实验四wireshark教程网络监测.docx

1、实验四wireshark教程网络监测Wireshark教程当前，互联网已经越来越成为人们生活中必不可少的组成部分。面对日益复杂的网络环境，网络管理员必须花费更很多的时间和精力，来了解网络设备的运作情况，以维持系统的正常运行。当网络趋于复杂，就必须借助于专业的工具了。因此，作为一个网络管理人员和网络从业者，熟练掌握和运用一套网络管理软件来对整个网络进行协议分析，是一个必不可少的技能。 当前较为流行的网络协议嗅探和分析软件 Wireshark 。通过使用抓包工具，来准确而快速地判断网络问题的所在，大大缩短寻找问题的时间。 网络管理人员的私人秘书 Wireshark 网络流量分析是指捕捉网络中流动的

2、数据包，并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题，它是网络和系统管理人员进行网络故障和性能诊断的有效工具。通常，人们把网络分析总结为四种方式：基于流量镜像协议分析，基于 SNMP 的流量监测技术，基于网络探针（ Probe ）技术和基于流（ flow ）的流量分析。而我们下面要向大家介绍的 Wireshark 就是基于流量镜像协议分析。 流量镜像协议分析方式是把网络设备的某个端口（链路）流量镜像给协议分析仪，通过 7 层协议解码对网络流量进行监测。但该方法主要侧重于协议分析，而非用户流量访问统计和趋势分析，仅能在短时间内对流经接口的数据包进行分析，

3、无法满足大流量、长期的抓包和趋势分析的要求。 Wireshark 的前身是著名的 Ethereal 。 Wireshark 是一款免费的网络协议检测程序。它具有设计完美的 GUI 和众多分类信息及过滤选项。下面是 Wireshark 的界面。 用户通过 Wireshark ，同时将网卡插入混合模式，可以用来监测所有在网络上被传送的包，并分析其内容。通过查看每一封包流向及其内容，用来检查网络的工作情况，或是用来发现网络程序的 bugs 。 Wireshark 是一个开放源码的网络分析系统，也是是目前最好的开放源码的网络协议分析器，支持 Unix Linux 和 Windows 平台。由于 Wir

4、eshark 是 Open Source ，更新快，支持的协议多，特别是数据包过滤功能灵活强大。 Wireshark 提供了对 TCP 、 UDP 、 SMB 、 telnet 和 ftp 等常用协议的支持。它在很多情况下可以代替价格昂贵的 Sniffer 。 安装好后，双击桌面上的 Wireshark 图标， 运行软件。再捕捉数据包之前，首先要对捕获的条件进行设置。点击工具栏里的 “Capture Options” ，（图一）或者直接点击快捷按钮（图二），打开选项设置页面（图三）。 首先，我们要在 Interface 里选择正确的捕获接口，即要进行报文捕获的网卡。 Wireshark 支持无

5、线 WLAN 的相关协议，具体设置如下： 下面是一些常用设置项的解释： Interface ：选择捕获接口 Capture packets in promiscuous mode ：表示是否打开混杂模式，打开即捕获所有的报文Limit each packet ：表示限制每个报文的大小，缺省情况不限制。 Capture Filter ：过滤器，只抓取满足过滤规则的包。（可暂时略过） Capture files ：即捕获数据包的保存的文件名以及保存位置。 其他的选项按照图三的设置即可。 Capture Option 确认选择后，点击 ok 就开始进行抓包。 下面的界面会以协议的不同，统计捕获到报文

6、各占的百分比，此时，点击 stop 即可以停止抓包。 当然，如果不想每次打开 Wireshark 都重复上述 Capture Option 的设置，我们也有很好的办法。在 “Edit Preferences Capture 和 Name Resolution” 里预先做好网卡和其他选项的设置 做好预设之后，在每次 打开 Wireshark ，直接点击工具栏的开始按钮，就可以开始抓包了。 本期向大家介绍了 Wireshark 的简单原理，软件特色， Wireshark 的安装和使用设置。通过本期的介绍，大家已经可以使用 Wireshark 捕获数据包了。在下期，我们将向大家介绍 Wireshar

7、k 最有特色并且强大的数据包过滤功能，通过过滤，从而有的放矢的得到我们希望得到的数据包. Wireshark下面的语句首先打开软件开始抓包，步骤都不多说了，菜单栏里面有一个Statistics，下拉菜单里面有个Summary和一个IOGraphs，如图：图一（Statistics菜单-Wireshark）Summary里面用数据说明抓到的平均流量是多少，而IOGraphs用图形表示了你抓数据的流量：图二（Summary-Wireshark） 图三（IOGraphs-Wireshark）Summary里面有两个filter，一个是捕捉的，一个是显示的，建议你在查看流量的时候先定义capture

