计算机网络WireShark使用说明.ppt

Wireshark的使用 文件集 在进行捕捉时如果设置Multiple Files/多文件选项，捕捉数据会分割为多个文件，称为文件集合。大量文件手动管理十分困难，Wirreshark的文件集合特性可以让文件管理变得方便一点。 使用File菜单项的子菜单File Set可以对文件集合集合进行很方便的控制。如下图： 单击单选钮，当前文件会被关闭，同时载入对应的文件。 注意:前提是你目前打开的文件为文件集中的某个文件才能使”File Set”命令有效 Wireshark的使用 导出数据 Wireshark支持多种方法，多种格式导出包数据。从“File-Export-File”，打开导出数据对话框： 指定导出包数据的文件名。 选择文件保存路径。 选择文件保存类型。 导出包数据为文本文件，常用于打印 数据包； 导出包数据摘要为CVS格式，可以被 Excel使用。常用来做相关统计； 选择需要导出的数据包范围。 选择保存按钮。 Wireshark的使用 统计分析 Wireshark提供了多种多样的网络统计功能。包括捕获数据包文件的基本信息(比如包的数量)，对指定协议的统计(例如，统计包文件内HTPP请求和应答数)等等。 统计摘要 统计摘要主要包括当前网络 数据包文件的一些基本信息。比 如文件名、文件大小、第一个包 和最后一个包的时间戳、网络传 输的相关统计等。如果设置了显 示过滤，统计信息会显示成两列 。Captured列显示过滤前的信息 ，Displayed列显示过滤后对应的 信息。 Wireshark的使用 会话统计 一个网络会话，指的是两个特定端点之间发生的通信。例如，一个IP会话是两个IP地址间的所有通信。 从“Statistics - Conversations”，打开会话统计信息窗口。在该窗口中，每个支持的协议，都显示为一个选项卡。选项标签显示被捕捉端点数目(例如：“Ethernet :30”表示有30个Ethernet端点被捕捉到)。如果某个协议没有端点被捕捉到，选项标签显示为 灰色。 列表中每行显示单个端点的统计 信息。 Wireshark的使用 流量统计曲线图： 从Statistics - IO Graphs，打开流量统计信息窗口。 Wireshark根据用户配置生成曲线图。用户可以对一下内容进行设置： Graphs Graph 1-5: 开启1-5图表(默认仅开启graph 1) Color: 图表的颜色(不可修改) Filter: 指定显示过滤器 Style: 图表样式(Line/Impulse/FBar) X Axis Tick interval 设置X轴的每格代表的时间(10/1/0.1/0.01/0.001 seconds) Pixels per tick 设置X轴每格占用像素 (10/5/2/1 pixels) Y Axis Unit y轴的单位(Packets/Tick, Bytes/Tick, Bits/Tick, Advanced...) Ssale Y轴单位的刻度(10,20,50,100,200,500,...) Wireshark的使用 服务响应时间 服务响应时间是发送请求到产生应答之间的时间间隔。响应时间在很多协议中可用，比如H.225 RAS。从Statistics - Service Response Time，选择所要查看的协议类型，打开服务响应时间信息窗口。下图为H.225 RAS 服务响应时间. Wireshark的使用 FQA： 使用接口列表中默认的第一个接口时候，为什么捕获不到数据？ 接口列表中的第一个接口为环回接口，Wireshark在windows平台下不支持环回接口捕获。选择正确的接口然后进行数据包捕获。 在接口列表中显示多个接口，如何确定哪个接口为本pc的网卡？ 选择Capture - Interface，可以在Interface对话框中根据接口的IP地址来确定PC所对应的网卡。 为何在非混杂模式下，Wireshark依然捕获到不希望看到的网络包？ 在非混杂模式下可捕获含本网卡地址单播包、具有多播地址且与本网卡地址配置相吻合的数据包、广播包。而在混杂模式下，Wireshark除捕获上述类型的数据包外，与本网卡地址配置不吻合的组播包也会被捕获下来。 如果有其他应用程序将网卡设置成混杂模式的话，Wireshark只能在混杂模式下进行捕获，虽然当前Wireshark设置为非混杂模式进行捕获。比如ifconfig指令会把网卡设置成混杂模式。 * * WireShark使用说明 学习目的 通过本课程的学习，您将能够： 了解WireShark的界面组成 熟悉WireShark的基本操作 适用对象： 测试、开发、网络工程人员 概述 Wiresh