《Wireshark数据包分析及工具使用学习总结.docx》由会员分享,可在线阅读,更多相关《Wireshark数据包分析及工具使用学习总结.docx(5页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Wireshark数据包分析及工具使用-学习总结Wireshark 常用功能总结-列表显示全部网卡的网络包状况:一般用的很少;-显示抓包选项:一般都是点这个按钮开头抓包;-开头的抓包:一般用的也很少;-停顿抓包:当你抓完包之后,就是点这个停顿了;-清空当前已经抓到的数据包并连续抓包:可以防止抓包时间过长机器变卡。以下是对使用 Wireshark1.8.3 软件抓包并分析数据包的总结,不同的版本软件的界面略有差异。对于抓包局部,常用的功能就是工具栏中的前五个按钮。翻开软件后,最常用的按钮如下面所示,红框中的按钮从左到右依次是:图 3-3-1 Wireshark1.8.3 菜单栏而实际上,一般我们
2、只要知道上面按钮的功能,就可以完成抓包了,剩下的就是如何抓你想要的数据包,如何分析的问题了。以下是分别对各个按钮及相关功能使用的介绍。(1) 第一个按钮:列表显示全部网卡的网络包状况点开后如以以下图所示,列出了全部的网卡信息和网络包的状况,具体的网卡信息可以点击后面的【Details】猎取。通过选择网卡前面的复选框,可以选择马上要抓包的网卡,假设选择了某些网卡之后可以选择下面的【Start】按钮开头抓包假设选择了某些网卡之后,也可以通过点击【 Options】按钮设置更多的抓包选项。点击这个按钮的意义相当于直接点击了常用按钮中的其次个按钮显示抓包选项图 3-3-2 Wireshark1.8.3
3、 网卡列表(2) 其次个按钮:显示抓包选项点开后如以以下图所示,列出了比第一个按钮更多的抓包设置选项,第一个按钮侧重于网卡的信息,而其次个按钮侧重于抓包前的设置。这个按钮可以设置以什么模式抓包混杂模式、抓包的数据放到哪些文件中、到何时停顿抓包抓了多少个或多长时间等,最重要的设置是抓包的过滤条件,双击列出的某个网卡的信息,就会弹出过滤条件设置的对话框,Capture Filter 中就是要写抓包规章的地方,也叫做“过滤规章”,写完过滤规章后要记得编译,如以以下图所示图 3-3-3 Wireshark1.8.3 抓包设置选项图 3-3-4 Wireshark1.8.3 设置捕获时过滤规章(3) 第
4、三个按钮:开头的抓包一般通过前两个按钮的【Start】按钮就已经开头抓包了,所以这个按钮用的比较少(4) 第四个按钮:停顿抓包当你抓完包之后,就是点这个停顿了(5) 第五个按钮:清空当前已经抓到的数据包并连续抓包假设包累计过多的话会对效率有影响,这时可以将前面的包的数据去除(6) 文件保存和导入当抓包完毕之后,假设你需要把抓到的数据包保存留给以后分析,那么可以点菜单上的 file,然后点Save As 保存抓到的数据包可以保存成多种格式, 因此可以被很多其他的软件分析。或者通过 import 或open 导入数据包文件通过软件加以分析。Wireshark 捕获时过滤数据包wireshark 过
5、滤条件的设置包括捕获时过滤和显示时过滤两种。捕获时过滤是捕获时依据设置的过滤条件捕获符合条件的,从而可以削减捕获的数据包的数量。显示时过滤是依据已捕获的数据包选择那些符合过滤条件的数据包来分析。两者过滤条件的设置格式和设置场合也是不一样的,首先来总结一下捕获时过滤的格式。捕获时过滤的过滤条件的格式如下所示:图 3-3-5 捕获时过滤条件格式(1) Protocol协议:可能的值: ether、fddi、ip、arp、rarp、decnet、lat、sca、moprc、mopdl、tcp and udp假设没有特别指明是什么协议,则默认使用全部支持的协议。(2) Direction方向:可能的值
6、:src, dst, src and dst, src or dst假设没有特别指明来源或目的地,则默认使用 “src or dst” 作为关键字。例如,”host 10.2.2.2与”src or dst host 10.2.2.2是一样的。(3) Host(s):可能的值: net, port, host, portrange.假设没有指定此值,则默认使用”host”关键字。例如,”src 10.1.1.1与”src host 10.1.1.1一样。(4) Value和前面host 对应的值,比方为port 的话value 就可以为 80,参与为host 的话, value 就可以为 21
7、2.112.2.3。(5) Logical Operations规律运算: 可能的值:not、and、or否(“not”)具有最高的优先级。或 (“or”)和与(“and”)具有一样的优先级,运算时从左至右进展。“not tcp port 3128 and tcp port 23与”(not tcp port 3128) and tcp port 23一样。“not tcp port 3128 and tcp port 23与”not (tcp port 3128 and tcp port 23)”不同。例如,在书写的时候留意,Protocol 要与 Host(s)相对应。value 是 Ho
8、st(s)的值。当protocol 为tcp 时说明是传输层的过滤,则Host(s)必需为port,就不能为host、net。假设 protocol 为 ip,则 Host(s)必需为 host、net,而不能为 port。当 host 为 net 时还可以指定netmask,如下例所示:net 202.115.36.0 mask 255.255.255.0src portrange 2023-2500当 host 为 portrange 时用法如下例所示:Wireshark 显示时过滤数据包显示时过滤的过滤条件的格式如下所示:图 3-3-6 捕获时过滤条件格式(1) Protocol协议:可以使用大量位于OSI 模型第 2 至 7 层的协议。点击”Expression”按钮后可以看到它们。比方:IP,TCP,DNS,SSH(2) String1,String2 (可选项): 协议的子类。点击相关父类旁的”+”号,然后选择其子类。英文写法C 语言写法含义eq=等于ne!=不等于gt大于lt=大于等于le=小于等于(3) Comparison operators 比较运算符: 可以使用 6 种比较运算符:Logical expressions规律运算符:英文写法C 语言写法含义and&规律与or|规律或xor规律异或not!规律非