实验四wireshark教程网络监测.docx
《实验四wireshark教程网络监测.docx》由会员分享,可在线阅读,更多相关《实验四wireshark教程网络监测.docx(25页珍藏版)》请在冰点文库上搜索。
实验四wireshark教程网络监测
Wireshark教程
当前,互联网已经越来越成为人们生活中必不可少的组成部分。
面对日益复杂的网络环境,网络管理员必须花费更很多的时间和精力,来了解网络设备的运作情况,以维持系统的正常运行。
当网络趋于复杂,就必须借助于专业的工具了。
因此,作为一个网络管理人员和网络从业者,熟练掌握和运用一套网络管理软件来对整个网络进行协议分析,是一个必不可少的技能。
当前较为流行的网络协议嗅探和分析软件—Wireshark。
通过使用抓包工具,来准确而快速地判断网络问题的所在,大大缩短寻找问题的时间。
网络管理人员的私人秘书—Wireshark
网络流量分析是指捕捉网络中流动的数据包,并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题,它是网络和系统管理人员进行网络故障和性能诊断的有效工具。
通常,人们把网络分析总结为四种方式:
基于流量镜像协议分析,基于SNMP的流量监测技术,基于网络探针(Probe)技术和基于流(flow)的流量分析。
而我们下面要向大家介绍的Wireshark就是基于流量镜像协议分析。
流量镜像协议分析方式是把网络设备的某个端口(链路)流量镜像给协议分析仪,通过7层协议解码对网络流量进行监测。
但该方法主要侧重于协议分析,而非用户流量访问统计和趋势分析,仅能在短时间内对流经接口的数据包进行分析,无法满足大流量、长期的抓包和趋势分析的要求。
Wireshark的前身是著名的Ethereal。
Wireshark是一款免费的网络协议检测程序。
它具有设计完美的GUI和众多分类信息及过滤选项。
下面是Wireshark的界面。
用户通过Wireshark,同时将网卡插入混合模式,可以用来监测所有在网络上被传送的包,并分析其内容。
通过查看每一封包流向及其内容,用来检查网络的工作情况,或是用来发现网络程序的bugs。
Wireshark是一个开放源码的网络分析系统,也是是目前最好的开放源码的网络协议分析器,支持UnixLinux和Windows平台。
由于Wireshark是OpenSource,更新快,支持的协议多,特别是数据包过滤功能灵活强大。
Wireshark提供了对TCP、UDP、SMB、telnet和ftp等常用协议的支持。
它在很多情况下可以代替价格昂贵的Sniffer。
安装好后,双击桌面上的Wireshark图标
,运行软件。
再捕捉数据包之前,首先要对捕获的条件进行设置。
点击工具栏里的“CaptureàOptions”,(图一)或者直接点击快捷按钮(图二),打开选项设置页面(图三)。
首先,我们要在Interface里选择正确的捕获接口,即要进行报文捕获的网卡。
Wireshark支持无线WLAN的相关协议,具体设置如下:
下面是一些常用设置项的解释:
Interface:
选择捕获接口
Capturepacketsinpromiscuousmode:
表示是否打开混杂模式,打开即捕获所有的报文
Limiteachpacket:
表示限制每个报文的大小,缺省情况不限制。
CaptureFilter:
过滤器,只抓取满足过滤规则的包。
(可暂时略过)
Capturefiles:
即捕获数据包的保存的文件名以及保存位置。
其他的选项按照图三的设置即可。
CaptureOption确认选择后,点击ok就开始进行抓包。
下面的界面会以协议的不同,统计捕获到报文各占的百分比,此时,点击stop即可以停止抓包。
当然,如果不想每次打开Wireshark都重复上述CaptureOption的设置,我们也有很好的办法。
在“EditàPreferencesàCapture和NameResolution”里预先做好网卡和其他选项的设置
做好预设之后,在每次打开Wireshark,直接点击工具栏的开始按钮,就可以开始抓包了。
本期向大家介绍了Wireshark的简单原理,软件特色,Wireshark的安装和使用设置。
通过本期的介绍,大家已经可以使用Wireshark捕获数据包了。
在下期,我们将向大家介绍Wireshark最有特色并且强大的数据包过滤功能,通过过滤,从而有的放矢的得到我们希望得到的数据包.