8、Filter，这样显示出来的就是你需要抓的流量的汇总信息。需要注意的是，这个地方无法实时更新，也就是说，如果你抓包没停下的话，每次打开Summary得到的数据都不一样。IO Graphs里面可以实时显示你抓的流量的图形，你也可以自己定义一些参数，用这个的话，可以不定义capture Filter，而直接在图形里面选择Filter，或者直接将过滤表达式写到Filter后面那一栏里面，也可以显示你需要的流量。不过缺点是，只有图，鼠标放上去没有数字显示，也就是说，你没有办法知道具体某个时间点的流量。图四（file定义窗口-Wireshark）用WireShark观察网络流量Capture Optio

9、n对话框1、Interface（接口）和Link-layer header type（链路层头部）类型选项2、Limit each packet to N bytes(将每个分组限制在N个字节以内)3、Capture packets in promiscuous mode（在混杂模式下捕获分组）4、Filter（过滤器）5、Capture files（捕获文件）6、Display Options（显示选项）7、Stop Capture（停止捕获）8、Name resolution（名字解析）帧层（Frame）在帧层（Frame），Wireshark记录真实的捕获时间、第一个分组与前一个分组的相

10、对时间增量、帧序号、分组长度以及捕获长度。以太网帧层以太网的首部占用14字节，6字节目的地址和6字节源地址，2字节表示类型。例如：以太网的类型为（08 00）。IP层传输层TCP头部是20个字节。2个字节源端口和目的端口。4字节的序列号，4字节确认号。1个字节的数据偏移和标记。2个字节的窗口大小，2个字节的校验和，2个字节的紧急指针。源端口：指定了发送端的端口目的端口：指定了接受端的端口号序号：指明了段在即将传输的段序列中的位置确认号：规定成功收到段的序列号，确认序号包含发送确认的一端所期望收到的下一个序号TCP偏移量：指定了段头的长度。段头的长度取决与段头选项字段中设置的选项保留：指定了一个

11、保留字段，以备将来使用标志：SYN、ACK、PSH、RST、URG、FINSYN： 表示同步ACK： 表示确认PSH： 表示尽快的将数据送往接收进程RST： 表示复位连接URG： 表示紧急指针FIN： 表示发送方完成数据发送窗口：指定关于发送端能传输的下一段的大小的指令校验和：校验和包含TCP段头和数据部分，用来校验段头和数据部分的可靠性紧急：指明段中包含紧急信息，只有当U R G标志置1时紧急指针才有效选项：指定了公认的段大小，时间戳，选项字段的末端，以及指定了选项字段的边界选项Packet list 和Detail 面版控制可以通过快捷键进行快捷键描述Tab,Shift+Tab 在两个项目

12、间移动，例如从一个包列表移动到下一个Down 移动到下一个包或者下一个详情Up 移动到上一个包或者上一个详情Ctrl-Down,F8 移动到下一个包，即使焦点不在Packet list 面版Ctrl-UP,F7 移动到前一个报文，即使焦点不在Packet list 面版Left 在Pactect Detail 面版，关闭被选择的详情树状分支。如果以关闭，则返回到父分支。Right 在Packet Detail 面版，打开被选择的树状分支.Backspace Packet Detail 面版，返回到被选择的节点的父节点Return,Enter Packet Detail 面版，固定被选择树项目。

13、另外，在主窗口键入任何字符都会填充到filter 里面. File菜单菜单项快捷键描述Open. Ctr+O显示打开文件对话框，让您載入捕捉文件用以浏览。Open Recent 弹出一个子菜单显示最近打开过的文件供选择Merg显示合并捕捉文件的对话框。让您选择一个文件和当前打开的文件合并Close Ctrl+W关闭当前捕捉文件，如果您未保存，系统将提示您是否保存（如果您预设了禁止提示保存，将不会提示）SaveCrl+S保存当前捕捉文件，如果您没有设置默认的保存文件名，Wireshark出现提示您保存文件的对话框。详情注意 如果您已经保存文件，该选项会是灰色不可选的。注意 您不能保存动态捕捉的文

