ACK Flood攻击 ------------------------------------------------------------------------------------ 101
6.2、HTTP协议原理简介及分析 ---------------------------------------------------------------------------------------- 102
6.2.1、HTTP协议工作原理简介 ---------------------------------------------------------------------------------- 103
6.2.2、HTTP协议数据包捕捉分析 ------------------------------------------------------------------------------- 110
6.2.2.1、HTTP数据包头部格式 ---------------------------------------------------------------------------- 110
6.2.2.2、HTTP协议的连接 ---------------------------------------------------------------------------------- 111
常见问题 ----------------------------------------------------------------------------------------------------------------------------- 113
7.1、wireshark安装问题 ------------------------------------------------------------------------------------------------ 113
7.1.2、找不到接口 -------------------------------------------------------------------------------------------------- 113
7.2、wireshark显示问题 ------------------------------------------------------------------------------------------------ 115
7.2.1、数据包序列号问题 ----------------------------------------------------------------------------------------- 115
7.2.2、校验和问题 -------------------------------------------------------------------------------------------------- 116
简介
1.1.、什么是Wireshark
Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包, 并尝试显示包的尽可能详细的情况。过去的此类工具要么是过于昂贵,要么是属于某人私有,或者是二者兼顾。 Wireshark出现以后,这种现状得以改变。
2.1、 主要应用
word格式-可编辑-感谢下载支持
网络管理员用来解决网络通讯问题;
网络安全工程师用来检测已知的和未知的安全隐患;
开发人员用来测试协议执行情况;
用来学习网络协议;
除了上面提到的,Wireshark还可以用在其它许多场合。
1.1.2. 特性
支持UNIX和Windows平台;
在接口实时捕捉包;
能详细显示包的详细协议信息;
可以打开/保存捕捉的包;
可以导入导出其他捕捉程序支持的包数据格式;
可以通过多种方式过滤包;
多种方式查找包;
通过过滤以多种色彩显示包;
创建多种统计分析;
捕捉多种网络接口;
支持多种其它程序捕捉的文件;
支持多格式输出;
对多种协议解码提供支持;
开源软件;
不管怎么说,要想真正了解它的强大,您还得使用它才行!
安装
2.1、windows平台上的安装
在互联网搜索到我们想要安装的软件版本,执行安装包后弹出如下欢迎界面:
word格式-可编辑-感谢下载支持
图2-1-1
选择“Next”我们进入到下一步安装步骤;
图2-1-2
word格式-可编辑-感谢下载支持
如图2-1-2这一步wireshark会询问我们需要安装哪些程序组件。我们可以选择性的安装我们必须的一些wireshark附带的工具;
通常使用到的有:wireshark主程序(图形界面)、TSshark(基于命令行的)、plugins/extensions(wireshark以及TSshark的一些扩展插件)等...在此我们选择安装全部组件程序后点击“Next”进入到下一步安装;
图2-1-3
如图2-1-3所示在此界面wireshark安装程序会询问我们是否要在开始菜单(Start Menu Item)、桌面快捷方式(Desktop Icon)、快速启动栏(Quick Launch Icon)以及是否关联所列出的后缀名文件。在此我们选择建立桌面快捷方式并且关联到列出后缀名文件后点击“Next”进入到下一步安装;
word格式-可编辑-感谢下载支持
图2-1-4
如图2-1-4所示wireshark询问我们的安装位置。我们选择F盘点击“Next”;
