《Wireshark菜单及过滤规则.docx》由会员分享,可在线阅读,更多相关《Wireshark菜单及过滤规则.docx(9页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Wireshark 菜单说明Wireshark 官方下载地址: :/ wireshark.org/download.html菜单栏1、File 菜单介绍 File 包括翻开、合并捕获文件,save/保存,Print/打印,Export/导出捕获文件的全部或局部。以及退出Wireshark 项.菜单项CloseCtrl+WSaveCrl+SSaveFileAsSetListFilesShift+Ctrl+SFileSetNextFileOpen Open Recent MergFile setPrevious FilesExport as “Plain Text” FileExport as “
2、PostScript”FilesExport as “CVS” (Comma快捷键Ctr+O描述显示翻开文件对话框,让您載入捕获文件用以扫瞄。弹出一个子菜单显示最近翻开过的文件供选择。显示合并捕获文件的对话框。让您选择一个文件和当前翻开的文件合并。关闭当前捕获文件,假设您未保存,系统将提示您是否保存假设您预设了制止提示保存,将不会提示保存当前捕获文件,假设您没有设置默认的保存文件名,Wireshark 消灭提示您保存文件的对话框。让您将当前文件保存为另外一个文件面,将会消灭一个另存为的对话框允许您显示文件集合的列表。将会弹出一个对话框显示已翻开文件的列表。 假设当前載入文件是文件集合的一部 分
3、,将会跳转到下一个文件。假设不是,将会跳转到最终一个文件。这个文件选项将会是灰色。假设当前文件是文件集合 的一局部, 将会调到它所在位置的前一个文件。假设不是则跳到文件集合的第一个文件, 同时变成灰色。这个菜单允许您将捕获文件中全部的 或者局部的包导出为plain ASCII text 格式。它将会弹出一个Wireshark 导出对话框。将捕获文件的全部或局部导出为PostScrit 文件。导出文件全部或局部摘要为.cvs 格式菜单项Separated Values Packet Summary)FileExport as “PSML” FileExport as “PDML” FileExp
4、ort Selected Packet Bytes快捷键描述可用在电子表格中。导出文件的全部或局部为PSML 格式包摘要标记语言XML 文件。将会弹出导出文件对话框。导出文件的全部或局部为PDML(包摘要标记语言)格式的XML 文件。导出当前在Packet byte 面版选择的字节为二进制文件。打印捕获包的全部或局部,将会弹出打PrintQuitCtr+PCtrl+Q印对话框。退出 Wireshark,假设未保存文件, Wireshark 会提示是否保存。2、Edit 菜单项 Edit包括如下工程:查找包,时间参考,标记一个多个包,设置预设参数。剪切,拷贝,粘贴不能马上执行。菜单项快捷键Cop
5、yAs FilterShift+Ctrl+CFind PacketCtr+FFind NextCtrl+NFind PreviousMark Packet(toggle) Find Next MarkFind Previous Mark Mark ALL Packets Unmark All PacketSet Time Reference(toggle) Find Next ReferenceFind PreviousRefrenceCtr+BCtrl+M描述使用详情面版选择的数据作为显示过滤。显示过滤将会拷贝到剪贴板。翻开一个对话框用来通过限制来查找包在使用Find packet 以后,使
6、用该菜单会查找匹配规章的下一个包查找匹配规章的前一个包。标记当前选择的包。Shift+Ctrl+N 查找下一个被标记的包Ctrl+Shift+B 查找前一个被标记的包标记全部包 取消全部标记Ctrl+T以当前包时间作为参考找到下一个时间参考包找到前一个时间参考包Preferences翻开首选项对话框,共性化设置WiresharkShift+Ctrl+P 的各项参数,设置后的参数将会在每次翻开时发挥作用。3、“View”菜单项 View 把握捕获数据的显示方式,包括颜色,字体缩放,将包显示在分别的窗口,开放或收缩详情面版的地树状节点快捷菜单项键Main Toolbar Filter Toolba
7、r Statusbar Packet ListPacket DetailsPacket BytesTime Display FromatDate and Time of Day: 1970-01-01 01:02:03.123456Time Display FormatTime of Day: 01:02:03.123456Time Display Format Seconds Since Beginning of Capture: 123.123456Time Display Format Seconds Since Previous Captured Packet: 1.123456 Ti
