数据包捕获与分析实验要求和Wireshark介绍.pptxVIP

TCP/IP协议及网络编程技术 ;2017/3/27;实验要求;分析工具设计要求;Wireshark简介;;功能界面介绍;;File（文件） 打开或保存捕获的信息。 Edit （编辑）查找或标记封包。进行全局设置。 View（查看） 设置Wireshark的视图。 Go （转到）跳转到捕获的数据。 Capture（捕获）设置捕捉过滤器并开始捕捉。 Analyze（分析）设置分析选项。 Statistics （统计）查看Wireshark的统计信息。 Help （帮助）查看本地或者在线支持。 ;Help 帮助 Contents Wireshark 使用手册 Supported Protocols Wireshark支持的协议清单 Manual Pages 使用手册（HTML网页） Wireshark Online Wireshark 在线 About Wireshark 关于Wireshark;在菜单下面，是一些常用的快捷按钮。 您可以将鼠标指针移动到某个图标上以获得其功能说明。;封包列表中显示所有已经捕获的封包。在这里您可以看到发送或接收方的MAC/IP地址，TCP/UDP端口号，协议或者封包的内容。 如果捕获的是一个OSI layer 2的封包，在Source（来源）和Destination（目的地）列中看到的将是MAC地址，当然，此时Port（端口）列将会为空。 如果捕获的是一个OSI layer 3或者更高层的封包，在Source（来源）和Destination（目的地）列中看到的将是IP地址。Port（端口）列仅会在这个封包属于第4或者更高层时才会显示。 在Edit menu - Preferences下可以添加/删除列或者改变各列的颜色： ;这里显示的是在封包列表中被选中项目的详细信息。信息按照不同的OSI layer进行了分组，可以展开每个项目查看。下面截图中展开的是HTTP信息。 ;“解析器”在Wireshark中也被叫做“16进制数据查看面板”。这里显示的内容与“封包详细信息”中相同，只是改为以16进制的格式表述。在上面的例子里，我们在“封包详细信息”中选择查看TCP端口（80），其对应的16进制数据将自动显示在下面的面板中（0050）。 ;- 正在进行捕捉的网络设备。 - 捕捉是否已经开始或已经停止。 - 捕捉结果的保存位置。 - 已捕捉的数据量。 - 已捕捉封包的数量。(P) - 显示的封包数量。(D) (经过显示过滤器过滤后仍然显示的封包) - 被标记的封包数量。(M) 运行Wireshark并开始分析网络是非常简单的。 使用Wireshark时最常??的问题，是当您使用默认设置时，会得到大量冗余信息，以至于很难找到自己需要的部分。这就是为什么过滤器会如此重要。它们可以帮助我们在庞杂的结果中迅速找到我们需要的信息。 捕捉过滤器：用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。 显示过滤器：在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。 两种过滤器的目的是不同的 捕捉过滤器是数据经过的第一层过滤器，它用于控制捕捉数据的数量，以避免产生过大的日志文件。 显示过滤器是一种更为强大（复杂）的过滤器。它允许您在日志文件中迅速准确地找到所需要的记录。;捕捉过滤器 显示过滤器;;一：选择本地的网络适配器;Protocol（协议）: 可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 如果没有特别指明是什么协议，则默认使用所有支持的协议。 Direction（方向）: 可能的值: src, dst, src and dst, src or dst 如果没有特别指明来源或目的地，则默认使用 src or dst 作为关键字。 例如，host 与src or dst host 是一样的。 Host(s): 可能的值： net, port, host, portrange. 如果没有指定此值，则默认使用host关键字。 例如，src 与src host 相同。 Logical Operations（逻辑运算）: 可能的值：not, and, or. 否(“not”)具有最高的优先级。或(“or”)和与(“and”)具有相同的优先级，运算时从左至右进行。 例如， not tcp port 3128 and tcp port 23与(not tcp port 3128) and tcp port 23相同。 not tcp port 3128 and tcp port 23与not (tcp port 3128 and tcp port 23)