图2-1-5
图2-1-5所示,wireshark安装程序询问我们是否安装依赖软件WinPcap 3.0(该软件主要用于捕获
word格式-可编辑-感谢下载支持
网络底层数据包),假如您的电脑上已经安装了该软件,那么我们可以取消掉该软甲的安装。
在此处由于我们没有安装过该软件我们勾选该复选框后点击“Install”执行安装;
图2-1-6
图2-1-7
word格式-可编辑-感谢下载支持
如图2-1-7所示我们进入到WinPcap的安装界面点击“Next”进入到下一步安装;
图2-1-8
如图2-1-8点击“Next”进行到WinPcap的下一步安装操作;
图2-1-9
word格式-可编辑-感谢下载支持
图2-1-9所示,WinPcap询问我们是否开机自动启动WinPcap驱动程序。我们采取默认选项后点击“Install”;
图2-1-10
假如出现图2-1-10的提示,那么就是您的电脑已经安装了该类软件,WinPcap询问我们是否卸载以前所安装的WinPcap。在此我们选择“是”后WinPcap开始自动安装;
word格式-可编辑-感谢下载支持
图2-1-11
到了如图2-1-11所示的界面后说名wireshark已经安装成功了,点击“Finish”后在桌面我们可以看到wireshark的快捷方式;
2.2、linux平台上的安装
2.2.1、RedHat版本
.1、tcpdump源码安装方式
首先安装tcpdump需要先安装libpcap,把我们下载到的tcpdump以及libpcap安装包放在linux一个目录下面,然后我们使用cd进入该目录后执行libpcap的解压操作。如下图2-2-1,2-2-2所示:
word格式-可编辑-感谢下载支持
图2-2-1
图2-2-2
解压完毕后的;libpca目录如下图2-2-3所示:
word格式-可编辑-感谢下载支持
图2-2-3
我们进入到该目录,然后执行./configure然后执行make&make install就开始安装了;安装完毕后的正常状态如下图2-2-4所示:
图2-2-4
然后我们进入到tcpdump文件的存放目录,再次执行解压操作;如下图2-2-5,2-2-6所示:
word格式-可编辑-感谢下载支持
图2-2-5
图2-2-6
进入到tcpdump目录下后我们一样执行./configure,完毕后我们再次执行:make&make install;安装完毕后我们就可以使用该软件了;如下图2-2-7,2-2-8所示:
word格式-可编辑-感谢下载支持
图2-2-7
图2-2-8
Tcpdum软件很早之前就有,在此只为了让大家比较一下wireshark以及tcpdump的一些不同之处。如果大家对于tcpdump有兴趣也可以自己去百度一下;我们在这里就不多做赘述了。
word格式-可编辑-感谢下载支持
2.2.2.2、Linux yum安装方式
首先输入yum install wireshark-gnome,启动wireshark以及依赖软件包的下载;如图2-2-9,2-2-10所示:
图2-2-9
word格式-可编辑-感谢下载支持
图2-2-10
如上图2-2-10,我们输入y回车后wireshark开始自动下载wireshark以及依赖软件;
下载完后系统会提示是否执行wireshark以及一些相关软件的安装;如下图2-2-11,2-2-12所示:
word格式-可编辑-感谢下载支持
图2-2-11
图2-2-12
我们输入y回车后系统将自动执行一系列的软件安装;如下图2-2-13,2-2-14所示:
word格式-可编辑-感谢下载支持
图2-2-13
图2-2-14
word格式-可编辑-感谢下载支持
如上图2-2-14,系统自动完成了wireshark以及相关依赖软件的安装;这时候我们输入wireshark这条命令回车后发下报错!如下图2-2-15:
图2-2-15
ethereal和wireshark都是基于图形的程序,所以我们使用ssh的远程终端是无法运行的。
比如说,使用ethereal命令就可以启动它了,但是远程终端会提示 Gtk-WARNING **: cannot open
display:;遇到该问题怎么办呢?我们可以使用对应的命令行程序 tethereal;这条命令来启动wireshark进行数据包捕捉。如下图:2-2-16所示:
word格式-可编辑-感谢下载支持
图2-2-16
关于linux下的wireshark的安装我们就讲这么多,但是wireshark并不止这一种安装方式,还有其他的一些更为可选的安装方式。这些需要大家自己去慢慢的摸索发现了,我们在此对于wireshark在命令行界面的使用以及其他安装方式就不做过多的解释了。
2.3、Ubuntu apt-get安装方式
首先打开Ubuntu终端,然后输入apt-get install wireshark。系统会自动从软件中心下载以及安装wireshark,如下图2-2-17所示:
word格式-可编辑-感谢下载支持
图2-2-17
输入Y回车后我们继续安装过程;如下图2-2-18,2-2-19所示:
图2-2-18
word格式-可编辑-感谢下载支持
图2-2-19
自动处理依赖关系;如下图2-2-20示:
图2-2-20
安装完成后我们输入:wireshark来启动图形化的界面程序;如下图2-2-21,2-2-22所示:
word格式-可编辑-感谢下载支持
图2-2-21
图2-2-22
至此wireshark在Ubuntu系统上面的apt-get安装方式就完成了,我们可以和在windows上一样来使用wireshark来进行数据包捕捉操作了!