Wireshark下面的语句
首先打开软件开始抓包,步骤都不多说了,菜单栏里面有一个Statistics,下拉菜单里面有个Summary和一个IOGraphs,如图:
图一(Statistics菜单--Wireshark)
Summary里面用数据说明抓到的平均流量是多少,而IOGraphs用图形表示了你抓数据的流量:
图二(Summary--Wireshark)
图三(IOGraphs--Wireshark)
Summary里面有两个filter,一个是捕捉的,一个是显示的,建议你在查看流量的时候先定义captureFilter,这样显示出来的就是你需要抓的流量的汇总信息。
需要注意的是,这个地方无法实时更新,也就是说,如果你抓包没停下的话,每次打开Summary得到的数据都不一样。
IOGraphs里面可以实时显示你抓的流量的图形,你也可以自己定义一些参数,用这个的话,可以不定义captureFilter,而直接在图形里面选择Filter,或者直接将过滤表达式写到Filter后面那一栏里面,也可以显示你需要的流量。
不过缺点是,只有图,鼠标放上去没有数字显示,也就是说,你没有办法知道具体某个时间点的流量。
图四(file定义窗口--Wireshark)
用WireShark观察网络流量
CaptureOption对话框
1、Interface(接口)和Link-layerheadertype(链路层头部)类型选项
2、LimiteachpackettoNbytes(将每个分组限制在N个字节以内)
3、Capturepacketsinpromiscuousmode(在混杂模式下捕获分组)
4、Filter(过滤器)
5、Capturefiles(捕获文件)
6、DisplayOptions(显示选项)
7、StopCapture(停止捕获)
8、Nameresolution(名字解析)
帧层(Frame)
在帧层(Frame),Wireshark记录真实的捕获时间、第一个分组与前一个分组的相对时间增量、帧序号、分组长度以及捕获长度。
以太网帧层
以太网的首部占用14字节,6字节目的地址和6字节源地址,2字节表示类型。
例如:
以太网的类型为(0800)。
IP层
传输层
TCP头部是20个字节。
2个字节源端口和目的端口。
4字节的序列号,4字节确认号。
1个字节的数据偏移和标记。
2个字节的窗口大小,2个字节的校验和,2个字节的紧急指针。
源端口:
指定了发送端的端口
目的端口:
指定了接受端的端口号
序号:
指明了段在即将传输的段序列中的位置
确认号:
规定成功收到段的序列号,确认序号包含发送确认的一端所期望收到的下一个序号
TCP偏移量:
指定了段头的长度。
段头的长度取决与段头选项字段中设置的选项
保留:
指定了一个保留字段,以备将来使用
标志:
SYN、ACK、PSH、RST、URG、FIN
SYN:
表示同步
ACK:
表示确认
PSH:
表示尽快的将数据送往接收进程
RST:
表示复位连接
URG:
表示紧急指针
FIN:
表示发送方完成数据发送
窗口:
指定关于发送端能传输的下一段的大小的指令
校验和:
校验和包含TCP段头和数据部分,用来校验段头和数据部分的可靠性
紧急:
指明段中包含紧急信息,只有当URG标志置1时紧急指针才有效
选项:
指定了公认的段大小,时间戳,选项字段的末端,以及指定了选项字段的边界选项
Packetlist和Detail面版控制可以通过快捷键进行
快捷键
描述
Tab,Shift+Tab
在两个项目间移动,例如从一个包列表移动到下一个
Down
移动到下一个包或者下一个详情
Up
移动到上一个包或者上一个详情
Ctrl-Down,F8
移动到下一个包,即使焦点不在Packetlist面版
Ctrl-UP,F7
移动到前一个报文,即使焦点不在Packetlist面版
Left
在PactectDetail面版,关闭被选择的详情树状分支。
如果以关闭,则返回到父分支。
Right
在PacketDetail面版,打开被选择的树状分支.
Backspace
PacketDetail面版,返回到被选择的节点的父节点
Return,Enter
PacketDetail面版,固定被选择树项目。
另外,在主窗口键入任何字符都会填充到filter里面
."File"菜单
菜单项
快捷键
描述
Open...
Ctr+O
显示打开文件对话框,让您載入捕捉文件用以浏览。
OpenRecent
弹出一个子菜单显示最近打开过的文件供选择
Merg
显示合并捕捉文件的对话框。
让您选择一个文件和当前打开的文件合并
CloseCtrl+W
关闭当前捕捉文件,如果您未保存,系统将提示您是否保存(如果您预设了禁止提示保存,将不会提示)
Save
Crl+S
保存当前捕捉文件,如果您没有设置默认的保存文件名,Wireshark出现提示您保存文件的对话框。
详情
注意如果您已经保存文件,该选项会是灰色不可选的。
注意您不能保存动态捕捉的文件。
您必须结束捕捉以后才能进行保存
SaveAs
Shift+Ctrl+S
让您将当前文件保存为另外一个文件面,将会出现一个另存为的对话框
FileSet>ListFiles
允许您显示文件集合的列表。
将会弹出一个对话框显示已打开文件
的列表,
FileSet>NextFile
如果当前載入文件是文件集合的一部分,将会跳转到下一个文件。
如果不是,将会跳转到最后一个文件。
这个文件选项将会是灰色
Fileset>PreviousFiles
如果当前文件是文件集合的一部分,将会调到它所在位置的前一个文件。
如果不是则跳到文件集合的第一个文件,同时变成灰色。
Export>as“PlainText”File…
这个菜单允许您将捕捉文件中所有的或者部分的包导出为plainASCIItext格式。
它将会弹出一个Wireshark导出对话框
Export>as"PostScript"Files
将捕捉文件的全部或部分导出为PostScrit文件。
将会出现导出文件对话框。
Export>as"CVS"(Comma
SeparatedValuesPacket
Summary)File...
