Wireshark圖解教程（簡(jiǎn)介、抓包、過濾器）

Wireshark是世界上最流行的網(wǎng)絡(luò)分析工具。這個(gè)強(qiáng)大的工具可以捕捉網(wǎng)絡(luò)中的數(shù)據(jù)，并為用戶提供關(guān)于網(wǎng)絡(luò)和上層協(xié)議的各種信息。與很多其他網(wǎng)絡(luò)工具一樣，Wireshark也使用pcapnetwork library來進(jìn)行封包捕捉。可局域網(wǎng)內(nèi)QQ、郵箱、msn、賬號(hào)等的密碼?。?nbsp;

   wireshark的原名是Ethereal，新名字是2006年起用的。當(dāng)時(shí)Ethereal的主要開發(fā)者決定離開他原來供職的公司，并繼續(xù)開發(fā)這個(gè)軟件。但由于Ethereal這個(gè)名稱的使用權(quán)已經(jīng)被原來那個(gè)公司注冊(cè)，Wireshark這個(gè)新名字也就應(yīng)運(yùn)而生了。

在成功運(yùn)行Wireshark之后，我們就可以進(jìn)入下一步，更進(jìn)一步了解這個(gè)強(qiáng)大的工具。

下面是一張地址為192.168.1.2的計(jì)算機(jī)正在訪問“openmaniak.com”網(wǎng)站時(shí)的截圖。

---

 

1. MENUS（菜單） 2. SHORTCUTS（快捷方式） 3. DISPLAYFILTER（顯示過濾器） 4. PACKETLIST PANE（封包列表)

5. PACKETDETAILS PANE（封包詳細(xì)信息） 6. DISSECTORPANE（16進(jìn)制數(shù)據(jù)） 7. MISCELLANOUS（雜項(xiàng)）

---

1. MENUS（菜單）

程序上方的8個(gè)菜單項(xiàng)用于對(duì)Wireshark進(jìn)行配置：

- "File"（文件） - "Edit" （編輯） - "View"（查看） - "Go" （轉(zhuǎn)到） - "Capture"（捕獲） - "Analyze"（分析） - "Statistics" （統(tǒng)計(jì)） - "Help" （幫助）

打開或保存捕獲的信息。 查找或標(biāo)記封包。進(jìn)行全局設(shè)置。 設(shè)置Wireshark的視圖。 跳轉(zhuǎn)到捕獲的數(shù)據(jù)。 設(shè)置捕捉過濾器并開始捕捉。 設(shè)置分析選項(xiàng)。 查看Wireshark的統(tǒng)計(jì)信息。 查看本地或者在線支持。

2. SHORTCUTS（快捷方式）

在菜單下面，是一些常用的快捷按鈕。
您可以將鼠標(biāo)指針移動(dòng)到某個(gè)圖標(biāo)上以獲得其功能說明。

3. DISPLAYFILTER（顯示過濾器）

顯示過濾器用于查找捕捉記錄中的內(nèi)容。
請(qǐng)不要將捕捉過濾器和顯示過濾器的概念相混淆。請(qǐng)參考Wireshark過濾器中的詳細(xì)內(nèi)容。

返回頁面頂部

---

4. PACKET LISTPANE（封包列表）

封包列表中顯示所有已經(jīng)捕獲的封包。在這里您可以看到發(fā)送或接收方的MAC/IP地址，TCP/UDP端口號(hào)，協(xié)議或者封包的內(nèi)容。

如果捕獲的是一個(gè)OSI layer2的封包，您在Source（來源）和Destination（目的地）列中看到的將是MAC地址，當(dāng)然，此時(shí)Port（端口）列將會(huì)為空。
如果捕獲的是一個(gè)OSI layer3或者更高層的封包，您在Source（來源）和Destination（目的地）列中看到的將是IP地址。Port（端口）列僅會(huì)在這個(gè)封包屬于第4或者更高層時(shí)才會(huì)顯示。

您可以在這里添加/刪除列或者改變各列的顏色：
Edit menu -> Preferences

5. PACKET DETAILSPANE（封包詳細(xì)信息）

這里顯示的是在封包列表中被選中項(xiàng)目的詳細(xì)信息。
信息按照不同的OSI layer進(jìn)行了分組，您可以展開每個(gè)項(xiàng)目查看。下面截圖中展開的是HTTP信息。


6. DISSECTOR PANE（16進(jìn)制數(shù)據(jù)）

“解析器”在Wireshark中也被叫做“16進(jìn)制數(shù)據(jù)查看面板”。這里顯示的內(nèi)容與“封包詳細(xì)信息”中相同，只是改為以16進(jìn)制的格式表述。
在上面的例子里，我們?cè)凇胺獍敿?xì)信息”中選擇查看TCP端口（80），其對(duì)應(yīng)的16進(jìn)制數(shù)據(jù)將自動(dòng)顯示在下面的面板中（0050）。