word格式-可编辑-感谢下载支持
界面概括
图3-1
从图3-1所示为wireshark的一个主界面概括信息,从图中的红色矩形框以及标注可看出wireshark一共分为8块。以下我们一一介绍各个板块的功能选项;
word格式-可编辑-感谢下载支持
3.1.0、主菜单栏
图3-1-1
如图3-1-1所示带颜色矩形框内,主菜单栏又分为6个子功能选项栏。从左至右依次为:抓包工具栏、文件工具栏、包定位工具栏、颜色以及滚动界面工具栏、数据包列表字体定义工具栏以及首选项工具栏;下面我们从左至右分别介绍各个工具栏的功能。
3.1.1、抓包工具栏
如图3-1-1红色矩形框内所示,抓包工具栏显示共有5个功能图标。从左至右依次为:
列出计算机可以抓包的接口(与菜单--Capture--Interfaces功能相同);
定义抓包参数选项(与菜单--Capture--Options功能相同);
开始一个新的抓包操作(与菜单--Capture--Start功能相同);
停止抓包操作(与菜单--Capture--Stop功能相同;
word格式-可编辑-感谢下载支持
点击
重新开始一个新的抓包操作(与菜单--Capture--Restart功能相同);
图标后,wireshark会自动弹出一个对话框,该对话框列出了我们计算机所安装的网卡信息。从上面我们可以看出网卡的IP地址以及网卡的型号,在有数据包收发时候“Packets”字段会有数字滚动。如果计算机安装了多块网卡并且每个网卡配置了多个IP地址的情况下,想针对某一块网卡开始一个抓包操作可以根据IP地址或者MAC地址来区分不同的网卡。然后可直接点击与网卡相对应的“Start”按钮;如图3-1-2,;
图3-1-2
如果我们想对抓包动作做相应的设置的话,我们可以点击该 图标或者使用图3-1-2所示的“Options”按钮。在中文版界面该图标被翻译为“抓包参数选项”。点击图标后弹出一个对话框,该对话框主要如图3-1--3所示分为以下5大块:Capture(捕获)、Capture Files(抓包文件)、Stop Capture(停止抓包)、Display Options(查看设置)以及Name Resolution(名字映射)。首先Capture列出了可以抓包的网卡,从图3-1-4可以看出列出了我本机的一块网卡,假如你主机装了多块网卡的话wireshark会一一列出来。你可以选择特定的网卡捕捉进出该网卡的数据包;
Capture on all interfaces(捕捉所有接口)选择该复选框后本机安装的所有显示到网卡列表的网卡都会执行数据包捕捉操作;
Capture all in promiscuous mode (设置网卡为杂合模式)如果不选择该复选框那么wireshark将只会捕捉本机网卡所发收的数据包而不会捕捉局域网其他主机所发出的数据包;在这里我们选择默认操作。
Capture Files(捕捉数据包为文件)这一栏如图3-1-3所示有以下几个选项:Use multiple files(使用多个文件)、Use pcap-ng format (该功能Wireshark暂未正式支持)、Next file every n
megabyte(s)(到达指定文件大小)、Next file every n minutes(s) (到达指定时间)、Ring buffer with
n files(到达缓冲区指定文件数目)以及Stop caputure after n file(s) (到达指定文件数目);以上几个选项有效前提是选择了第一个即:Use multiple files(使用多个文件)复选框时生效。
word格式-可编辑-感谢下载支持
图3-1-3
如上图3-1-3所示我们选择了Use multiple files(使用多个文件)、Next file every n megabyte(s)(到达指定文件大小)以及Stop caputure after n file(s) (到达指定文件数目)复选框后指定到达1024KB时自动换一个新的文件进行存储,存储文件到达2个时自动停止抓包进程。然后我们选择“Browse”浏览到我们新建的.cap后缀名的文件(使用以上功能时候要新建一个后缀名为.cap的空文件,假如没有指定文件wireshark将找不到所要根据的文件名来自动创建文件,将会弹出如图3-1-4所示错误信息)。然后点击“Start”按钮执行抓包操作。Wireshark会根据我们要求在抓取大小到1024KB(下拉菜单有多个存储单位选项)数据包后自动创建2个1M大小的.cap文件来对数据包进行存储并且存储文件数目达到2个时自动停止抓包。如图3-1-5所示;
word格式-可编辑-感谢下载支持
图3-1-4
图3-1-5
除了上述根据抓取数据包大小变换文件外,我们还可以使用Next file every n minutes(s) (到达指定时间)指定一个抓包时间来进行数据包抓取操作。如下图3-1-6所示,我们选择抓包时间为30秒(下拉菜单具有多个时间选项)。点击“Start”后wireshark执行抓包操作;