14、件。您必须结束捕捉以后才能进行保存Save As Shift+Ctrl+S让您将当前文件保存为另外一个文件面，将会出现一个另存为的对话框File SetList Files允许您显示文件集合的列表。将会弹出一个对话框显示已打开文件的列表,File SetNext File如果当前載入文件是文件集合的一部分，将会跳转到下一个文件。如果不是，将会跳转到最后一个文件。这个文件选项将会是灰色File setPrevious Files如果当前文件是文件集合的一部分，将会调到它所在位置的前一个文件。如果不是则跳到文件集合的第一个文件，同时变成灰色。Export as “Plain Text” File这

15、个菜单允许您将捕捉文件中所有的或者部分的包导出为plainASCII text 格式。它将会弹出一个Wireshark 导出对话框Export as PostScript Files将捕捉文件的全部或部分导出为PostScrit 文件。将会出现导出文件对话框。Export as CVS (CommaSeparated Values PacketSummary)File.导出文件全部或部分摘要为.cvs 格式（可用在电子表格中）。将会弹出导出对话框Export as “PSML” File导出文件的全部或部分为PSML 格式（包摘要标记语言）XML 文件。将会弹出导出文件对话框。Export a

16、s PDML File.导出文件的全部或部分为PDML(包摘要标记语言)格式的XML 文件。将会弹出一个导出文件对话框,Export Selected Packet Bytes导出当前在Packet byte 面版选择的字节为二进制文件。将会弹出一个导出对话框。PrintCtr+P打印捕捉包的全部或部分，将会弹出打印对话框Quit 退出Ctrl+QWireshark,如果未保存文件，Wireshark 会提示是否保存. Edit菜单菜单项快捷键描述CopyAs Filter Shift+Ctrl+C 使用详情面版选择的数据作为显示过滤。显示过滤将会拷贝到剪贴板。Find Packet. Ctr

17、+F 打开一个对话框用来通过限制来查找包Find Next Ctrl+N 在使用Find packet 以后，使用该菜单会查找匹配规则的下一个包Find Previous Ctr+B 查找匹配规则的前一个包。Mark Packet(toggle) Ctrl+M 标记当前选择的包。Find Next Mark Shift+Ctrl+N 查找下一个被标记的包Find Previous Mark Ctrl+Shift+B 查找前一个被标记的包Mark ALL Packets 标记所有包Unmark All Packet 取消所有标记Set Time Reference(toggle) Ctrl+T

18、以当前包时间作为参考Find Next Reference 找到下一个时间参考包Find Previous Refrence. 找到前一个时间参考包Preferences. Shift+Ctrl+P 打开首选项对话框，个性化设置Wireshark 的各项参数，设置后的参数将会在每次打开时发挥作用。. View菜单菜单项快捷键描述Main Toolbar 显示隐藏Main toolbar(主工具栏)Filter Toolbar 显示或隐藏Filter Toolbar(过滤工具栏)Statusbar 显示或隐藏状态Packet List 显示或隐藏Packet List pane(包列表面板)Pa

19、cket Details 显示或隐藏Packet details pane(包详情面板Packet Bytes 显示或隐藏packet Bytes pane(包字节面板Time Display FromatDate and Time of Day: 1970-01-01 01:02: 选择这里告诉Wireshark 将时间戳设置为绝对日期-时间格式(年月日，时分秒)Time Display FormatTime of Day: 01:02: 将时间设置为绝对时间-日期格式(时分秒格式)Time Display Format Seconds Since Beginning of Capture:

20、 将时间戳设置为秒格式，从捕捉开始计时Time Display Format Seconds Since Previous Captured Packet: 将时间戳设置为秒格式，从上次捕捉开始计时Time Display Format Seconds Since Previous Displayed 将时间戳设置为秒格式，从上次显示的包开始计时Packet: Time Display Format -Time Display Format Automatic (File Format Precision) 根据指定的精度选择数据包中时间戳的显示方式Time Display Format Se

21、conds: 0 设置精度为1 秒Time Display Format .seconds: 0. 设置精度为1 秒， 秒， 秒，百万分之一秒等等Name Resolution Resolve Name 仅对当前选定包进行解析Name Resolution Enable for MAC Layer 是否解析Mac 地址Name Resolution Enable for Network Layer 是否解析网络层地址(ip 地址)Name Resolution Enable for Transport Layer 是否解析传输层地Colorize Packet List 是否以彩色显示包Aut

