《Wireshark介绍.ppt》由会员分享,可在线阅读,更多相关《Wireshark介绍.ppt(33页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、2数据通信和计算机网络数据通信和计算机网络王佳军王佳军邮邮 箱:箱:实验室:张江校区计算机楼实验室:张江校区计算机楼3143讲解内容讲解内容 基础知识基础知识 Wireshark历史历史 Wireshark的功能特点的功能特点 Wireshark的使用的使用4OSI 模型模型5Internet 参考模型参考模型6Internet参考模型参考模型 应用层能与应用程序界面沟通,以达到展示给用户的目的。应用层能与应用程序界面沟通,以达到展示给用户的目的。 在此常在此常见的协议有见的协议有: HTTP,HTTPS,FTP,TELNET,SSH,SMTP,POP3等。等。 运输层在应用层之下,为在不同主
2、机上运行的应用进程之间提供逻辑运输层在应用层之下,为在不同主机上运行的应用进程之间提供逻辑服务。在运输层中最普遍用到的协议是服务。在运输层中最普遍用到的协议是TCP协议和协议和UDP协议。尽管在协议。尽管在网络中可能会发生分组丢失和重排序,但是网络中可能会发生分组丢失和重排序,但是TCP能够提供可靠的、顺能够提供可靠的、顺序的数据传输,而序的数据传输,而 UDP是一个不可靠的传输协议。是一个不可靠的传输协议。 网络层负责把传送的数据从网络中的一台机器传送到另一台机器。在网络层负责把传送的数据从网络中的一台机器传送到另一台机器。在网络中,网络中,Internet网络中网络层的协议是网络中网络层的
3、协议是IP协议。它根据分组中的协议。它根据分组中的IP目的地址,尽力完成端到端(源主机与目的主机)的传输。目的地址,尽力完成端到端(源主机与目的主机)的传输。 网络层通信的路径由一系列通信链路组成,从源主机开始,经过一系网络层通信的路径由一系列通信链路组成,从源主机开始,经过一系列的网络设备如路由器,在目的主机结束。分组是如何通过各段独立列的网络设备如路由器,在目的主机结束。分组是如何通过各段独立链路的?数据链路层的任务是将网络层的数据报通过路径中的单段链链路的?数据链路层的任务是将网络层的数据报通过路径中的单段链路从一个节点路从一个节点“移动移动”到临近的节点到临近的节点。7Wireshar
4、k 基本情况基本情况Wireshark 是网络包分析工具是网络包分析工具(packet sniffer)。网络包分析工具的。网络包分析工具的主要作用是尝试捕获网络包,主要作用是尝试捕获网络包, 并尝试显示包的尽可能详细的情况并尝试显示包的尽可能详细的情况,Wireshark可能是今天能使用的最好的可能是今天能使用的最好的开源开源网络分析软件网络分析软件目前最新开发版目前最新开发版1.12.0rc3,稳定版,稳定版1.12.1下载下载:免费使用(免费使用(GNU GPL 包括帮助文件)包括帮助文件)http:/www.wireshark.org/download.html8Wiresahrk简史
5、简史1997年,年,Gerald Combs 需要一个工具追踪网络问题并想学习网络需要一个工具追踪网络问题并想学习网络知识,开始开发知识,开始开发Ethereal (Wireshark项目以前的名称项目以前的名称)。1998年,年,0.2.0版诞生了。版诞生了。Gilbert Ramirez发现它的潜力,并为其开发了一个底层分解器。发现它的潜力,并为其开发了一个底层分解器。1998年年10月,月,Guy Harris开始为开始为Ethereal进行改进,并开发分解器。进行改进,并开发分解器。1998年以后,年以后,Richard Sharpe 开始从事开始从事Ethereal的分析及改进。的分
6、析及改进。2006年,年,Ethereal项目更名为项目更名为WiresharkSource:https:/www.wireshark.org/docs/wsug_html_chunked/ChIntroHistory.html9Wireshark功能功能支持支持UNIX和和Windows等多等多平台平台在接口实时捕捉包在接口实时捕捉包能详细显示包的详细协议信息能详细显示包的详细协议信息 可以打开可以打开/保存捕捉的包保存捕捉的包可以导入导出其他捕捉程序支持的包数据格式可以导入导出其他捕捉程序支持的包数据格式可以通过多种方式过滤包可以通过多种方式过滤包多种方式查找包多种方式查找包通过过滤以多种
7、色彩显示包通过过滤以多种色彩显示包创建多种统计分析创建多种统计分析10Wireshark实现实现 基于分解器(基于分解器(dissector) 网络上每一层的协议都有对应的分解器,分解器的作用是把每一层的网络上每一层的协议都有对应的分解器,分解器的作用是把每一层的信息分解,显示出首部字段,把有效载荷字段(信息分解,显示出首部字段,把有效载荷字段(payload)传递给向)传递给向上一层的分解器,以达到逐层分解的目的上一层的分解器,以达到逐层分解的目的 分解器有两种实现方式:作为主程序中的模块实现,或作为插件实现分解器有两种实现方式:作为主程序中的模块实现,或作为插件实现11Wireshark不
8、能做的事不能做的事 Wireshark不是入侵检测系统。不是入侵检测系统。 Wireshark不会处理网络事务,它仅仅是不会处理网络事务,它仅仅是“测量测量”(监视监视)网络。网络。12Wireshark 主界面主界面13Capture Options14Capture Options15Capture Options选项选项 Interface: 指定在哪个接口(网卡)上抓包。单网卡下使用缺省的就可以了。如果同时拥有以太网接口和无线网络接口,必须选择一个进行监测。16Capture Options选项选项 Use promiscuous mode on all interfaces: 是否打