word格式-可编辑-感谢下载支持
图3-1-6
如上图3-1-6所示,我们假如没有选择Stop caputure after n file(s) (到达指定文件数目)复选框,那么wireshark将每30秒创建一个新的.cap文件,并且会一直持续抓包除非人工手动停止。所以建议和Stop caputure after n file(s) (到达指定文件数目)该复选框联合使用;
Ring buffer with n files(到达缓冲区指定文件数目)该复选框是规定所抓取的数据包到达指定文件大小后覆盖文件内容循环进行抓包。相应的操作如图3-1-7所示:
word格式-可编辑-感谢下载支持
图3-1-7
按上图3-1-7配置抓包操作,wireshark将会在抓包数量到达1M时自动创建第2个文件,当第2个文件所存储数据包数量也到达指定的1M时wireshark将会覆盖之前第一个文件的内容。继而继续存储新的数据包;
Stop Capture(停止抓包):该栏具有与上面Capture fils 一栏类似的功能,也是限制抓取数据包数量,唯一不同的是该栏是先抓取后存储即不用预先指定参照文件名。在此栏我们可以定义在抓取多少数据包之后停止抓包,抓取数据包到达多大存储大小以及抓包多长时间后停止抓包。假如我们选择了如图3-1-8所示配置,那么wireshark将会在抓取了10个数据包之后停止抓包动作;
word格式-可编辑-感谢下载支持
图3-1-8
如图3-1-9所示,wireshark在抓取了10个数据包之后停止了抓包进程;
图3-1-9
除了按包数量捕捉外,我们还可以指定捕捉数据包到达指定大小以及捕捉动作执行多长时间后停止
word格式-可编辑-感谢下载支持
抓包动作,方法是勾选相应的复选框后制定一个数值。在这里我们不在做过多赘述;
Display Options(显示设置):顾名思义该选项与显示有关,如下图3-1-10所示,从上至下第一个复选框Update list of packets in real time (实时更新数据包列表)此选项相当于主菜单栏--颜色设置栏-- 图标。勾选此选项wireshark在捕捉数据包时我们可以实时看到数据包被捕获到,反之捕获进行时的界面将会是如图3-1-11所示,直到我们手动或者自动停止捕捉进程wireshark才会列出所捕捉到的数据包;
图3-1-10
word格式-可编辑-感谢下载支持
图3-1-11
从上图3-1-11所示底部状态栏红色矩形框内,我们可以看到数据包一直在增加,说明wireshark在工作;依赖于Update list of packets in real time (实时更新数据包列表)该选项工作的是Automatic
scrolling in live capture (捕捉进行时自动滚动)。Wireshark在有数据进入时实时滚动包列表面板,这样您将一直能看到最近的包。反之,则最新数据包会被放置在行末,但不会自动滚动面板。假如我们不选择Update list of packets in real time (实时更新数据包列表)该选项的话,那么Automatic
scrolling in live capture (捕捉进行时自动滚动)选项将是灰色不可用状态。
Hide capture info dialog (隐藏捕捉信息对话框)如果我们取消选择该复选框,那么在wireshark执行捕捉进程时我们将看到一个数据包统计对话框。如图3-1-12所示:
word格式-可编辑-感谢下载支持
图3-1-12
依照数据包统计对话框我们可以看到在所有捕获到的数据包当中,哪种协议的数据包数量最多;可以根据实际应用情况选择以上三项功能;
最后要介绍的一项功能如图3-1-10所示,Name Resolution (名称解析):该栏有三个选项可选,依次为Enable MAC name resolution (开启MAC地址名字解析)、Enable network name resolution (开启网络地址名称解析)以及Enable transport name resolution (开启传输协议解析)。
Enable MAC name resolutionARP(开启MAC地址名字解析):名字解析Wireshark会向操作系统发出请求,将以太网地址转换为对应的IP地址(例如:00:09:5b:01:02:03->192.168.0.1)Ethernet
codes(ethers file) 如果ARP解析错误,Wireshark会尝试将以太网地址解析为已知设备名。这种解析需要用户指定一个ethers文件为mac地址分配名称。(e.g. 00:09:5b:01:02:03 -> homerouter).
