Wireshark入门教程及破解.pptx

Wireshark使用心得

饮水思源感谢Ethereal和Wireshark的创立者GeraldCombs以及为它们的开展而做出努力的上千名开发人员！

下载/安装/download.htmlWinpcap自动检测操作系统中已经安装的版本，建议卸载旧版本，使用安装包中的最新版本。

启动抓包

选择抓包的网卡

定义抓包选项

CapturepacketsinpromiscuousmodeHUB环境中有效交换机环境中无效ARP欺骗交换机端口镜像抓包计算机双网卡桥接在客户机和交换机中间网卡混杂模式

WindowsVista1. 通过单击“开始”按钮，再依次单击“控制面板”、“网络和Internet”、“网络和共享中心”，然后单击“管理网络连接”，进入“网络连接”文件夹。2. 按住Ctrl键，然后点击所有需要桥接的LAN网段。然后，右击所选择局域网连接对象中的一个，然后点击“桥接”。3. 右键单击网桥，然后单击“属性”。?如果系统提示您输入管理员密码或进行确认，请键入密码或提供确认。4. 在选项卡的“适配器”下，选中要向网桥中添加的每个连接旁边的复选框，然后单击“确定”。WindowsXP1.通过单击“开始”按钮，再依次单击“设置”、“控制面板”，打开“网络连接”。2.按住Ctrl键，然后点击所有需要桥接的LAN网段。然后，右击所选择局域网连接对象中的一个，然后点击“桥接”。3.右键单击网络桥，然后单击“属性”。4.在“常规”选项卡的“适配器”下，选中要向网桥中添加的每个连接旁边的复选框，然后单击“确定”。双网卡桥接设置

由于网桥工作在网络的第二层，所以两块物理网卡和网桥的IP地址可以设置成和客户不同的网段地址，抓包的计算机本身不能访问客户网络，只是作为一个二层的桥接设备。如果让抓包计算机也能够访问客户网络，只需在网桥上设置一个能够访问客户网络的有效IP地址即可。抓包时可以选择任意一个物理网卡进行抓包，不能选择网桥抓包。网桥启动后计算机不能进入休眠或睡眠状态，否则一旦网桥上的某一个连接断开，Windows将无法恢复，只能完全断电后重启。抓包工作完成后在网桥属性中将桥接的两个网络接口复选框钩掉，确认后再鼠标右键网桥选择禁用，避免网桥启动状态带来的不必要的麻烦。Tips

Capturefilter直接输入抓包过滤表达式

此filter非彼filterCapturefiltervsDisplayfilterCapturefilter在抓包之前设置，是第一层过滤器，避免抓到大量的无用数据包。Displayfilter在抓包后设置，是第二层过滤器，过滤规则更细，帮助迅速准确地找到所需记录。Capturefilter语法Capturefilter语法：ProtocolDirectionHost(s)ValueLogicalOperationsOtherexpression例子：tcpdst80andtcpdst3128

Protocol（协议）可能的值:ether、fddi、ip、arp、rarp、decnet、lat、sca、moprc、mopdl、tcpandudp.如果没有特别指明是什么协议，则默认使用所有支持的协议。Direction（方向）可能的值:src、dst、srcanddst、srcordst如果没有特别指明来源或目的地，则默认使用“srcordst”作为关键字。例如，host与srcordsthost是一样的Capturefilter

Host(s)可能的值:net、port、host、portrange如果没有指定此值，则默认使用“host”关键字。例如，src与srchost相同LogicalOperations（逻辑运算）可能的值:not、and、or否(not)具有最高的优先级。或(or)和与(and)具有相同的优先级，运算时从左至右进行。例如，

nottcpport3128andtcpport23与(nottcpport3128)andtcpport23相同。

nottcpport3128andtcpport23与not(tcpport3128andtcpport23)不同。Capturefilter

例子tcpdstport3128显示目的TCP端口为3128的数据包。ipsrchost显示来源IP地址为的数据包。host显示目的或来源IP地址为的数据包。srcportrange2000-2500显示来源为UDP或TCP，并且端口号在2000至2500范围内的数据包。notimcp显示除了icmp以外的所有数据包