Wireshark抓包工具使用分享课件.ppt

实际应用案例 工具不是最重要，熟悉协议更重要 * Wireshark抓包工具使用分享 产品开发一部 前端开发室 钟和民 2012-8-28 内容纲要 Wireshark 简介 Wireshark常用功能 抓包，停止抓包 保存抓包 设置抓包选项 捕捉过滤器 显示过滤器 Follow TCP Stream 实际应用案例 Wireshark简介 网络抓包分析工具 可实时捕捉多种网络接口 支持其他程序抓包保存文件，例如TCPDump 开源软件，采用GPL授权 支持UNIX和Windows平台 Wireshark简介 发展简史： 1998年由Gerald Combs 完成第一个Ethereal(Wireshark前身)版本的开发。 此后不久，Gilbert Ramirez发现它的潜力，并为其提供了底层分析 1998年10月，Guy Harris正寻找一种比TcpView更好的工具，他开始为Ethereal进行改进，并提供分析。 Wireshark简介 1998年以后，正在进行TCP/IP教学的Richard Sharpe 关注了它在这些课程中的作用。并开始研究该软件是否他所需要的协议。如果不行，新协议支持应该很方便被添加。所以他开始从事Ethereal的分析及改进。 从那以后，帮助Ethereal的人越来越多，他们的开始几乎都是由于一些尚不被Ethereal支持的协议。所以他们拷贝了已有的解析器，并为团队提供了改进回馈。 2006年重新命名为Wireshark. Wireshark简介 支持的系统： Windows APPle Mac OSX Debian GNU/Linux FreeBSD NetBSD OpenPKG Red Hat Fedora/Enterprise Linux …… Wireshark简介 官方网站： / 维基网站地址： / 中文用户手册： /content/network/wireshark/index.html Wireshark简介 主界面 Wireshark常用功能 可通过Capture菜单中的Interfaces打开网卡列表，然后点击网卡右边的“Start”按钮开始抓包。或者单击工具栏的第一个按钮，和单击Capture-Interfaces的效果一样。 Wireshark常用功能 开始抓包后，Wireshark的主界面中会以不同的颜色显示抓取到的不同的数据包。 如果要停止抓包，可通过工具栏中的Stop按钮，或者Capture-Stop菜单项停止抓包。 Wireshark常用功能 停止抓包后我们可以将抓取到的数据包保存到文件供日后分析使用。 可通过菜单File-Save(Save As) 或者工具栏上的保存按钮。 Wireshark常用功能 抓包模式 在开始抓包之前还可修改Wireshark的抓包选项。通过工具栏或者菜单Capture-Options 打开抓包选项设置界面。 这里可以设置很多选项，我们这里介绍一下 混杂模式 和 非混杂模式。 混杂模式：抓取经过网卡的所有数据包，包括发往本网卡和非发往本网卡的。 非混杂模式：只抓取目标地址是本网卡的数据包，对于发往别的主机而经过本网卡的数据包忽略。 如左图中显示的是 混杂模式 Wireshark常用功能 由于Wireshark是将抓包数据保存在内存当中，当抓包时间比较长，抓的包比较多时可能出现内存不够用的情况。此时我们设置使用多个文件保存抓包数据就可避免这种情况。 多个文件保存的方式可以是 每隔多久保存一个文件，也可以是 限制每个文件保存的大小，同时也可以设置限制文件个数。 默认情况下Wireshark是只使用一个临时文件来保存抓包数据的。 多文件自动保存抓包数据 Wireshark常用功能 自动停止抓包 在无人值守情况下，我们可设置在某些条件下自动停止抓包。这些条件可以是： 抓到多少包之后； 抓到多大数据量之后(存储容量)； 抓取多少分钟之后 Wireshark常用功能 过滤器 在Wireshark中有两种过滤器。 捕捉过滤器：在抓包之前设置，让Wireshark只抓取过滤器指定的包。 显示过滤器：在桌包之前或者完成抓包之后都可，不影响抓包，只是方便查看。 Wireshark常用功能 捕捉过滤器例子： [src|dst] host host 主机过滤 src host 59 捕捉源IP地址是59的包。 dst host 59 捕捉目标IP地址是59的包。 host 59 捕捉源IP或者目标IP是59的包。 ? [tcp|udp] [src|dst] port port 端口过滤 host