Ethernet manufacturer codes (manuf file) 如果ARP解析和ethers文件都无法成功解析,Wireshark会尝试转换mac地址的前三个字节为厂商名的缩写。mac地址的前三个字节是IEEE为各厂商分配的独立地址(通过前三个字节可以得出每个网络设备的供应商,当然这些也是可以被篡改的。,)(e.g.
00:09:5b:01:02:03 -> Netgear_01:02:03).
Enable network name resolution (开启网络地址名称解析):该功能开启和不开启基本无区别,建议不要开启;
Enable transport name resolution (开启传输协议解析):开启该功能后,wireshark会对所抓
word格式-可编辑-感谢下载支持
取的TCP、UDP协议的数据包发送接收的端口自动解析为相对应的服务。例如我们该功能后wireshark会自动将发送至TCP端口80的数据包解析为相对应的HTTP服务。如图3-1-13所示:
图3-1-13
如果我们不开启此功能的话那么wireshark将只会显示出所发送或接收数据包的端口号,而不会显示该端口用于什么服务;在这里我们不在做过多的演示操作;
该图标用于开始一个新的抓包操作,点击后wireshark将会开始一个新的抓包进程,如果您已经抓取了数据包(数据包列表存在数据包)那么wireshark将会问您是不是对当前的数据包保存;如图3-1-14所示:
3-1-14
选择“Continue without Saving”(继续操作不做保存)后wireshark将会开始一个新的抓包进程;
该图标用于停止一个抓包进程。当我们捕捉到合适数量的数据包后,我们点击该按钮wireshark将会停止抓包操作。这时我们即可对所抓取的数据包进行观察;
重新开始一个新的抓包进程,如果我们没有抓取到我们需要的数据包,那么可以点击该按钮重新开始抓包;类似于
。在这里不再过多描述;
word格式-可编辑-感谢下载支持
3.1.2、文件工具栏
如图3-1-1黄色矩形框内所示,文件工具栏有六个图标。他们分别代表:
打开一个新的数据包文件;(与菜单栏--file--open相同)
保存当前所抓取的数据包为文件;(与菜单栏--file--Save相同)
关闭当前抓取的数据包列表显示界面;(与菜单栏--file--Close相同)
重新载入当前的抓取的数据包;(与菜单栏--View--Reload相同)
打印当前捕捉的数据包;(与菜单栏--file--Print相同)
从以上介绍大家也可以看出,该工具栏主要用于数据包问价的操作。由于有些操作简单在这里就不一一的介绍了。大家可以自己下载wireshark测试一下各个图标的功能。其中重新载入 ,当我们修改了某些显示或者关于数据包列表的操作后,在数据包列表我们可能看不到有什么变化。但是我们点击该按钮重新载入一下,即可我们看到操作所执行的结果。该功能就相当于我们的刷新功能。例如我们修改了主菜单栏--View--name resolution--enable for transport layer (该功能用于开启传输层名称解析,详见3.1.1小节Enable transport name resolution (开启传输协议解析)选项)后我们观察数据包列表没有任何反应,这时候我们点击图3-1-16:
后可以看到HTTP传输的目的端口由80变成了HTTP。如
(没有做修改刷新前)图3-1-15
word格式-可编辑-感谢下载支持
(修改刷新后)图3-1-16
从以上两幅图红色矩形框内可以看到wireshark把80端口解析为常用的HTTP协议。当然在此我们只是举一个小小的示例,刷新功能还有其他的用法。这就需要大家实际操作中慢慢的来进行发现了;
3.1.3、包查找工具栏
如图3-1-1黄色矩形框内所示,该工具栏主用于数据包的定位操作。各图标的功能如下:
该功能我们会在后续与抓包过滤器一起介绍;
在数据包列表向后显示鼠标所点击过的数据包;
在数据包列表向前显示鼠标所点击过的数据包;
