网络捕获工具wireshark入门教程的详细说明

Wireshark(原Ethereal)是一款网络数据包分析软件。网络包分析软件的功能是截取网络包，尽可能显示最详细的网络包数据。

Wireshark以WinPCAP为接口，直接与网卡进行数据报文交换。

网络管理员使用Wireshark检测网络问题，网络安全工程师使用Wireshark检查信息安全相关问题，开发人员使用Wireshark调试新的通信协议，普通用户使用Wireshark学习网络协议相关知识。

当然，有些人会利用它来寻找一些别有用心的敏感信息。与tcpdump相比，Wireshark的界面更友好，功能更强大。

Wireshark基本用法

下面的介绍是基于mac下的Wireshark 1 . 12 . 2版本。

理解界面

描述：

常见按钮的功能从左到右依次为：

1.列出可用的接口。

2.抓取包时需要设置的一些选项。一般会保留最后的设置结果。

3.开始新的抓取。

4.别抓包裹了。

5.继续抢这个包。

6.打开捕获文件。您可以打开之前捕获并保存的文件。您不仅可以打开wireshark软件保存的文件，还可以使用-w参数打开tcpdump保存的文件。

7.保存文件。保存此捕获或分析的结果。

8.关闭打开的文件。文件关闭后，会切换到初始界面。

9.重载捕获文件。

Wireshark设置数据捕获选项

点击常用按钮中的设置按钮，弹出设置选项对话框。在该对话框中，我们可以选择要监控的接口，设置混杂模式，并设置捕获数据包的过滤条件。下图：

首先，选择需要监听并获取数据包的接口。接口列表区域列出了所有可用的接口。如果选中接口前面的复选框，则意味着接口正在侦听捕获的数据包。

第二，建立混杂模式。设置混杂模式用于将网卡设置为混杂模式。如果不设置混杂模式，您的计算机只能接收发送到您的计算机的数据包。

如果您设置了混杂模式，您可以捕获局域网中的所有数据包。如果选中窗口中“在所有接口上使用混杂模式”前面的复选框，则意味着对所有接口使用混杂模式。如果要单独设置，可以双击界面列表中的界面，弹出如下对话框。然后选中或删除“在承诺模式下捕获数据包”前面的复选框。然后点击ok按钮。

第三，设置捕获过滤条件。点设置按钮会弹出主设置对话框中的“捕捉过滤器”项，双击界面列表会弹出对话框。

在文本框中，我们可以设置捕获过滤器条件。例如，如果我们只捕获与http相关的数据包，我们可以将捕获条件设置为“端口80”。

因为http使用端口80。

最后，所有设置完成后，点击设置主窗口中的“开始”按钮，开始采集数据。数据采集完成后，可以点击常用按钮中的“保存”按钮保存数据。

使用显示过滤器

显示过滤器应用于捕获的文件，告诉wireshark只显示那些符合过滤标准的数据包。

显示过滤器比捕获过滤器更常用。它可以用来过滤不需要的数据包，但不会删除数据。如果要恢复原始状态，只需删除过滤条件即可。

wireshark的筛选器表达式对话框可以轻松设置筛选器表达式。单击“表达式”按钮打开该对话框。下图：

对话框分为三个部分：左、中、右。左边是所有可以使用的协议域。右边是与协议域相关的条件值。

中间是协议域和条件值的关系。过滤器表达式对初学者很有用。如上所示，我们创建的表达式的功能是只显示http协议数据包中包含关键字“bo56.com”的所有数据包。

字段名描述：

该列表显示了所有支持的协议。单击前面的三角形符号后，您可以列出此协议的可筛选字段。如果您在“域名”列表中选择任何项目，您只需输入所需的协议域，您将自动找到相应的协议域选项。

关系描述：

如果所选协议域存在，将显示相关数据包。

包含确定协议、字段或片段包含值

匹配确定协议或字符串匹配给定的Perl表达式。

价值描述(协议):

在此输入适当的值。如果选定的协议域和该值满足关系中指定的关系，将显示相关数据包。

预定义值的描述：

一些协议域包含预定义的值，这与C语言中的枚举类型有些相似。如果您选择的协议字段包含这样的值，您可以从该列表中进行选择。

功能功能描述：

过滤器的语言还具有以下功能：

大写(字符串字段)-将字符串转换为大写

Lower(字符串字段)-将字符串转换为小写

在处理区分大小写的字符串比较时，Upper()和lower()很有用。例如：

upper(ncp.nds_stream_name)包含' BO56。' COM '

下部(mount . dump . hostname)=' BO56。' COM '

