如何使用Wireshark:一个完整​​的教程

Wireshark是一个免费的应用程序,允许您捕获和查看您的网络上来回传输的数据,提供深入挖掘和读取每个数据包内容的功能 – 根据您的特定需求进行过滤。它通常用于解决网络问题以及开发和测试软件。这种开源协议分析仪被广泛接受为行业标准,多年来赢得了公平的奖励份额。

Wireshark最初被称为Ethereal,它具有用户友好的界面,可以显示来自所有主要网络类型的数百种不同协议的数据。这些数据包可以实时查看或离线分析,支持几十种捕获/跟踪文件格式,包括CAPERF。集成的解密工具允许您查看几种流行协议(如WEPWPA / WPA2)的加密数据包。

01
07

下载并安装Wireshark

下载Wireshark

Getty Images(Yuri_Arcurs#507065943)

Wireshark可以从Wireshark基金会网站免费下载,用于macOS和Windows操作系统。除非您是高级用户,否则建议您只下载最新的稳定版本。在安装过程中(仅限于Windows),如果出现提示,您应该选择安装WinPcap,因为它包含实时数据捕获所需的库。

该应用程序也可用于Linux和大多数类似UNIX的平台,包括Red Hat,Solaris和FreeBSD。这些操作系统所需的二进制文件可以在第三方软件包部分下载页面的底部找到。

您也可以从这个页面下载Wireshark的源代码。

02
07

如何捕获数据包

Wireshark欢迎屏幕

斯科特·奥格拉

当您第一次启动Wireshark时,应该可以看到类似于上面所示的欢迎屏幕,其中包含当前设备上的可用网络连接列表。在本例中,您会注意到显示了以下连接类型:蓝牙网络连接以太网VirtualBox主机专用网络Wi-Fi。显示在每个右侧是一个EKG风格的线图,表示在各自的网络上的实时流量。

要开始捕获数据包,首先通过单击您的选择并使用ShiftCtrl键选择一个或多个这些网络,如果您想同时记录来自多个网络的数据。一旦选择连接类型用于捕捉目的,其背景将被着色为蓝色或灰色。点击位于Wireshark界面顶部的主菜单上的Capture。出现下拉菜单时,选择开始选项。

您还可以通过以下某个快捷方式启动数据包捕获。

  • 键盘:Ctrl + E
  • 鼠标:要开始从一个特定的网络捕获数据包,只需双击其名称
  • 工具栏:单击位于Wireshark工具栏最左侧的蓝色鲨鱼鳍按钮

实时捕获过程现在将开始,数据包细节显示在Wireshark窗口中,并记录下来。执行以下操作之一来停止捕获。

  • 键盘:Ctrl + E
  • 工具栏:单击位于Wireshark工具栏上的鲨鱼鳍旁边的红色停止按钮
03
07

查看和分析数据包内容

Wireshark捕获数据

斯科特·奥格拉

现在您已经记录了一些网络数据,现在可以查看捕获的数据包了。如上面截图所示,捕获的数据接口包含三个主要部分:数据包列表窗格,数据包详细信息窗格和数据包字节窗格。

数据包列表

位于窗口顶部的数据包列表窗格显示在活动捕获文件中找到的所有数据包。每个数据包都有自己的行和分配给它的相应编号,以及每个数据点。

  • 时间:捕获数据包时的时间戳显示在此列中,默认格式为自首次创建特定捕获文件以来的秒数(或部分秒数)。要将此格式修改为更有用的内容,例如实际时间,请从Wireshark的“ 查看”菜单中选择“ 时间显示格式”选项- 位于主界面的顶部。
  • 来源:此列包含数据包始发地址(IP或其他)。
  • 目标:此列包含数据包发送到的地址。
  • 协议:数据包的协议名称(即TCP)可以在此列中找到。
  • 长度:以字节为单位的数据包长度显示在此列中。
  • 信息:关于数据包的其他细节在这里介绍。这个列的内容可以根据数据包的内容有很大的不同。

在顶部窗格中选择数据包时,您可能会注意到第一列中出现了一个或多个符号。开放和/或关闭的括号以及一个水平的直线可以指示一个分组或一组分组是否都是网络上相同来回对话的一部分。断开的水平线表示分组不是所述对话的一部分。