7. MISCELLANOUS（雜項(xiàng)）

在程序的最下端，您可以獲得如下信息：

- - 正在進(jìn)行捕捉的網(wǎng)絡(luò)設(shè)備。
- 捕捉是否已經(jīng)開始或已經(jīng)停止。
- 捕捉結(jié)果的保存位置。
- 已捕捉的數(shù)據(jù)量。
- 已捕捉封包的數(shù)量。(P)
- 顯示的封包數(shù)量。(D) (經(jīng)過顯示過濾器過濾后仍然顯示的封包)
- 被標(biāo)記的封包數(shù)量。(M)

 

 

正如您在Wireshark教程第一部分看到的一樣，安裝、運(yùn)行Wireshark并開始分析網(wǎng)絡(luò)是非常簡(jiǎn)單的。

使用Wireshark時(shí)最常見的問題，是當(dāng)您使用默認(rèn)設(shè)置時(shí)，會(huì)得到大量冗余信息，以至于很難找到自己需要的部分。
過猶不及。

這就是為什么過濾器會(huì)如此重要。它們可以幫助我們?cè)邶嬰s的結(jié)果中迅速找到我們需要的信息。

- -	捕捉過濾器：用于決定將什么樣的信息記錄在捕捉結(jié)果中。需要在開始捕捉前設(shè)置。 顯示過濾器：在捕捉結(jié)果中進(jìn)行詳細(xì)查找。他們可以在得到捕捉結(jié)果后隨意修改。

那么我應(yīng)該使用哪一種過濾器呢？

兩種過濾器的目的是不同的。
捕捉過濾器是數(shù)據(jù)經(jīng)過的第一層過濾器，它用于控制捕捉數(shù)據(jù)的數(shù)量，以避免產(chǎn)生過大的日志文件。
顯示過濾器是一種更為強(qiáng)大（復(fù)雜）的過濾器。它允許您在日志文件中迅速準(zhǔn)確地找到所需要的記錄。

兩種過濾器使用的語法是完全不同的。我們將在接下來的幾頁中對(duì)它們進(jìn)行介紹：

---

                      1. 捕捉過濾器           2. 顯示過濾器

---

1. 捕捉過濾器

捕捉過濾器的語法與其它使用Lipcap（Linux）或者Winpcap（Windows）庫開發(fā)的軟件一樣，比如著名的TCPdump。捕捉過濾器必須在開始捕捉前設(shè)置完畢，這一點(diǎn)跟顯示過濾器是不同的。

設(shè)置捕捉過濾器的步驟是：
- 選擇 capture -> options。
- 填寫"capture filter"欄或者點(diǎn)擊"capturefilter"按鈕為您的過濾器起一個(gè)名字并保存，以便在今后的捕捉中繼續(xù)使用這個(gè)過濾器。
- 點(diǎn)擊開始（Start）進(jìn)行捕捉。

語法：

Protocol

Direction

Host(s)

Value

Logical Operations

Other expression

例子：

tcp

dst

10.1.1.1

80

and

tcp dst 10.2.2.2 3128

Protocol（協(xié)議）:
可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl,tcp and udp.
如果沒有特別指明是什么協(xié)議，則默認(rèn)使用所有支持的協(xié)議。

Direction（方向）:
可能的值: src, dst, src and dst, src or dst
如果沒有特別指明來源或目的地，則默認(rèn)使用 "src or dst" 作為關(guān)鍵字。
例如，"host 10.2.2.2"與"src or dst host 10.2.2.2"是一樣的。
Host(s):
可能的值： net, port, host, portrange.
如果沒有指定此值，則默認(rèn)使用"host"關(guān)鍵字。
例如，"src 10.1.1.1"與"src host 10.1.1.1"相同。

LogicalOperations（邏輯運(yùn)算）:
可能的值：not, and, or.
否("not")具有最高的優(yōu)先級(jí)?；?"or")和與("and")具有相同的優(yōu)先級(jí)，運(yùn)算時(shí)從左至右進(jìn)行。
例如，
"not tcp port 3128 and tcp port 23"與"(not tcp port 3128) and tcpport 23"相同。
"not tcp port 3128 and tcp port 23"與"not (tcp port 3128 and tcpport 23)"不同。

---

例子：

tcp dst port 3128

顯示目的TCP端口為3128的封包。

ip src host 10.1.1.1

顯示來源IP地址為10.1.1.1的封包。

host 10.1.2.3

顯示目的或來源IP地址為10.1.2.3的封包。

src portrange 2000-2500

顯示來源為UDP或TCP，并且端口號(hào)在2000至2500范圍內(nèi)的封包。

not imcp

顯示除了icmp以外的所有封包。（icmp通常被ping工具使用）

src host 10.7.2.12 and not dst net 10.200.0.0/16

顯示來源IP地址為10.7.2.12，但目的地不是10.200.0.0/16的封包。

(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dstportrange 200-10000 and dst net 10.0.0.0/8

