网络监测ppt.ppt

学习目的 通过本课程的学习，您将能够： 了解WireShark的界面组成 熟悉WireShark的基本操作 适用对象： 测试、开发、网络工程人员 学习目的 嗅探器是一种监视网络数据运行的软件设备，协议分析器既能用于合法网络管理也能用于窃取网络信息。网络运作和维护都可以采用协议分析器：如监视网络流量、分析数据包、监视网络资源利用、执行网络安全操作规则、鉴定分析网络数据以及诊断并修复网络问题等等。非法嗅探器严重威胁网络安全性，这是因为它实质上不能进行探测行为且容易随处插入，所以网络黑客常将它作为攻击武器。 学习目的 概述 Wireshark 是网络包分析工具。网络包分析工具的主要作用是在接口实时捕捉网络包，并详细显示包的详细协议信息。Wireshark 可以捕捉多种网络接口类型的包，哪怕是无线局域网接口。Wireshark可以打开多种网络分析软件捕捉的包，可以支持许多协议的解码。我们可以用它来检测网络安全隐患、解决网络问题，也可以用它来学习网络协议、测试协议执行情况等。 Wireshark不会处理网络事务，它仅仅是“测量”(监视)网络。Wireshark不会发送网络包或做其它交互性的事情。 安装注意事项 安装文件获取：\\172.16.0.2\softtool\toolsLib\抓包工具 在安装组件时候选择所有组件，界面风格建议选择Wireshark（GTK2 user interface） 安装注意事项 勾选下图选项，以支持多种其他网络包分析工具支持的文件格式。 安装注意事项 Wireshark 安装文件自带WinPcap最新版本，选择安装。 Wireshark的使用 1、Wireshark的主窗口 2、网络数据流的监测接入点 在被监测计算机上直接捕获； 利用集线器将被检测端口的数据分为多路进行捕获； 利用交换机的端口数据映射功能进行捕获； 3、实时捕获数据包 使用按钮”Capture Options”开始捕获取 对话框，选择正确的NIC进行捕获；注意：windows平台下不支持环回接口捕获，即接口列表中的第一个接口 3、实时捕获数据包 设置捕获缓存大小（Buffer size） 设置写入数据到磁盘前保留在核心缓存中捕捉数据的大小。如果你发现丢包，可尝试增大该值。 设置网卡是否为混杂捕获模式（Capture packets in promiscuous mode） 指定Wireshark捕捉包时，设置接口是否为混合接收模式。 在非混杂模式下，Wireshark捕获满足以下条件的包： 含本网卡地址单播包、具有多播地址且与本网卡地址配置相吻合的数据包、广播包。 而在混杂模式下，Wireshark除捕获上述类型的数据包外，与本网卡地址配置不吻合的组播包也会被捕获下来。 设置捕获过滤规则 Wireshark使用libpcap过滤语句进行捕捉过滤。 过滤语句的形式为：[not] primitive [and|or [not] primitive ...] 常用的基本单元(primitive)类型： [src|dst] host host 过滤主机ip地址或名称。通过指定src|dst关键词来确定所关注的是源地址还是目标地址。如果未指定，则指定的地址出现在源地址或目标地址中的包会被抓取。 ether [src|dst] host ehost 过滤主机以太网地址。通过指定关键词src|dst来确定所关注的是源地址还是目标地址。如果未指定，则指定的地址出现在源地址或目标地址中的包会被抓取。 [tcp|udp] [src|dst] port port] 过滤tcp,udp及端口号。可以使用src|dst和tcp|udp关键词来确定来自源还是目标，tcp协议还是udp协议。tcp|udp必须出现在src|dst之前。 ip|ether proto protocol 选择在以太网层或是ip层的指定协议的包 例?1.?捕捉来自特定主机的telnet协议：tcp port 23 and host 10.0.0.5 例?2.?捕捉所有不是来自10.0.0.5的telnet 通信：tcp port 23 and not src host 10.0.0.5 设置多文件连续存储 Use multiple files 如果指定条件达到临界值，Wireshark将会自动生成一个新文件。 Next file every n megabyte(s) 如果捕捉文件容量达到指定值，将会生成切换到新文件 Next file every n minutes(s) 如果捕捉文件持续时间达到指定值，将会切换到新文件。 Ring buffer with n files 仅生成制定数目的文件。 Stop c