1、Wireshark 教程當前，互聯網已經越來越成為人們生活中必不可少的組成部分。面對日益復雜的網絡環境，網絡管理員必須花費更很多的時間和精力，來了解網絡設備的運作情況，以維持系統的正常運行。 當網絡趨于復雜，就必須借助于專業的工具了。因此，作為一個網絡管理人員和網絡從業者， 熟練掌握和運用一套網絡管理軟件來對整個網絡進行協議分析，是一個必不可少的技能。當前較為流行的網絡協議嗅探和分析軟件 Wireshark 。通過使用抓包工具，來準確而快速地判斷網絡問題的所在，大大縮短尋找問題的時間。網絡管理人員的私人秘書 Wireshark網絡流量分析是指捕捉網絡中流動的數據包，并通過查看包內部數據以及進行

2、相關的協議、 流量分析、統計等來發現網絡運行過程中出現的問題，它是網絡和系統管理人員進行網絡故障和性能診斷的有效工具。通常， 人們把網絡分析總結為四種方式：基于流量鏡像協議分析，基于SNMP 的流量監測技術，基于網絡探針（Probe ）技術和基于流（flow ）的流量分析。而我們下面要向大家介紹的Wireshark 就是基于流量鏡像協議分析。流量鏡像協議分析方式是把網絡設備的某個端口（鏈路） 流量鏡像給協議分析儀，通過7 層協議解碼對網絡流量進行監測。但該方法主要側重于協議分析，而非用戶流量訪問統計和趨勢分析，僅能在短時間內對流經接口的數據包進行分析，無法滿足大流量、長期的抓包和趨勢分析的要求

3、。Wireshark 的前身是著名的Ethereal 。 Wireshark 是一款免費的網絡協議檢測程序。它具有設計完美的GUI 和眾多分類信息及過濾選項。下面是Wireshark 的界面。用戶通過Wireshark ， 同時將網卡插入混合模式，可以用來監測所有在網絡上被傳送的包，并分析其內容。通過查看每一封包流向及其內容，用來檢查網絡的工作情況，或是用來發現網絡程序的bugs 。 Wireshark 是一個開放源碼的網絡分析系統，也是是目前最好的開放源碼的網絡協議分析器，支持Unix Linux 和 Windows 平臺。由于Wireshark 是 OpenSource ， 更新快，支持的

4、協議多，特別是數據包過濾功能靈活強大。Wireshark 提供了對TCP 、 UDP 、 SMB 、 telnet 和 ftp 等常用協議的支持。它在很多情況下可以代替價格 昂貴的 Sniffer 。安裝好后，雙擊桌面上的Wireshark 圖標， 運行軟件。再捕捉數據包之前，首先要對捕獲的條件進行設置。點擊工具欄里的“Capture a Options ”，（圖一）或者直接點擊 快捷按鈕（圖二），打開選項設置頁面（圖三）。首先，我們要在Interface里選擇正確的捕獲接口，即要進行報文捕獲的網卡。Wireshark支持無線 WLAN的相關協議，具體設置如下：下面是一些常用設置項的解釋：In

5、terface :選擇捕獲接口Capture packets in promiscuous mode:表示是否打開混雜模式，打開即捕獲所有的報文Limit each packet :表示限制每個報文的大小，缺省情況不限制。Capture Filter :過濾器，只抓取滿足過濾規則的包。（可暫時略過）Capture files :即捕獲數據包的保存的文件名以及保存位置。其他的選項按照圖三的設置即可。 Capture Option確認選擇后，點擊ok就開始進行抓包。下面的界面會以協議的不同，統計捕獲到報文各占的百分比，此時，點擊stop即可以停止抓包。的設置，我們也有C Capture 和 Nam

6、e Resolution ”里預先做好網當然，如果不想每次打開Wireshark 都重復上述Capture Option很好的辦法。在 Edit a Preferences卡和其他選項的設置做好預設之后，在每次打開Wireshark,直接點擊工具欄的開始按鈕,就可以開始抓包了。本期向大家介紹了 Wireshark的簡單原理，軟件特色，Wireshark 的安裝和使用設置。通過本期的介紹，大家已經可以使用 Wireshark 捕獲數據包了。在下期，我們將向大家介 紹Wireshark 最有特色并且強大的數據包過濾功能，通過過濾，從而有的放矢的得到我們 希望得到的數據包.Wireshark下面的語

7、句首先打開軟件開始抓包，步驟都不多說了，菜單欄里面有一個 Statistics ,下拉菜單 里面有個 Summary和一個lOGraphs ,如圖：圖一（Statistics 菜單-Wireshark ）Summary里面用數據說明抓到的平均流量是多少，而lOGraphs用圖形表示了你抓數據的流量：圖二（Summary-Wireshark ）圖三（IOGraphs-Wireshark ）Summary里面有兩個filter , 一個是捕捉的，一個是顯示的，建議你在查看流量的時候 先定義capture Filter ,這樣顯示出來的就是你需要抓的流量的匯總信息。需要注意的是， 這個地方無法實時更