定位到特定数据包序号;(点击该按钮会弹出对话框,指定特定的数据包序列号点击“jump to”)
定位到第一个数据包;
定位到最后一个数据包;
3.1.4、颜色定义工具栏
如图3-1-1深蓝色矩形框内所示,该栏具有两个图标。他们分别为:
颜色控制按钮;
抓取数据包滚动/不滚动;
word格式-可编辑-感谢下载支持
该按钮我们点击可取消/开启数据包列表颜色显示;
如果我们不选择该按钮未开启状态那么我们抓取数据包时数据包列表显示将不会跟随最后一个抓取数据包来进行自动滚动(详见3.1.1小节Update list of packets in real time (实时更新数据包列表)选项);
3.1.5、字体大小工具栏
图3-1-1浅蓝色矩形框内所示,该栏主要设置数据包列表字体显示大小。每个图标如下所示:
放大一级显示数据包列表字体;
缩小一级显示数据包列表字体;
调整数据包列表字体到原始大小;
调整所有列宽到原始大小;
3.1.6、首选项工具栏
如图3-1-1紫色矩形框内所示,该栏我们主要有颜色以及首选项的设置两个按钮。它们分别是:
颜色规则定义;
wireshark首选项设置;
点击该按钮弹出颜色显示规则定义对话框,我们可以随个人的习惯定义各种协议的数据包的颜色显示规则。如图3-1-17所示:
word格式-可编辑-感谢下载支持
图3-1-17
在图3-1-17对话框红色矩形框内所示即“Edit”一栏,我们可以New(新建规则)、Edit(编辑现有规则)、Enable(启用规则)、Disable(停用规则)以及删除颜色规则;例如我们定义tcp协议flag标记为syn的数据包显示为黑色字体黄色背景色,则我们可以如图3-1-19所示填写;
图3-1-18
图3-1-19
word格式-可编辑-感谢下载支持
而“Manage”一栏则可以执行导入导出规则。点击“Import”我们可以执行导入规则配置文件;“Export”可以对现有的规则执行导出操作,以便日后导入。再下面的“Clear”则是对现有的规则进行清除操作;
在所有的设置都做完的情况下我们可以点击“OK”或者“Aplly”直接应用;
点击该按钮我们可以对wireshark进行一些配置操作,例如我么你可以在此处更改wireshark的显示、抓包、名字解析等一些配置;首先我们第一个要说的就是wireshark的三个显示列表的布局,即数据包列表、数据包详细信息列表以及数据包字节数列表的布局;如图3-1-20所示:
图3-1-20
打开首选项设置按钮后我们点击左边栏的“Layout”(布局),可以从右边栏看到有六种布局方式,我们可以根据自己的喜好选择他们的显示位置;如上图3-1-20所示那样我选择的是第二种方式。
点击左边栏的第三个“Columnt”我们可以定义数据包列表所显出的列。如图3-1-21所示那样,我选择的是显示所有列;
word格式-可编辑-感谢下载支持
图3-1-21
“Font”(字体)在此处我么可定义wireshark的默认字体,如图3-1-22所示那样有多重字体供选择;可根据个人设置相应字体;
word格式-可编辑-感谢下载支持
图3-1-22
再下面的就是“colors”(颜色),定义数据包列表各种协议数据包的显示颜色。图3-1-23所示,我们可以定义TCP流、UDP流会话的颜色规则;
图3-1-23
“Capture”栏定义了抓取数据包时候的一些特性。详细解释如图3-1-24带色矩形框内所标识:
word格式-可编辑-感谢下载支持
图3-1-24
综上使我们在首选项设置里面经常使用到的一些设置,而下面的“Printing”(打印)由于不常使用我们在这里就不多做介绍了。“Name Resolutins”(名称解析)这个选项相同于我们之前所介绍的抓包工具栏里面的名称解析一样用法,在此我么也不再赘述。“Protocol”(协议)一栏我们放在后面在做介绍。在此我们就把wireshark的主工具栏一栏基本介绍完了。以上所说的选项已经足够我们日常使用的了,而为了更加的详细说明wireshark软件,我们在后面还会相继探讨菜单栏,以及wireshark的一些日常抓包分析和常见使用问题。
