抓包分析培训分析.pptx

Wireshark抓包分析

Theanalysisofcapturepacket

□Wireshark简介Wireshark（原Ethereal）是由一个国际网络专家团队开发的网络协议分析工具。。其主要功能是

撷取网络封包，并尽可能显示出最为详细的网络封包资料。通常用于网络管理员检测网络问题，查看RTP包的丢失率，网络安全工程师检查资讯安全相关问题，开发者为新的通讯协定除错，普通使用者学习网络协议的相关知识等等。

2

□Wireshark不会对网络封包产生内容的修改，它只会反映出目前流通的封包资讯。仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。另外，Wireshark本身并不会送出封包至网络上。

□Wireshark是非常流行的网络封包分析软件，功能十分强大。可以截取各种网络封包，显示网络封包的详细信息。使用Wireshark的人必须了解网络协议，否则就看不懂Wireshark了。

□为了安全考虑，Wireshark只能查看封包，而不能修改封包的内容，或者发送封包。

3

wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。

开始界面

点击开始界面上的捕获选项出现下面对话框，选择正确的网卡。然后点击开始按钮,开始抓包。或者直接点击开始界面上捕获下面的网卡开始抓包。

5

WireShark主要分为这几个界面

1.DisplayFilter(显示过滤器)，用于过滤

2.PacketListPane(封包列表)，显示捕获到的封包，有源地址和目标地址，端口号。颜色不同，代表

3.PacketDetailsPane(封包详细信息),显示封包中的字段

4.DissectorPane(16进制数据)

5.Miscellanous(地址栏，杂项)

Wireshark窗口介绍

6

使用过滤是非常重要的，初学者使用wireshark时，将会得到大量的冗余信息，在几千甚至几万条记录中，以至于很难找到自己需要的部分。搞得晕头转向。

过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。过滤器有两种:

一种是显示过滤器，就是主界面上那个，在捕捉结果中进行详细查找并且在捕捉结果后可以随意修改，用来在捕获的记录中找到所需要的记录。

一种是捕捉过滤器，过滤器用于决定将什么样的信息在捕捉结果中并且需要在开始捕捉前设置。用来过滤捕获的封包，以免捕获太多的记录。在开始界面捕获-选项-所选择接口的捕获过滤器中设置7

保存过滤:

在Filter栏上，填好Filter的表达式后，点击表达式旁边的加

号按钮，输个标签名。比如“应用过滤器,

Filter栏上就多了个“应用过滤器的按钮。

8

ip.addr==，来源或目的IP地址为的封包

3.端口过滤

tcp.port==25，显示来源或目的TCP端口号为25的封包tcp.srcport==80,只显示TCP协议的愿端口为80的。

4.Http模式过滤

http.request.method==GET,只显示HTTPGET方法的。

5.逻辑运算符为AND/OR

过滤表达式的规则

表达式规则

1.协议过滤

比如ARP，只显示ARP的封包。

2.IP过滤

比如ip.src==02显示源地址为02，ip.dst==02,目标地址为02

9

常用的过滤表达式

10

1

地址，协议，长度，以及封包信息。你可以看到不同的协议用了不同的颜色显示。

你也可以修改这些显示颜色的规则，

试图-着色规则

封包列表(PacketListPane)

□封包列表的面板中显示，编号，时间戳，源地址，目标

封包详细信息(PacketDetailsPane)

这个面板是我们最重要的，用来查看协议中的每一个字段。各行信息分别为

Frame:物理层的数据帧概况

EthernetII:数据链路层以太网帧头部信息

InternetProtocolVersion4:互联网层IP包头部信息

TransmissionContr