数据包细节

中间的详细信息窗格以可折叠的格式显示所选数据包的协议和协议字段。除了扩展每个选择之外,还可以根据具体的细节应用单独的Wireshark过滤器,并通过详细的上下文菜单跟踪基于协议类型的数据流 – 通过在此窗格中的所需项目上右键单击鼠标即可访问。

数据包字节

数据包字节窗格的底部是十六进制视图,显示所选数据包的原始数据。该十六进制转储包含16个十六进制字节和16个ASCII字节以及数据偏移量。

选择此数据的特定部分将自动在数据包详细信息窗格中突出显示其相应部分,反之亦然。任何不能打印的字节都是用句点表示的。

您可以选择以位格式显示此数据,而不是通过右键单击窗格中的任何位置并从上下文菜单中选择适当的选项,而不是使用十六进制。

04
07

使用Wireshark过滤器

Wireshark过滤器

斯科特·奥格拉

Wireshark中最重要的功能之一就是它的过滤功能,特别是当你处理大小很大的文件时。捕获过滤器可以在事实之前设置,指示Wireshark只记录符合您指定条件的数据包。

过滤器也可以应用于已创建的捕获文件,以便只显示某些数据包。这些被称为显示过滤器。

Wireshark默认提供了大量预定义的过滤器,只需轻点几下或鼠标点击,就可以缩小可见数据包的数量。要使用这些现有过滤器之一,请将其名称放在应用显示过滤器输入字段(位于Wireshark工具栏正下方)或输入捕获过滤器输入字段(位于欢迎屏幕中央)。

有多种方法来实现这一点。如果您已经知道您的过滤器的名称,只需将其输入到相应的字段。例如,如果你只想显示TCP数据包,你可以输入tcp。Wireshark的自动完成功能将在开始输入时显示建议的名称,使您更容易找到正在寻找的过滤器的正确名称。

另一种选择过滤器的方法是单击位于输入栏左侧的书签状图标。这将显示一个菜单,其中包含一些最常用的过滤器以及“ 管理捕获过滤器”或“ 管理显示过滤器”选项。如果您选择管理任一类型,则会出现一个界面,允许您添加,删除或编辑过滤器。

您也可以通过选择位于输入字段右侧的向下箭头来访问以前使用的过滤器,该向下箭头显示历史记录下拉列表。

一旦设置,捕捉过滤器将开始记录网络流量后立即应用。但是,要应用显示过滤器,则需要单击输入字段最右侧的右箭头按钮。

05
07

着色规则

Wireshark着色规则

斯科特·奥格拉

虽然Wireshark的捕获和显示过滤器允许您限制哪些数据包被记录或显示在屏幕上,但是它的着色功能更进一步,可以根据各自的色调轻松区分不同的数据包类型。这个方便的功能可以让您通过在数据包列表窗格中的行的颜色方案快速找到保存的数据包内的某些数据包。

Wireshark自带约20种默认着色规则; 每个可以编辑,禁用或删除,如果你愿意。您还可以通过着色规则界面添加新的基于阴影的过滤器,无法从“ 视图”菜单访问。除了为每个规则定义名称和过滤条件之外,还要求您将背景颜色和文本颜色相关联。

数据包着色可以通过在“ 查看”菜单中找到的“ 着色数据包列表”选项来打开和关闭。

06
07

统计

Wireshark统计

Getty Images(科林·安德森)#532029221)

除了Wireshark主窗口中显示的有关网络数据的详细信息之外,还可以通过屏幕顶部的Statistics(统计数据)下拉菜单获得其他一些有用的指标。其中包括有关捕获文件本身的大小和时间信息,以及从数据包会话分解到负载分配HTTP请求的主题范围内的数十个图表和图形。

显示过滤器可以通过各自的接口应用于许多统计数据,结果可以导出到几种常见的文件格式,包括CSVXML和TXT。

07
07

高级功能

Lua Wireshark

Lua.org

虽然我们在本文中已经介绍了Wireshark的大部分主要功能,但是这个功能强大的工具还提供了一些附加功能,通常是为高级用户保留的。这包括使用Lua编程语言编写自己的协议解析器的能力。

有关这些高级功能的更多信息,请参阅Wireshark的官方用户指南

Add a Comment

电子邮件地址不会被公开。 必填项已用*标注