wireshark中文是一款网络协议分析器,wireshark软件为用户提供网络封包查看功能,帮助您可以一键进行查看了解。另外软件支持在多个系统中运行,让每一位用户可以进行使用。
【软件介绍】
wireshark是一款专用于网络封包的工具,比较适用于网络管理和安全工程这个职业。通过使用Wireshark免费开源分析,为当前和未来的网络工程师,网络架构师,应用工程师,网络顾问和其他IT专业人员提供有关故障排除,保护,分析和维护高效,高效的网络基础架构的最佳实践的教育工具。
【软件功能】
Wireshark具有丰富的功能集,包括以下内容:
深入检查数百种协议,一直加入更多
实时捕捉和离线分析
标准三窗格分组浏览器
多平台:在Windows,Linux,macOS,Solaris,FreeBSD,NetBSD等许多应用程序上运行
捕获的网络数据可以通过GUI或TTY模式TShark实用程序浏览
业界最强大的显示滤镜
丰富的VoIP分析
读/写许多不同的捕获文件格式:tcpdump(libpcap),Pcap NG,Catapult DCT2000,Cisco Secure IDS iplog,Microsoft网络监视器,Network GeneralSniffer?(压缩和未压缩),Sniffer?Pro和NetXray?网络仪器观察器,NetScreen snoop,Novell LANalyzer,RADCOM WAN / LAN分析仪,Shomiti / Finisar Surveyor,Tektronix K12xx,Visual Networks Visual UpTime,WildPackets EtherPeek / TokenPeek / AiroPeek等许多
捕获使用gzip压缩的文件可以快速解压缩
实时数据可以从以太网,IEEE 802.11,PPP / HDLC,ATM,蓝牙,USB,令牌环,帧中继,FDDI等(取决于您的平台)
许多协议的解密支持,包括IPsec,ISAKMP,Kerberos,SNMPv3,SSL / TLS,WEP和WPA / WPA2
着色规则可以应用于数据包列表,以进行快速,直观的分析
输出可以导出为XML,PostScript?,CSV或纯文本
Wireshark 使用
确定 Wireshark 的位置
如果没有一个正确的位置,启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。
选择捕获接口
一般都是选择连接到Internet网络的接口,这样才可以捕获到与网络相关的数据。否则,捕获到的其它数据对自己也没有任何帮助。
使用捕获过滤器
通过设置捕获过滤器,可以避免产生过大的捕获文件。这样用户在分析数据时,也不会受其它数据干扰。而且,还可以为用户节约大量的时间。
使用显示过滤器
通常使用捕获过滤器过滤后的数据,往往还是很复杂。为了使过滤的数据包再更细致,此时使用显示过滤器进行过滤。
使用着色规则
通常使用显示过滤器过滤后的数据,都是有用的数据包。如果想更加突出的显示某个会话,可以使用着色规则高亮显示。
构建图表
如果用户想要更明显的看出一个网络中数据的变化情况,使用图表的形式可以很方便的展现数据分布情况。
重组数据
Wireshark的重组功能,可以重组一个会话中不同数据包的信息,或者是一个重组一个完整的图片或文件。由于传输的文件往往较大,所以信息分布在多个数据包中。为了能够查看到整个图片或文件,这时候就需要使用重组数据的方法来实现。
【过滤规则】
一、过滤规则
只抓取符合条件的包,在Wireshark通过winpacp抓包时可以过滤掉不符合条件的包,提高我们的分析效率。如果要填写过滤规则,在菜单栏找到capture->options,弹出下面对话框,在capture filter输入框内填写相应的过滤规则,点击下方的start就生效了
1.只抓取HTTP报文
tcp port 80
解析:上面是只抓取tcp 协议中80端口的包,大部分Web网站都是工作在80端口的,如果碰到了81端口呢?可以使用逻辑运算符or呗!如 tcp port 80 or tcp port 81
2.只抓取arp报文
ether proto 0x0806
解析:ether表示以太网头部,proto表示以太网头部proto字段值为0x0806,这个字段的值表示是ARP报文,如果的ip报文此值为0x8000
3.只抓取与某主机的通信
host www.3322.cc
只抓取3322软件站服务器的通信,src表示源地址,dst表示目标地址
4.只抓取ICMP报文
icmp
二、 显示规则
只是将已经抓取到的包进行过滤显示,在下方的输入框添入相应的规则点击apply即可,如果需要清除这一次的显示过滤点击Clear即可
1.只显示HTTP报文
tcp.port == 80
2.只显示ARP报文
eth.type == 0x806
3.只显示与某主机的通信
ip.addr == 42.121.252.58
4.只显示ICMP报文
Icmp
【快捷键】
Ctr+O 文件打开
Ctrl+W 关闭文件
Crl+S 保存
Shift+Ctrl+S 另存为...
