wireshark一般使用流程.pdfVIP

wireshark一般使用流程 1. 进行抓包1 1) 认识界面，常用按钮1 2) 设置混杂模式2 3) 设置过滤器3 4) 记得保存数据3 2. 分析手 3 1) 显示过滤3 2) 常用分析工具3 a.Conversations4 b.IOgraph5 c.Flowgraph5 3. 纵向分析6 4. 横向分析7 5. 小结7 注：我用的是wireshark1.10.3，windows8 1.进行抓包 1) 认识界面，常用按钮 1 wireshark 图 ： 界面 注：  常用按钮从左到右依次为：（1）列出可用接口（就是能抓到包的地方）；（2） 抓包选项 （往往只用设置一次就够了）；（3）新开始一个抓包过程；（4）停止； （5）重新进行该次抓包；（6）打开，保存，关闭，重载抓包文件。 2) 设置混杂模式 先给图： 2 图 ：抓包设置 注意框框的地方，翻译过来就是 “在所有接口上使用混杂模式”，你也可以双击列 出的某个接口进行单独设置： 3 图 ：单个接口详细设置 勾选混杂模式的用途就是抓取所有经过本台机的数据包，再解释详细点的话：你自 己的电脑有两个作用，一个是作为“终端”发送和接收你关心的数据，比如说登录qq 后发送接收的聊天信息；另一个是作为“路由器”让别的信息通过，比如在局域网中有 时会使用环状网络，你的电脑就是不可缺少的一环。因此混杂模式抓取两种数据，当然， 不勾选的话会减少干扰，因为一般你抓取的都是自己主动发起连接的数据，比如做网站 登录的分析，qq登录的分析等。 3) 设置过滤器 Wireshark有两中过滤方式，一种是抓包过滤，另一种是显示过滤，前者在抓包之 前设置，后者在抓包之后设置。先说前者，后边说后者。 4 图 ：抓包过滤设置 这个框框就是让写抓包过滤的语句的，点击capturefilter可以看到wireshark 已经 写好的一些过滤语句，你也可以写自己的，具体怎么写就不说了，一看就懂的。 4) 记得保存数据 这个单独提出来是为了提醒。 2.分析手 1) 显示过滤 这里说后者。 输入框的位置在图 1的2。 显示过滤的语法跟抓包过滤的不一样。 显示过滤有两种形式：（1）协议过滤；（2）内容过滤。 协议过滤：就是过滤不同协议的，如输入http，就只显示http协议的数据包，其他 的类推。 内容过滤：就是可以过滤协议中的不同字 ，如输入http.host==， 就会列出http协议host为 的数据包。 大致如此，更详细的还是要google 了…… 2) 常用分析工具 我一般用的是这三个： 5 图 ：常用分析工具 a. Conversations。显示各种协议的会话，对自己抓取的数据包有个比较直观的总体认 识 6 图 ：会话 框框里的数字表示有几组会话。 b. IOgraph