上课--WireShark检测工具.pptVIP

Wireshark的网站提供了对各种 协议以及它们子类的说明。 Comparison operators （比较运算符）: 可以使用6种比较运算符： 英文写法： C语言写法： 含义： eq == 等于 ne != 不等于 gt 大于 lt 小于 ge = 大于等于 le = 小于等于 Logical expressions（逻辑运算符）: 被程序员们熟知的逻辑异或是一种排除性的或。当其被用在过滤器的两个条件之间时，只有当且仅当其中的一个条件满足时，这样的结果才会被显示在屏幕上。 英文写法： C语言写法： 含义： and 逻辑与 or || 逻辑或 xor ^^ 逻辑异或 not ! 逻辑非 例子： tcp.dstport==80 or tcp.dstport==1025 只有当目的TCP端口为80或者来源于端口1025时，这样的数据包才会被显示。 例子： snmp || dns || icmp 显示SNMP或DNS或ICMP数据包。 ip.addr == 显示来源或目的IP地址为的数据包。 ip.src != or ip.dst != 显示来源不为 或者 目的不为的数据包。 换句话说，显示的数据包将会为： 来源IP：除了以外任意；目的IP：任意 以及 来源IP：任意；目的IP：除了以外任意 ip.src != and ip.dst != 显示来源不为并且目的IP不为的数据包。 换句话说，显示的数据包将会为： 来源IP：除了以外任意；同时须满足，目的IP：除了以外任意 tcp.port == 25 显示来源或目的TCP端口号为25的数据包。 tcp.dstport == 25 显示目的TCP端口号为25的数据包。 tcp.flags 显示包含TCP标志的数据包。 tcp.flags.syn == 0x02 显示包含TCP SYN标志的数据包。 注意：如果过滤器的语法是正确的，表达式的背景呈绿色。如果呈红色，说明表达式有误。 表达式错误 表达式正确 实 例 一 ip.addr == 01 oicq 说明：源地址和目的地址为01 并且协议为OICQ的所有数据包 (tcp.port == 80 || udp.port == 80)ip.addr==01 说明：源地址和目的地址为01 并且端口为80的所有数据包 ip.addr==01 http 说明：源地址和目的地址为01 并且协议为HTTP的所有数据包 统计工具 Summary （显示摘要信息） 在综合窗口里可以看到全局的统计信息： - 保存捕捉结果的文件 - 捕捉时间 - 捕捉过滤器的信息。 - 显示过滤器的信息。 Protocol Hierarchy （协议类型和层次结构） 协议层：显示按照OSI layer分类后的统计数据。 Conversations （会话） Ethernet 会话：每种协议后面会有一个数字，这个数字表示的是使用这种协议的会话总数。 例如： Ethernet:45。 会话如果您使用的是TCP/IP协议或者基于此技术的应用，那么这一页将会有四个标签：Ethernet，IP，TCP以及UDP。“会话”是指两台主机之间进行的交互。 IP会话： TCP会话: Endpoints (节点) 这一项提供了每个节点接收和发送数据的统计信息。 Packet Lengths (包长度) IO Graphs (输入输出图) WireShark检测工具 ※ Wireshark简介 Wireshark是网络包分析工具，前身是Ethereal，主要用来捕获网络包，并 显示尽可能详细的情况，具有以下特性： 在接口实时捕捉包 能详细显示包的详细协议信息 可以打开/保存数据包 创建多种统计分析，可以采用多种方式过滤 可以导入导出其他捕捉程序支持的数据包格式 多种方式查找包 Wireshark的优势： 安装方便。 简单易用的界面。 提供丰富的功能 软件简介 网络管理员使用Wireshark来检测网络问题，网络安全工程师使用Wireshark来检查资讯安全相关问题，开发者使用Wireshark来为新的通讯协定除错，普通使用者使用Wireshark来学习网络协定的相关知识当然，有的人也会 “居心叵测”的用它来寻找一些敏感信息…… Wireshark不是入侵侦测软件（Intrusion DetectionSoftware,IDS）。对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。然而，仔细分析 Wireshark截取的数