菜单简介
4.2.0、菜单栏
如图4-2-1所示红色矩形框内的一排选项,我们称之为菜单栏;我们着重介绍常用的:file(文件)、Edit(编辑)、View(查看)、Go(定位)、Captur(抓包)、Analyze(分析)以及Statistics(统计)几个选项。由于之前所介绍的主菜单栏和菜单栏有诸多重复选项,在此为了节省时间我们对于重复的选项不再进行介绍。
word格式-可编辑-感谢下载支持
图4-2-1
4.2.1、file菜单
File菜单定义了一些数据包文件的操作,我们可以使用它对我们当前的抓取的数据包进行保存、打印、合并、现有数据包问价的打开等操作...如图4-2-2所示:
图4-2-2
从上到下主要应用到选项依次为:
(文件合并):使用该功能我们可以同时打开两个.cap文件并且显示在一起。首先我们先打开一个现有的.cap文件,然后点击文件合并选项再次浏览到我们想打开的第二个.cap文件,并执行打开操作;
Import(导入):该选项目前测试有问题。
Close(关闭):关闭当前抓取的数据包显示列表;
Save(储存):保存为数据包文件;
word格式-可编辑-感谢下载支持
Save as(另存为):另存到数据包文件;
File Set(文件集合):在该选项下面可以看到目前缓存的文件名,以及文件存储位置。如图4-2-3所示:
图4-2-3
Export(导出):输出当前抓取数据包文件为.txt文本模式。如图4-2-4所示:
图4-2-4
4.2.2、Edit菜单
Edit(编辑)菜单主要定义了一些数据包列表的编辑操作,其中有数据包的查找、标记、忽略以及设置参考时间等操作。如下图4-2-4示:
word格式-可编辑-感谢下载支持
图4-2-4
Copy(拷贝):该选项用于拷贝数据包详细列表各个字段的值或者描述;
Find Packet(查找数据包):如图4-2-4红色矩形框内所示选项用于数据包的查找,我们将在后面的显示过滤器里面介绍;
Mark Packet(toggle):(标记数据包):被标记数据包显示颜色为黑底白字,被标记的数据包可用于定位查找;
Ignore Packet(toggle):(忽略数据包):选中想要忽略不显示的数据包列表条目,使用此选项既可以忽而略该数据包的显示;
Set Time Referencer(设置参考时间):选中想要作为参考的数据包,使用该选项可以定义参考时间;参考时间可以用于定位查找操作;
Time Shift(时间修改):修改数据包,该选项基本使用不到所以不做介绍;
Edit or Add Packet Comment(修改添加包描述):选中数据包列表想要备注描述的数据包,然后点击该选项,弹出对话框后我们在弹出的对话框中可以对数据包添加注释;如图4-2-5所示:
word格式-可编辑-感谢下载支持
图4-2-5
图上所示为示例,实际上wireshark不支持中文描述。如果添加中文注释我们在下面数据包详细列表将看到的是乱码。大家以后也可以自己尝试下试试。
Configuration Profiles(配置文件):这个里面存储着我们所对wireshark的配置,假如我们有多套配置的话,那么打开该选项弹出的对话框内是有多个条目的,我们可以选中想要使用的那套配置文件,点击"Apply"即可;如图示4-2-6:
图4-2-6
当前我有两个配置文件,一个是正在使用的"Default",还一个是没有做任何修改的配置文件(相当于初始配置)。假如我们选中“New Profiles”后点击“Aplly”后那么wireshark将恢复到默认配置;我们再次点击上面的“Default”应用后wireshark将恢复到我们所定义的显示以及操作方式;
word格式-可编辑-感谢下载支持
图4-2-7
图4-2-8
Preferences(首选项设置):该选项相同于以上3.1.6、首选项工具栏介绍的首选项设置;
4.2.3、View菜单
该选项定义了wireshark的一些现实特性,我们可在此对wireshark的主界面做一些显示方面的修
发布评论