22、o Scrooll in Live Capture 控制在实时捕捉时是否自动滚屏，如果选择了该项，在有新数据进入时，面板会项上滚动。您始终能看到最后的数据。反之，您无法看到满屏以后的数据，除非您手动滚屏Zoom In Ctrl+增大字体Zoom Out Ctrl+-缩小字体Normal Size Ctrl+=恢复正常大小Resiz All Columnus 恢复所有列宽Expend Subtrees 展开子分支Expand All 看开所有分支，该选项会展开您选择的包的所有分支。Collapse All 收缩所有包的所有分支Coloring Rulues. 打开一个对话框，让您可以通过过滤表达

23、来用不同的颜色显示包。这项功能对定位特定类型的包非常有用Show Packet in New Window在新窗口显示当前包，(新窗口仅包含View,Byte View 两个面板)ReloadCtrl+R重新再如当前捕捉文件. Go菜单菜单项快捷键描述Back Alt+Left 跳到最近浏览的包，类似于浏览器中的页面历史纪录ForWard Alt+Right 跳到下一个最近浏览的包，跟浏览器类似Go to Packet Ctrl+G 打开一个对话框，输入指定的包序号，然后跳转到对应的包 Go to Corresponding Packet 跳转到当前包的应答包，如果不存在，该选项为灰色Prev

24、ious Packet Ctrl+UP 移动到包列表中的前一个包，即使包列表面板不是当前焦点，也是可用的Next Packet Ctrl+Down 移动到包列表中的后一个包First Packet 移动到列表中的第一个包Last Packet 移动到列表中的最后一个包. Capture菜单菜单项快捷键说明Interface. 在弹出对话框选择您要进行捕捉的网络接口, Options. Ctrl+K 打开设置捕捉选项的对话框,并可以在此开始捕捉Start 立即开始捕捉，设置都是参照最后一次设置。Stop Ctrl+E 停止正在进行的捕捉 Restart 正在进行捕捉时，停止捕捉，并按同样的设置重

25、新开始捕捉. Capture Filters. 打开对话框，编辑捕捉过滤设置，可以命名过滤器，保存为其他捕捉时使用. Analyze菜单菜单项快捷键说明Display Filters. 打开过滤器对话框编辑过滤设置，可以命名过滤设置，保存为其他地方使用 Apply as Filter. 更改当前过滤显示并立即应用。根据选择的项，当前显示字段会被替换成选择在Detail 面板的协议字段Prepare a Filter. 更改当前显示过滤设置，当不会立即应用。同样根据当前选择项，过滤字符会被替换成Detail 面板选择的协议字段Firewall ACL Rules 为多种不同的防火墙创建命令行AC

26、L 规则( 访问控制列表), 支持Cisco IOS, LinuxNetfilter (iptables), OpenBSD pf and Windows Firewall (via netsh). Rules for MAC addresses, IPv4 addresses, TCP and UDP ports, 以及IPv4+ 混合端口以上假定规则用于外部接口Enable Protocols. Shift+Ctrl+R 是否允许协议分析. Statistics菜单菜单项快捷键描述Summary 显示捕捉数据摘要Protocol Hierarchy 显示协议统计分层信息Conversati

27、ons/ 显示会话列表( 两个终端之间的通信)EndPoints 显示端点列表( 通信发起，结束地址),IO Graphs 显示用户指定图表，( 如包数量-时间表) Conversation List 通过一个组合窗口，显示会话列表,Endpoint List 通过一个组合窗口显示终端列表Service Response Time 显示一个请求及其相应之间的间隔时间ANSI 协议指定统计窗口GSM 协议指定统计窗口. 协议指定统计窗口ISUP Message 协议指定统计窗口Types 协议指定统计窗口MTP3 协议指定统计窗口RTP 协议指定统计窗口GSM 协议指定统计窗口SIP 协议指定统

28、计窗口VOIP Calls. 协议指定统计窗口WAP-WSP. 协议指定统计窗口HTTP HTTP 请求/ 相应统计 ISUP Messages 协议指定统计窗口ONC-RPC Programs 协议指定统计窗口TCP Stream Graph 协议指定统计窗口. Help菜单菜单项快捷键描述Contents F1 打开一个基本的帮助系统Supported Protocols 打开一个对话框显示支持的协议或工具Manaul Pages. 打开浏览器，显示安装在本地的手册Wireshark Online 按照选择显示在线资源About Wireshark 弹出信息窗口显示Wireshark 的一些相关信息，如插件，目录等。实验内容：熟悉wireshark软件，抓取相应包，判别网络流量是否出现异常。