8、me Display Format Seconds Since PreviousDisplayed Packet: 1.123456 Time Display Format Time Display Format Automatic (File Format Precision)Time Display Format Seconds: 0Time Display Format seconds: 0.Name Resolution Resolve NameName Resolution Enable for MAC LayerName Resolution Enable for Network
9、LayerName Resolution Enable for Transport LayerColorize Packet ListAuto Scrooll in Live Capture描述显示隐蔽Main toolbar(主工具栏)显示或隐蔽Filter Toolbar(过滤工具栏)显示或隐蔽状态栏显示或隐蔽Packet List pane(包列外表板) 显示或隐蔽Packet details pane(包详情面板)显示或隐蔽packet Bytes pane(包字节面板)选择这里告知Wireshark 将时间戳设置为确定日期-时间格式(年月日,时分秒)将时间设置为确定时间-日期格式(时
10、分秒格式)将时间戳设置为秒格式,从捕获开头计时, 见将时间戳设置为秒格式,从上次捕获开头计时将时间戳设置为秒格式,从上次显示的包开头计时依据指定的精度选择数据包中时间戳的显示方式设置精度为 1 秒设置精度为 1 秒,0.1 秒,0.01 秒,百万分之一秒等等。仅对当前选定包进展解析是否解析Mac 地址是否解析网络层地址(ip 地址)是否解析传输层地址是否以彩色显示包把握在实时捕获时是否自动滚屏,假设选择菜单项快捷描述键了该项,在有数据进入时, 面板会项上滚动。您始终能看到最终的数据。反之,您无法看到满屏以后的数据,除非您手动滚屏Zoom In Zoom Out Normal SizeResiz
11、 All ColumnusExpend Subtrees Expand All Collapse AllColoring RuluesShow Packet in New WindowCtrl+ 增大字体Ctrl+- 缩小字体Ctrl+= 恢复正常大小恢复全部列宽留意除非数据包格外大,一般会马上更改开放子分支看开全局部支,该选项会开放您选择的包的全局部支。收缩全部包的全局部支翻开一个对话框,让您可以通过过滤表达来用不同的颜色显示包。这项功能对定位特定类型的包格外有用在窗口显示当前包,(窗口仅包含View,Byte View 两个面板)ReloadCtrl+R 重再如当前捕获文件4、“GO”菜单
12、项 GO包含到指定包的功能。菜单项快捷键Back描述跳到最近扫瞄的包,类似于扫瞄器中的页面历史Alt+Left纪录ForWardGo to PacketGo to Corresponding PacketPrevious PacketNext Packet First Packet Last PacketAlt+Right 跳到下一个最近扫瞄的包,跟扫瞄器类似翻开一个对话框,输入指定的包序号,然后跳转Ctrl+G到对应的包。跳转到当前包的应答包,假设不存在,该选项为灰色移动到包列表中的前一个包,即使包列外表板不Ctrl+UP是当前焦点,也是可用的Ctrl+Down 移动到包列表中的后一个包,同
13、上移动到列表中的第一个包移动到列表中的最终一个包5、Capture捕获数据包“Capture”菜单项菜单项Interface Options StartStop RestartCapture Filters快捷说明键在弹出对话框选择您要进展捕获的网络接口Ctrl+K 翻开设置捕获选项的对话框并可以在此开头捕获马上开头捕获,设置都是参照最终一次设置。Ctrl+E 停顿正在进展的捕获正在进展捕获时,停顿捕获,并按同样的设置重开头捕获.仅在您认为有必要时翻开对话框,编辑捕获过滤设置,可以命名过滤器,保存为其他捕获时使用Analyze 包含处理显示过滤,允许或制止分析协议,配置用户指定解码和追踪 TC
