Wireshark入门教程及破解课件.pptx

Wireshark 使用心得 饮水思源 感谢Ethereal和Wireshark的创建者Gerald Combs以及为它们的发展而做出努力的上千名开发人员！ 下载/安装 /download.html Winpcap 自动检测操作系统中已经安装的版本，建议卸载旧版本，使用安装包中的最新版本。 启动抓包 选择抓包的网卡 定义抓包选项 Capture packets in promiscuous mode HUB环境中有效 交换机环境中无效 ARP欺骗 交换机端口镜像 抓包计算机双网卡桥接在客户机和交换机中间 网卡混杂模式 Windows Vista 1. 通过单击“开始”按钮，再依次单击“控制面板”、“网络和 Internet”、“网络和共享中心”，然后单击“管理网络连接”，进入“网络连接”文件夹。 2. 按住Ctrl键，然后点击所有需要桥接的LAN网段。然后，右击所选择局域网连接对象中的一个，然后点击“桥接” 。 3. 右键单击网桥，然后单击“属性”。 ?如果系统提示您输入管理员密码或进行确认，请键入密码或提供确认。 4. 在选项卡的“适配器”下，选中要向网桥中添加的每个连接旁边的复选框，然后单击“确定”。 Windows XP 1. 通过单击“开始”按钮，再依次单击“设置”、“控制面板”，打开“网络连接”。 2. 按住Ctrl键，然后点击所有需要桥接的LAN网段。然后，右击所选择局域网连接对象中的一个，然后点击“桥接” 。 3. 右键单击网络桥，然后单击“属性”。 4. 在“常规”选项卡的“适配器”下，选中要向网桥中添加的每个连接旁边的复选框，然后单击“确定”。 双网卡桥接设置 由于网桥工作在网络的第二层，所以两块物理网卡和网桥的IP地址可以设置成和客户不同的网段地址，抓包的计算机本身不能访问客户网络，只是作为一个二层的桥接设备。 如果让抓包计算机也能够访问客户网络，只需在网桥上设置一个能够访问客户网络的有效IP地址即可。 抓包时可以选择任意一个物理网卡进行抓包，不能选择网桥抓包。 网桥启动后计算机不能进入休眠或睡眠状态，否则一旦网桥上的某一个连接断开，Windows将无法恢复，只能完全断电后重启。 抓包工作完成后在网桥属性中将桥接的两个网络接口复选框钩掉，确认后再鼠标右键网桥选择禁用，避免网桥启动状态带来的不必要的麻烦。 Tips Capture filter 直接输入抓包过滤表达式 此filter非彼filter Capture filter vs Display filter Capture filter 在抓包之前设置，是第一层过滤器，避免抓到大量的无用数据包。 Display filter在抓包后设置，是第二层过滤器，过滤规则更细，帮助迅速准确地找到所需记录。 Capture filter 语法 Capture filter 语法： Protocol Direction Host(s) Value Logical Operations Other expression 例子： tcp dst 80 and tcp dst 3128 Protocol（协议） 可能的值: ether、fddi、ip、arp、rarp、decnet、lat、sca、moprc、mopdl、tcp and udp. 如果没有特别指明是什么协议，则默认使用所有支持的协议。 Direction（方向） 可能的值: src、dst、src and dst、src or dst 如果没有特别指明来源或目的地，则默认使用 “src or dst” 作为关键字。 例如，host 与src or dst host 是一样的 Capture filter Host(s) 可能的值: net、port、host、portrange 如果没有指定此值，则默认使用“host”关键字。 例如，src 与src host 相同 Logical Operations（逻辑运算） 可能的值: not、and、or 否(not)具有最高的优先级。或(or)和与(and)具有相同的优先级，运算时从左至右进行。 例如，not tcp port 3128 and tcp port 23与(not tcp port 3128) and tcp port 23相同。not tcp port 3128 and tcp port 23与not (tcp port 3128 and tcp port 23)不同。 Capture filter 例子 tcp dst port 3128 显示目的TCP端口为3128的数据包。 ip src host 显示来源IP地址为的数据包。 host 显示目的或来源IP地址为的数据包。 src portrange 20