导出文件全部或部分摘要为.cvs格式(可用在电子表格中)。
将会弹出导出对话框
Export>as“PSML”File…
导出文件的全部或部分为PSML格式(包摘要标记语言)XML文件。
将会弹出导出文件对话框。
Exportas"PDML"File...
导出文件的全部或部分为PDML(包摘要标记语言)格式的XML文件。
将会弹出一个导出文件对话框,
Export>SelectedPacketBytes…
导出当前在Packetbyte面版选择的字节为二进制文件。
将会弹出一个导出对话框。
Print
Ctr+P
打印捕捉包的全部或部分,将会弹出打印对话框
Quit退出
Ctrl+Q
Wireshark,如果未保存文件,Wireshark会提示是否保存
."Edit"菜单
菜单项
快捷键
描述
Copy>AsFilter
Shift+Ctrl+C
使用详情面版选择的数据作为显示过滤。
显示过滤将会拷贝到剪贴板。
FindPacket...
Ctr+F
打开一个对话框用来通过限制来查找包
FindNext
Ctrl+N
在使用Findpacket以后,使用该菜单会查找匹配规则的下一个包
FindPrevious
Ctr+B
查找匹配规则的前一个包。
MarkPacket(toggle)
Ctrl+M
标记当前选择的包。
FindNextMark
Shift+Ctrl+N
查找下一个被标记的包
FindPreviousMark
Ctrl+Shift+B
查找前一个被标记的包
MarkALLPackets
标记所有包
UnmarkAllPacket
取消所有标记
SetTimeReference(toggle)
Ctrl+T
以当前包时间作为参考
FindNextReference
找到下一个时间参考包
FindPreviousRefrence...
找到前一个时间参考包
Preferences...
Shift+Ctrl+P
打开首选项对话框,个性化设置Wireshark的各项参数,设置后的参数将会在每次打开时发挥作用。
."View"菜单
菜单项
快捷键
描述
MainToolbar
显示隐藏Maintoolbar(主工具栏)
FilterToolbar
显示或隐藏FilterToolbar(过滤工具栏)
Statusbar
显示或隐藏状态
PacketList
显示或隐藏PacketListpane(包列表面板)
PacketDetails
显示或隐藏Packetdetailspane(包详情面板
PacketBytes
显示或隐藏packetBytespane(包字节面板
TimeDisplayFromat>DateandTimeofDay:
1970-01-0101:
02:
选择这里告诉Wireshark将时间戳设置为绝对日期-时间格式(年月日,时分秒)
TimeDisplayFormat>TimeofDay:
01:
02:
将时间设置为绝对时间-日期格式(时分秒格式)
TimeDisplayFormat>SecondsSinceBeginningofCapture:
将时间戳设置为秒格式,从捕捉开始计时
TimeDisplayFormat>SecondsSincePreviousCapturedPacket:
将时间戳设置为秒格式,从上次捕捉开始计时
TimeDisplayFormat>SecondsSincePreviousDisplayed
将时间戳设置为秒格式,从上次显示的包开始计时
Packet:
TimeDisplayFormat>------
TimeDisplayFormat>Automatic(FileFormatPrecision)
根据指定的精度选择数据包中时间戳的显示方式
TimeDisplayFormat>Seconds:
0
设置精度为1秒
TimeDisplayFormat>...seconds:
0....
设置精度为1秒,秒,秒,百万分之一秒等等
NameResolution>ResolveName
仅对当前选定包进行解析
NameResolution>EnableforMACLayer
是否解析Mac地址
NameResolution>EnableforNetworkLayer
是否解析网络层地址(ip地址)
NameResolution>EnableforTransportLayer
是否解析传输层地
ColorizePacketList
是否以彩色显示包
AutoScroollinLiveCapture
控制在实时捕捉时是否自动滚屏,如果选择了该项,在有新数据进入时,面板会项上滚动。
您始终能看到最后的数据。
反之,您无法看到满屏以后的数据,除非您手动滚屏
ZoomIn
Ctrl++
增大字体
ZoomOut
Ctrl+-
缩小字体
NormalSize
Ctrl+=
恢复正常大小
ResizAllColumnus
恢复所有列宽
ExpendSubtrees
展开子分支
ExpandAll
看开所有分支,该选项会展开您选择的包的所有分支。
CollapseAll
收缩所有包的所有分支
ColoringRulues...