14、P 流等功能“analyze”菜单项菜单项Display FiltersApply as FilterPrepare a FilterFirewall ACL Rules快捷键说明翻开过滤器对话框编辑过滤设置,可以命名过滤设置, 保存为其他地方使用,见第 6.6 节 “定义,保存过滤器”更改当前过滤显示并马上应用。依据选择的项,当前显示字段会被替换成选择在Detail 面板的协议字段更改当前显示过滤设置,当不会马上应用。同样依据当前选择项,过滤字符会被替换成Detail 面板选择的协议字段为多种不同的防火墙创立命令行ACL 规章(访问把握列表),支持Cisco IOS, Linux Netfi
15、lter (iptables), OpenBSD pf and Windows Firewall (via netsh). Rules for MAC addresses, IPv4 addresses, TCP and UDP ports, 以及IPv4+混合端口以上假定规章用于外部接口Enable是否允许协议分析,见第 9.4.1 节 “”Enable Shift+Ctrl+RProtocolsProtocols”对话框”Statistics 包括的菜单项用户显示多个统计窗口,包括关于捕获包的摘要,协议层次统计等等。菜单项SummaryProtocol Hierarchy Conversa
16、tions/ EndPoints快捷键 描述显示捕获数据摘要显示协议统计分层信息显示会话列表(两个终端之间的通信) 显示端点列表(通信发起,完毕地址)菜单项IO Graphs Conversation List Endpoint ListService Response Time快捷键 描述显示用户指定图表,(如包数量-时间表) 通过一个组合窗口,显示会话列表通过一个组合窗口显示终端列表显示一个恳求及其相应之间的间隔时间Help包含一些关心用户的参考内容。如访问一些根本的帮助文件,支持的协议列表, 用户手册。在线访问一些网站,“关于”菜单项OpenOpen Recent过滤器的区分快捷键 描述
17、Ctr+O 显示翻开文件对话框,让您載入捕获文件用以扫瞄。弹出一个子菜单显示最近翻开过的文件供选择。捕获过滤器CaptureFilters:用于打算将什么样的信息记录在捕获结果中。需要在开头捕获前设置。显示过滤器DisplayFilters:在捕获结果中进展具体查找。可以在得到捕获结果后任凭修改。两种过滤器的目的是不同的。捕获过滤器是数据经过的第一层过滤器,它用于把握捕获数据的数量,以避开产生过大的日志文件。显示过滤器是一种更为强大简洁的过滤器。它允许您在日志文件中快速准确地找到所需要的记录。两种过滤器使用的语法是完全不同的。捕获过滤器Protocol协议:可能的值: ether, fddi,
18、 ip, arp,rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.假设没有特别指明是什么协议,则默认使用全部支持的协议。Direction方向:可能的值: src, dst, src and dst, src or dst假设没有特别指明来源或目的地,则默认使用 “src or dst” 作为关键字。例如,”host 10.2.2.2与”src or dst host 10.2.2.2是一样的。 Host(s):可能的值: net, port, host, portrange.假设没有指定此值,则默认使用”host”关键字。例如,”src 1
19、0.1.1.1与”src host 10.1.1.1一样。 Logical Operations规律运算:可能的值:not, and, or.否(“not”)具有最高的优先级。或(“or”)和与(“and”)具有一样的优先级,运算时从左至右进展。例如,“not tcp port 3128 and tcp port 23与”(not tcp port 3128) and tcp port 23一样。“not tcp port 3128 and tcp port 23与”not (tcp port 3128 and tcp port 23)”不同。例子:tcp dst port 3128/捕获目的
20、TCP 端口为 3128 的封包。ip src host 10.1.1.1/捕获来源IP 地址为 10.1.1.1 的封包。host 10.1.2.3/捕获目的或来源IP 地址为 10.1.2.3 的封包。ether host e0-05-c5-44-b1-3c /捕获目的或来源MAC 地址为e0-05-c5-44-b1-3c 的封包。假设你想抓本机与全部外网通讯的数据包时,可以将这里的mac 地址换成路由的mac 地址即可。src portrange 2023-2500/捕获来源为UDP 或TCP,并且端口号在 2023 至 2500 范围内的封包。not imcp/显示除了icmp 以外的
