wireshark定位抓包与定位查看.pdf

【实用技巧】wireshark过滤抓包与过滤查看 在分析网络数据和判断网络故障问题中，都离不开网络协议分析软件（或叫网络嗅探器、 抓包软件等等）这个“利器”，通过网络协议分析软件我们可以捕获网络中正常传输哪些数 据包，通过分析这些数据包，我们就可以准确地判断网络故障环节出在哪。网络协议分析软 件众多，比如ethereal（wireshark的前身),wireshark,omnipeek,sniffer,科来网络分析 仪（被誉为国产版sniffer，符合我们的使用习惯）等等，本人水平有限，都是初步玩玩而 已，先谈谈个人对这几款软件使用感受，wireshark（ethereal）在对数据包的解码上，可 以说是相当的专业，能够深入到协议的细节上，用它们来对数据包深入分析相当不错，更重 要的是它们还是免费得，但是用wireshark（ethereal）来分析大量数据包并在大量数据包 中快速判断问题所在，比较费时间，不能直观的反应出来，而且操作较为复杂。像 omnipeek,sniffer,科来网络分析仪这些软件是专业级网络分析软件，不仅仅能解码（不过 有些解码还是没有wireshark专业），还能直观形象的反应出数据情况，这些软件会对数据 包进行统计，并生成各种各样的报表日志，便于我们查看和分析，能直观的看到问题所在， 但这类软件是收费，如果想感受这类专业级的软件，我推荐玩科来网络分析仪技术交流版， 免费注册激活，但是只能对50个点进行分析。废话不多说，下面介绍几个wireshark使用 小技巧，说的不好，还请各位多指点批评。 目前wireshark最新版本是1.7的，先简单对比下wireshark的1.6和1.7版本。 下面是wireshark的1.6版本的界面图： 点击图中那个按钮，进入抓包网卡选择，然后点击option进入抓包条件设置，就会打 开如下图的对话框。 如果想抓无线网卡的数据吧，就把图中那个勾去掉，不然会报错。点击CaptureFilter 进入过滤抓包设置（也可以在这个按钮旁边，那个白色框直接写过滤语法，语法不完成或无 法错误，会变成粉红色的框，正确完整的会变成浅绿色），Filter name是过滤条件命名， Filterstring 是过滤的语法定义，设置好了，点击new会把你设置好的加入到过滤条件区 域，下次要用的时候，直接选者你定义这个过滤条件名。 下面是wireshark的1.7版本的界面图： 界面有所变化，同样是点击option进入过滤编辑，如下图： 如果，左边的双击左边网卡可以直接进入过滤抓包设置对话框，中间是点击option后 进入的对话框，再双击网卡进入下面的过滤抓包设置对话框，后面就跟wireshark的1.6 版本一样了。 下面聊聊过滤抓包语法，Filterstring中怎么写语法。大家可以看看captureFilter 原来已有的怎么定义的。 要弄清楚并设置好这个过滤条件的设置，得弄清楚TCP/IP模型中每层协议原理，以及 数据包结构中每个比特的意思。上面这是抓得ARP，在数据链路层来看的，ARP是上层协议， 在ethernet包结构表示的协议类型代码是 0x0806，如果站在网络层来说（ARP协议有时又 称为2.5层的协议，靠近数据链路层），我们的过滤语法可以这样写： TCP/IP TCP/IP 这两个是等价的，抓得都是ARP 包。或许有的朋友这里不太明白，建议去看《TTCCPP//IIPP TCP/IP TCP/IP 协议族》《TTCCPP//IIPP协议详卷》等等原来书籍，先理解数据包结构。从这个设置来看，可以 wireshark wireshark 看出wwiirreesshhaarrkk的过滤抓包多么深入了。 现在我简单讲讲过滤抓包语法以及怎样设置想要的过滤抓包语法(Filter string该填 写什么东西）。 组合过滤语法常使用的连接： and 1 2 and 1 2 过滤