顯示來源IP為10.4.1.12或者來源網(wǎng)絡(luò)為10.6.0.0/16，目的地TCP端口號(hào)在200至10000之間，并且目的位于網(wǎng)絡(luò)10.0.0.0/8內(nèi)的所有封包。

---

注意事項(xiàng)：

當(dāng)使用關(guān)鍵字作為值時(shí)，需使用反斜杠“⁄”。
"ether proto ⁄ip" (與關(guān)鍵字"ip"相同).
這樣寫將會(huì)以IP協(xié)議作為目標(biāo)。

"ip proto ⁄icmp" (與關(guān)鍵字"icmp"相同).
這樣寫將會(huì)以ping工具常用的icmp作為目標(biāo)。

可以在"ip"或"ether"后面使用"multicast"及"broadcast"關(guān)鍵字。
當(dāng)您想排除廣播請(qǐng)求時(shí)，"no broadcast"就會(huì)非常有用。

---

查看 TCPdump的主頁以獲得更詳細(xì)的捕捉過濾器語法說明。
在Wiki Wireshark website上可以找到更多捕捉過濾器的例子。

2. 顯示過濾器：

通常經(jīng)過捕捉過濾器過濾后的數(shù)據(jù)還是很復(fù)雜。此時(shí)您可以使用顯示過濾器進(jìn)行更加細(xì)致的查找。
它的功能比捕捉過濾器更為強(qiáng)大，而且在您想修改過濾器條件時(shí)，并不需要重新捕捉一次。

語法：

Protocol

.

String 1

.

String 2

Comparison operator

Value

Logical Operations

Other expression

例子：

ftp

passive

ip

==

10.2.3.4

xor

icmp.type

Protocol（協(xié)議）:

您可以使用大量位于OSI模型第2至7層的協(xié)議。點(diǎn)擊"Expression..."按鈕后，您可以看到它們。
比如：IP，TCP，DNS，SSH





您同樣可以在如下所示位置找到所支持的協(xié)議：





Wireshark的網(wǎng)站提供了對(duì)各種 協(xié)議以及它們子類的說明。

String1,String2 (可選項(xiàng)):

協(xié)議的子類。
點(diǎn)擊相關(guān)父類旁的"+"號(hào)，然后選擇其子類。



Comparisonoperators （比較運(yùn)算符）:

可以使用6種比較運(yùn)算符：

英文寫法：	C語言寫法：	含義：
eq	==	等于
ne	!=	不等于
gt	>	大于
lt	<	小于
ge	>=	大于等于
le	<=	小于等于

Logicalexpressions（邏輯運(yùn)算符）:

英文寫法：	C語言寫法：	含義：
and	&&	邏輯與
or	||	邏輯或
xor	^^	邏輯異或
not	!	邏輯非

被程序員們熟知的邏輯異或是一種排除性的或。當(dāng)其被用在過濾器的兩個(gè)條件之間時(shí)，只有當(dāng)且僅當(dāng)其中的一個(gè)條件滿足時(shí)，這樣的結(jié)果才會(huì)被顯示在屏幕上。
讓我們舉個(gè)例子：
"tcp.dstport 80 xor tcp.dstport 1025"
只有當(dāng)目的TCP端口為80或者來源于端口1025（但又不能同時(shí)滿足這兩點(diǎn)）時(shí)，這樣的封包才會(huì)被顯示。

---

例子：

snmp || dns || icmp

顯示SNMP或DNS或ICMP封包。

ip.addr == 10.1.1.1

顯示來源或目的IP地址為10.1.1.1的封包。

ip.src != 10.1.2.3 or ip.dst != 10.4.5.6

顯示來源不為10.1.2.3或者目的不為10.4.5.6的封包。
換句話說，顯示的封包將會(huì)為：
來源IP：除了10.1.2.3以外任意；目的IP：任意
以及
來源IP：任意；目的IP：除了10.4.5.6以外任意

ip.src != 10.1.2.3 and ip.dst != 10.4.5.6

顯示來源不為10.1.2.3并且目的IP不為10.4.5.6的封包。
換句話說，顯示的封包將會(huì)為：
來源IP：除了10.1.2.3以外任意；同時(shí)須滿足，目的IP：除了10.4.5.6以外任意

tcp.port == 25

顯示來源或目的TCP端口號(hào)為25的封包。

tcp.dstport == 25

顯示目的TCP端口號(hào)為25的封包。

tcp.flags

顯示包含TCP標(biāo)志的封包。

tcp.flags.syn == 0x02

顯示包含TCP SYN標(biāo)志的封包。

如果過濾器的語法是正確的，表達(dá)式的背景呈綠色。如果呈紅色，說明表達(dá)式有誤。

	表達(dá)式正確
	表達(dá)式錯(cuò)誤