21、全部封包。icmp 通常被ping 工具使用src host 10.7.2.12 and not dst net 10.200.0.0/16 /显示来源IP 地址为 10.7.2.12, 但目的地不是 10.200.0.0/16 的封包。(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8/捕获来源IP 为 10.4.1.12 或者为 10.6.0.0/16,目的地 TCP 端口号在 200 至 10000 之间,并且目的位于网络 10.0.0.0/8
22、 内的全部封包。src net 192.168.0.0/24src net 192.168.0.0 mask 255.255.255.0/捕获源地址为 192.168.0.0 网络内的全部封包。留意事项:当使用关键字作为值时,需使用反斜杠“/”。“ether proto /ip” (与关键字”ip”一样).这样写将会以IP 协议作为目标。“ip proto /icmp” (与关键字”icmp”一样).这样写将会以ping 工具常用的icmp 作为目标。可以在”ip”或”ether”后面使用”multicast”及”broadcast”关键字。当您想排解播送恳求时,”no broadcast”就
23、会格外有用。Protocol协议:您可以使用大量位于OSI 模型第 2 至 7 层的协议。点击”Expression”按钮后,您可以看到它们。比方:IP,TCP,DNS,SSHString1, String2 (可选项):协议的子类。点击相关父类旁的”+”号,然后选择其子类。Comparison operators 比较运算符:可以使用 6 种比较运算符:Logical expressions规律运算符:显示过滤器例子:snmp | dns | icmp /显示SNMP 或 DNS 或ICMP 封包。ip.addr = 10.1.1.1/显示来源或目的IP 地址为 10.1.1.1 的封包。i
24、p.src != 10.1.2.3 or ip.dst != 10.4.5.6/显示来源不为 10.1.2.3 或者目的不为10.4.5.6 的封包。换句话说,显示的封包将会为:来源 IP:除了 10.1.2.3 以外任意;目的IP:任意以及来源 IP:任意;目的IP:除了 10.4.5.6 以外任意ip.src != 10.1.2.3 and ip.dst != 10.4.5.6/显示来源不为 10.1.2.3 并且目的IP不为 10.4.5.6 的封包。换句话说,显示的封包将会为:来源 IP:除了 10.1.2.3 以外任意;同时须满足,目的IP:除了 10.4.5.6 以外任意tcp.p
25、ort = 25/显示来源或目的TCP 端口号为 25 的封包。tcp.dstport = 25/显示目的TCP 端口号为 25 的封包。tcp.flags/显示包含TCP 标志的封包。tcp.flags.syn = 002/显示包含TCP SYN 标志的封包。假设过滤器的语法是正确的,表达式的背景呈绿色。假设呈红色,说明表达式有误三次握手 Three-way Handshake一个虚拟连接的建立是通过三次握手来实现的1. (Client) SYN (Server)假设 Client 和Server 通讯. 当 Client 要和Server 通信时,Client 首先向Server 发一个S
26、YN (Synchronize) 标记的包,告知Server 恳求建立连接.留意: 一个 SYN 包就是仅SYN 标记设为 1 的TCP 包(参见TCP 包头Resources). 生疏到这点很重要,只有当Server 收到Client 发来的SYN 包,才可建立连接,除此之外别无他法。因此,假设你的防火墙丢弃全部的发往外网接口的SYN 包,那么你将不 能让外部任何主机主动建立连接。2. (Client) SYN/ACK ACK (Server)Client 收到来自Server 的 SYN/ACK 包,Client 会再向Server 发一个确认包(ACK),通知Server 连接已建立。至
27、此,三次握手完成,一个TCP 连接完成。Note: ACK 包就是仅ACK 标记设为 1 的 TCP 包. 需要留意的是当三此握手完成、连接建立以后,TCP 连接的每个包都会设置ACK 位。四次握手 Four-way Handshake四次握手用来关闭已建立的TCP 连接1. (Client) ACK/FIN (Server)2. (Client) ACK (Server)3. (Client) ACK/FIN ACK (Server)留意: 由于TCP 连接是双向连接, 因此关闭连接需要在两个方向上做。ACK/FIN 包(ACK 和 FIN 标记设为 1)通常被认为是 FIN(终结)包.然而, 由于连接还没有关闭, FIN 包总是打上ACK 标记. 没有ACK 标记而仅有FIN 标记的包不是合法的包,并且通常被认为是恶意的。