Ctr+P 打印
Ctrl+Q 关闭
Shift+Ctrl+C 拷贝
Ctr+F 搜索数据包
Ctrl+N 搜索下一个
Ctr+B 搜索前一个
Ctrl+M 对数据包做标记(标定)
Shift+Ctrl+N 搜索下一个标记的包
Ctrl+Shift+B 搜索前一个标记的包
Ctrl+T 设置参考时间 (标定
Shift+Ctrl+P 参数选择
Ctrl++增大字体
Ctrl+-缩小字体
Ctrl+=恢复正常大小
Ctrl+R重新再如当前捕捉文件
Alt+Left 向后运行
Alt+Right 向前运行
Ctrl+G 转移到某数据包
Ctrl+UP 前一个数据包
Ctrl+Down 下一个数据包
Ctrl+K 捕获参数选择
Ctrl+E 停止捕获网络数据
Shift+Ctrl+R 已可以分析的协议列表
【使用教程】
一、抓取报文:
1.下载和安装好Wireshark之后,启动Wireshark并且在接口列表中选择接口名,然后开始在此接口上抓包。例如,如果想要在无线网络上抓取流量,点击无线接口。点击Capture Options可以配置高级属性,但现在无此必要。
2.点击接口名称之后,就可以看到实时接收的报文。Wireshark会捕捉系统发送和接收的每一个报文。如果抓取的接口是无线并且选项选取的是混合模式,那么也会看到网络上其他报文。
3.上端面板每一行对应一个网络报文,默认显示报文接收时间(相对开始抓取的时间点),源和目标IP地址,使用协议和报文相关信息。点击某一行可以在下面两个窗口看到更多信息。“+”图标显示报文里面每一层的详细信息。底端窗口同时以十六进制和ASCII码的方式列出报文内容。
4、需要停止抓取报文的时候,点击左上角的停止按键。
二、色彩标识
1、进行到这里已经看到报文以绿色,蓝色,黑色显示出来。Wireshark通过颜色让各种流量的报文一目了然。比如默认绿色是TCP报文,深蓝色是DNS,浅蓝是UDP,黑色标识出有问题的TCP报文——比如乱序报文。
三、报文样本
1、比如说你在家安装了Wireshark,但家用LAN环境下没有感兴趣的报文可供观察,那么可以去Wireshark wiki下载报文样本文件。
2、打开一个抓取文件相当简单,在主界面上点击Open并浏览文件即可。也可以在Wireshark里保存自己的抓包文件并稍后打开。
四、过滤报文
1、如果正在尝试分析问题,比如打电话的时候某一程序发送的报文,可以关闭所有其他使用网络的应用来减少流量。但还是可能有大批报文需要筛选,这时要用到Wireshark过滤器。
2、最基本的方式就是在窗口顶端过滤栏输入并点击Apply(或按下回车)。例如,输入“dns”就会只看到DNS报文。输入的时候,Wireshark会帮助自动完成过滤条件。
3、也可以点击Analyze菜单并选择Display Filters来创建新的过滤条件。
4、另一件很有趣的事情是你可以右键报文并选择Follow TCP Stream。
5、你会看到在服务器和目标端之间的全部会话。
6、关闭窗口之后,你会发现过滤条件自动被引用了——Wireshark显示构成会话的报文。
五、检查报文
1、选中一个报文之后,就可以深入挖掘它的内容了。
2、也可以在这里创建过滤条件——只需右键细节并使用Apply as Filter子菜单,就可以根据此细节创建过滤条件。
3、Wireshark是一个非常之强大的工具,第一节只介绍它的最基本用法。网络专家用它来debug网络协议实现细节,检查安全问题,网络协议内部构件等等。