9、开混杂模式。如果打开,抓取所有的数据包。一般情况下只需要监听本机收到或者发出的包,因此应该关闭这个选项。 在混杂模式下,捕获分组前,必须得到网络管理员的允许或网络用户的同意。17Capture Options选项选项 Capture Filter:抓包过滤器。只抓取满足过滤规则的包,用在抓包:抓包过滤器。只抓取满足过滤规则的包,用在抓包过程中限制捕获的数据量。过程中限制捕获的数据量。抓包过滤器使用的是抓包过滤器使用的是libcap过滤器语言,在过滤器语言,在Wireshark help中中有详细的解释。基本结构是:有详细的解释。基本结构是: not primitive andor not pr
10、imitive . 。例如例如: not tcp port 3389,tcp port http18Capture Options选项选项 File:如果需要将抓到的包写到文件中,在这里输入文件名称。:如果需要将抓到的包写到文件中,在这里输入文件名称。use multiple files: 是否使用循环缓冲。注意,循环缓冲只有在写文件是否使用循环缓冲。注意,循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲,还需要设置文件的数目,文件的时候才有效。如果使用了循环缓冲,还需要设置文件的数目,文件多大时回卷。多大时回卷。19Capture Options选项选项 其他的项选缺省值就可以。其他的项
11、选缺省值就可以。 Display options(显示选项显示选项):默认情况下,分组的显示与它们被捕获默认情况下,分组的显示与它们被捕获时的状态不一样。可以选择观察实时更新的分组项,然后可选择让显时的状态不一样。可以选择观察实时更新的分组项,然后可选择让显示屏自动滚动最后捕获的分组。示屏自动滚动最后捕获的分组。 Name resolution(名字解析名字解析):把分组中的数字转化成名字。默认把分组中的数字转化成名字。默认是是:MAC地址解析和传输名字解析。地址解析和传输名字解析。20Capture Options选项选项 Stop Capture Automatically After:控
12、制在一定数量的分组、跟踪记录到达一定的大小或者一个特定的时间控制在一定数量的分组、跟踪记录到达一定的大小或者一个特定的时间后停止跟踪。后停止跟踪。 点击点击Start, Wireshark就开始捕获分组并显示捕获统计窗口。就开始捕获分组并显示捕获统计窗口。 点击点击Stop,停止捕获。,停止捕获。21Wireshark显示过滤器显示过滤器 显示过滤器显示过滤器:在显示所有分组的同时限制所显示的分组。在显示所有分组的同时限制所显示的分组。 可以根据可以根据协议、是否存在某个域、域值、域值之间的比较协议、是否存在某个域、域值、域值之间的比较来查找你感来查找你感兴趣的包兴趣的包. 在在Wiresha
13、rk窗口的左上角的窗口的左上角的Filter 中输入过滤条件。中输入过滤条件。 注意注意:只有在只有在Filter的背景是绿色,你设定的的背景是绿色,你设定的Filter是正确的。当背景是正确的。当背景是红色的,说明你设定的是红色的,说明你设定的Filter是是Wireshark不允许的不允许的。22Display Filter 值比较表达式可以使用下面的操作符值比较表达式可以使用下面的操作符:= , !=, , 表达式组合可以使用下面的逻辑操作符表达式组合可以使用下面的逻辑操作符:&, |, ! 例如例如:显示从显示从IP192.168.0.1发出和发往它的分组发出和发往它的分组: 输入输入
14、( ip.dst = 192.168.0.1)|(ip.src = 192.168.0.1)查看使用查看使用tcp协议的包协议的包:输入输入tcp23通过界面设置通过界面设置Display Filter24Display Filter Reference Display Filter Reference:http:/www.wireshark.org/docs/dfref/ 如:对于如:对于IP协议,显示过滤器可参见协议,显示过滤器可参见http:/www.wireshark.org/docs/dfref/i/ip.html25跟踪记录跟踪记录 在一定时间内抓包,把跟踪结果存放在一个文件中,如
15、在一定时间内抓包,把跟踪结果存放在一个文件中,如test.cap文件文件中。中。 然后打开文件进行查看。然后打开文件进行查看。 对捕获的分组进行分析。对捕获的分组进行分析。26包分析包分析跟踪列表框跟踪列表框协议层框协议层框原始分组层原始分组层27列表框列表框 显示所捕获分组的列表显示所捕获分组的列表编号编号时间时间源源IPIP目的目的IPIP最高层协议最高层协议分组长度分组长度信息信息28协议层框协议层框 协议层框显示所选分组的各层的分层协议协议层框显示所选分组的各层的分层协议:链路层帧(链路层帧(frame)、网络)、网络层数据报(层数据报(datagram)、运输层的报文段()、运输层的报文段(segment)、应用层的)、应用层的报文(报文(message)。)。29原始框原始框 原始框显示了分组中包含的数据的每个字节。方框的左边显示的是原始框显示了分组中包含的数据的每个字节。方框的左边显示的是十六进制的数据,右边显示的是十六进制的数据,右边显示的是ASCII码。码。30Filter使用Filter,得到需要的特定包31菜单菜单Statistics/Summary 跟踪记录的统计概要跟踪记录的统计概要32菜单菜单Statistics/Protocol Hierarchy 基于分层的统计基于分层的统计
限制150内