打开一个对话框,让您可以通过过滤表达来用不同的颜色显示包。
这项功
能对定位特定类型的包非常有用
ShowPacketinNewWindow
在新窗口显示当前包,(新窗口仅包含View,ByteView两个面板)
Reload
Ctrl+R
重新再如当前捕捉文件
."Go"菜单
菜单项
快捷键
描述
Back
Alt+Left
跳到最近浏览的包,类似于浏览器中的页面历史纪录
ForWard
Alt+Right
跳到下一个最近浏览的包,跟浏览器类似
GotoPacket
Ctrl+G
打开一个对话框,输入指定的包序号,然后跳转到对应的包
GotoCorrespondingPacket
跳转到当前包的应答包,如果不存在,该选项为灰色
PreviousPacket
Ctrl+UP
移动到包列表中的前一个包,即使包列表面板不是当前焦点,也是可用的
NextPacket
Ctrl+Down
移动到包列表中的后一个包
FirstPacket
移动到列表中的第一个包
LastPacket
移动到列表中的最后一个包
."Capture"菜单
菜单项
快捷键
说明
Interface...
在弹出对话框选择您要进行捕捉的网络接口,
Options...
Ctrl+K
打开设置捕捉选项的对话框,并可以在此开始捕捉
Start
立即开始捕捉,设置都是参照最后一次设置。
Stop
Ctrl+E
停止正在进行的捕捉
Restart
正在进行捕捉时,停止捕捉,并按同样的设置重新开始捕捉.
CaptureFilters...
打开对话框,编辑捕捉过滤设置,可以命名过滤器,保存为其他捕捉时使用
."Analyze"菜单
菜单项
快捷键
说明
DisplayFilters...
打开过滤器对话框编辑过滤设置,可以命名过滤设置,保存为其他地方使用
ApplyasFilter>...
更改当前过滤显示并立即应用。
根据选择的项,当前显示字段会被替换成选择在Detail面板的协议字段
PrepareaFilter>...
更改当前显示过滤设置,当不会立即应用。
同样根据当前选择项,过滤字符会被替换成Detail面板选择的协议字段
FirewallACLRules
为多种不同的防火墙创建命令行ACL规则(访问控制列表),支持CiscoIOS,LinuxNetfilter(iptables),OpenBSDpfandWindowsFirewall(vianetsh).RulesforMACaddresses,IPv4addresses,TCPandUDPports,以及IPv4+混合端口以上假定规则用于外部接口
EnableProtocols...
Shift+Ctrl+R
是否允许协议分析
."Statistics"菜单
菜单项
快捷键
描述
Summary
显示捕捉数据摘要
ProtocolHierarchy
显示协议统计分层信息
Conversations/
显示会话列表(两个终端之间的通信)
EndPoints
显示端点列表(通信发起,结束地址),
IOGraphs
显示用户指定图表,(如包数量-时间表)
ConversationList
通过一个组合窗口,显示会话列表,
EndpointList
通过一个组合窗口显示终端列表
ServiceResponseTime
显示一个请求及其相应之间的间隔时间
ANSI
协议指定统计窗口
GSM
协议指定统计窗口
...
协议指定统计窗口
ISUPMessage
协议指定统计窗口
Types
协议指定统计窗口
MTP3
协议指定统计窗口
RTP
协议指定统计窗口
GSM
协议指定统计窗口
SIP
协议指定统计窗口
VOIPCalls...
协议指定统计窗口
WAP-WSP...
协议指定统计窗口
HTTP
HTTP请求/相应统计
ISUPMessages
协议指定统计窗口
ONC-RPCPrograms
协议指定统计窗口
TCPStreamGraph
协议指定统计窗口
."Help"菜单
菜单项
快捷键
描述
Contents
F1
打开一个基本的帮助系统
SupportedProtocols
打开一个对话框显示支持的协议或工具
ManaulPages>...
打开浏览器,显示安装在本地的手册
WiresharkOnline>
按照选择显示在线资源
AboutWireshark
弹出信息窗口显示Wireshark的一些相关信息,如插件,目录等。
实验内容:
熟悉wireshark软件,抓取相应包,判别网络流量是否出现异常。