如果您熟悉这条规则，您会发现手动输入表达式更有效。当时，当表达式被手动输入到flter文本框中时，如果输入语法有问题，文本框的背景颜色会变成红色。

这时可以继续输入或修改，知道文本框中的表达式正确后，文本框的背景颜色会再次变绿。

Wireshark使用着色规则

您经常会在数据包列表区域看到不同的颜色。这是wireshark人性化的一个方面。它允许您指定条件，并以指定的颜色显示合格的数据包。这将使您更容易找到数据包。

我们来谈谈如何设置颜色规则。

点击“查看”菜单，选择“颜色规则”选项，弹出设置颜色规则的对话框。也可以通过单击颜色规则设置的快捷按钮来打开颜色设置对话框。下图：

默认情况下打开的对话框中已经有一些规则。我们经常在抓取的数据包中看到一些不同的颜色，也就是说，应用了这些默认规则。单击“新建”按钮添加规则。下图：

在名称字段中填写规则的名称，以便于记忆。

在字符串字段中填写过滤规则。这里的语法与显示规则的表达是一致的。点击上图中的“表达式”按钮，会看到熟悉的正则表达式对话。

前景色按钮用于选择前景色。

背景颜色按钮用于选择背景颜色。

“禁用”按钮用于指示是否禁用此规则。

单击确定按钮后，规则将自动添加到规则列表的顶部。

注意：当wireshark应用规则时，它会从上到下应用规则。因此，刚才添加的规则优先。如果要调整顺序，可以选择规则调整顺序，然后点击右侧的“向上”或“向下”按钮。

设置颜色规则后，只需单击应用按钮即可应用规则。规则效果应用如下：

Wireshark使用图表

图形分析是数据分析中不可缺少的一部分。这也是wireshark的一大亮点。Wireshark具有不同的图形显示功能，可帮助您理解捕获的数据包。下面，我们介绍常用的IO图和双向时间图。

IO图wireshark的IO图允许您绘制网络上的吞吐量。让你知道网络数据传输过程中的峰值和波动。

您可以通过“统计”菜单中的“输入输出图表”选项打开此输入输出图表对话框。下图：

可以看到IO图表对话框分为三个区域。

过滤区：设置过滤条件，用于图形化显示与过滤条件相关的数据包的变化。并且可以为每个不同的条件分配不同的颜色。过滤器条件的语法与前面介绍的显示过滤器的语法一致。过滤条件为空，此图显示了所有流量。

坐标区域：可以在这里设置图表的x轴和y轴。x轴是时间，y轴是包裹数量。如图所示，我们将Y轴的单位设置为字节/刻度。

趋势图区域：根据过滤器设置条件和坐标区域设置，分析后数据会图形化显示在该区域。单击图中的一个点，相应的数据包将被自动定位。点击趋势图中的低谷，你会发现大量数据包被重传。

IO图表也可以通过函数聚合数据。

单击y轴单位选项中的高级，计算选项将被添加到过滤器区域。下图：

Wireshark相关功能描述：

MIN()、AVG()、MAX max()分别是统计协议域中数值的最小值、平均值和最大值。请注意，这三个聚合函数只有在协议域的值为数字时才有效。

Count()此函数统计时间间隔内的事件数量，这在查看TCP分析标识符(如重传)时非常有用。

Sum()此函数计算事件的累积值。与MIN()函数一样，这仅在协议域的值是数字时有效。

Wireshark双向时序图

wireshark的另一个功能是可以在网络传输中绘制双向时间。

往返时间，RTT)是确认数据包正常接收所需的时间。

以tcp协议为例，即你向主机推送一个数据，主机向你的主机响应ack，你的主机成功收到ack响应。在这两个过程中花费的时间总和就是双向时间。双向时间通常用于发现网络传输过程中的慢点和瓶颈，判断网络传输是否存在延迟。

您可以通过在“统计”菜单的“Tcp流图”中选择“往返时间图”来打开这个双向时间图对话框。下图：

这个图表中的每个点代表一个数据包的双向时间。您可以站在图表中的任何一点，然后在数据包列表区域中自动定位相应的数据包。从数据表来看，我们下载的压缩包是比较稳定的。

数据包的Rtt时间大多在0.05秒以下，其他在0.1秒左右，少数超过1.5秒.

Wireshark跟踪tcp流

Wireshark分析的最佳特性之一是它可以重组TCP流。

重组后的数据格式更容易阅读。追踪TCP流的功能可以将接收到的数据进行排列，以便于查看，而不必看小块。

这在查看纯文本应用层协议(如HTTP和FTP)时非常有用。

让我们以一个简单的HTTP请求为例来说明。打开wireshark_bo56_pcap.pcapng，在显示过滤器中输入“http包含wireshark”，点击“应用”按钮，数据包列表框中只剩下一条记录。下图。

右键单击该记录，然后选择“跟踪TCP流”。此时，TCP流将显示在单独的窗口中。下图：

我们可以看到这个窗口中的文本将有两种颜色。

其中红色用于指示从源地址到目的地址的流量。

在我们的例子中，它是从我们自己的机器到web服务器的流量。

可以看到开头的红色部分是GET请求。蓝色部分是与红色部分相反的方向，即从目的地址到源地址的流量。

在我们的示例中，蓝色部分的第一行是“HTTP/1.1 200 OK”，这是来自服务器的成功HTTP响应。

在该窗口中，您不仅可以看到这些原始数据，还可以在文本之间进行搜索，将其保存为文件，打印或以ASCII码、EBCDIC、十六进制或C数组格式查看。这些选项可以在“跟踪TCP流”窗口下找到。

以上是网络捕获工具wireshark入门教程的详细内容。有关网络捕获工具wireshark的更多文章，请单击下面的相关文章链接