8、新，也就是說，如果你抓包沒停下的話，每次打開Summary得到的數據都不一樣。IO Graphs里面可以實時顯示你抓的流量的圖形，你也可以自己定義一些參數，用這個 的話，可以不定義 capture Filter ,而直接在圖形里面選擇Filter ,或者直接將過濾表達式寫到Filter 后面那一欄里面，也可以顯示你需要的流量。不過缺點是，只有圖，鼠標放 上去沒有數字顯示，也就是說，你沒有辦法知道具體某個時間點的流量。圖四（file 定義窗口 -Wireshark ）用 WireShark觀察網絡流量Capture Option 對話框1、Interface （接口）和 Link-layer h

9、eader type（鏈路層頭部）類型選項2、Limit each packet to N bytes（ 將每個分組限制在 N個字節以內）3、 Capture packets in promiscuous mode（在混雜模式下捕獲分組）4、Filter（過濾器）5、Capture files（捕獲文件）6、Display Options（顯示選項）7、Stop Capture （停止捕獲）8、Name resolution（名字解析）幀層（Frame）在幀層（Frame） , Wireshark記錄真實的捕獲時間、第一個分組與前一個分組的相對時間 增量、幀序號、分組長度以及捕獲長度。以太網幀

10、層以太網的首部占用14字節，6字節目的地址和 6字節源地址，2字節表示類型。例如：以太網的類型為（08 00 ）。IP層傳輸層TCP頭部是20個字節。2個字節源端口和目的端口。4字節的序列號，4字節確認號。1個字節的數據偏移和標記。2個字節的窗口大小，2個字節的校驗和，2個字節的緊急指針。源端口：指定了發送端的端口目的端口：指定了接受端的端口號序號：指明了段在即將傳輸的段序列中的位置確認號：規定成功收到段的序列號，確認序號包含發送確認的一端所期望收到的下一個序號TCP偏移量：指定了段頭的長度。段頭的長度取決與段頭選項字段中設置的選項保留：指定了一個保留字段，以備將來使用標志：SYN ACK P

11、SH RST URG FINSYN 表示同步ACK 表不確認PSH 表示盡快的將數據送往接收進程RST 表示復位連接URG表示緊急指針FIN:表示發送方完成數據發送窗口 ：指定關于發送端能傳輸的下一段的大小的指令校驗和：校驗和包含 TCP段頭和數據部分，用來校驗段頭和數據部分的可靠性緊急：指明段中包含緊急信息，只有當URG標志置1時緊急指針才有效選項：指定了公認的段大小，時間戳，選項字段的末端，以及指定了選項字段的邊界選項快捷鍵描述Tab,Shift+Tab在兩個項目間移動，例如從一個色列表移動到下一個Down移動到下一個包或者下一個詳情Up移動到個包或者個詳情Ctrl-Down,F8移動到卜

12、一個包，即使焦點/、在 Packet list 面版Ctrl-UP,F7移動到前一個報文，即使焦點/、在 Packet list 面版Left在Pactect Detail 面版，關閉被選擇的詳情樹狀分支。如果 以關閉，則返回到父分支。Right在Packet Detail面版，打開被選擇的樹狀分支.BackspacePacket Detail 面版，返回到被選擇的節點的父節點Return,EnterPacket Detail 面版，固定被選擇樹項目。Packet list 和Detail面版控制可以通過快捷鍵進行另外，在主窗口鍵入任何字符都會填充到filter 里面.File菜單菜單項Ope

13、n.快捷鍵Ctr+O描述顯示打開文件對話框，讓您載入捕捉文件用以瀏覽。Open Recent彈出一個子菜單顯示最近打開過的文件供選擇Merg顯示合并捕捉文件的對話框。 讓您選擇一個文件和當前打開的文件合并Close Ctrl+W關閉當前捕捉文件，如果您未保存，系統將提示您是 否保存（如果您預設了禁止提示保存，將不會提示）SaveCrl+S保存當前捕捉文件，如果您沒有設置默認的保存義件 名，Wireshark出現提不您保存義件的對話框。詳情 注意 如果您已經保存義件，該選項會是灰色不可選 的。注意您不能保存動態捕捉的文件。您必須結束捕捉 以后才能進行保存Save AsShift+Ctrl+S讓您

14、將當前文件保存為另外一個文件面，將會出現一個另存為的對話框File SetList Files允許您顯示文件集合的列表。 將會彈出一個對話框顯示已打開文件的列表，File SetNext File如果當前載入文件是文件集合的一部分，將會跳轉到下一個文件。如果不是，將會跳轉到最舟-個文件。這個文件選項 將會是灰色File setPreviousFiles如果當前文件是文件集合的一部分，將會調到它所在位置的前一個文件。如果不是則跳到文件集合的A 個文件，同時變成灰色。Exportas PlainText File 這個菜單允許您將捕捉文件中所有的或者部分的包導出為plainASCII text 格

15、式。它將會彈出一個Wireshark 導出對話框Export as PostScript Files將捕捉文件的全部或部分導出為PostScrit 文件。將會出現導出文件對話框。Export as CVS (Comma Separated Values Packet Summary)File導出文件全部或部分摘要為.cvs格式（可用在電子表格中）。將會彈出導出對話框Export as PSMLFile 導出文件的全部或部分為 PSML格式（包摘要標記語 言）XML文件。將會彈出導出文件對話框。Export as PDML File.導出文件的全部或部分為 PDML包摘要標記語言）格 式的XML

16、文件。將會彈出一個導出文件對話框 ，Export SelectedPacket Bytes 導出當前在Packet byte面版選擇的字節為一進制文件。將會彈出一個導出對話框。PrintCtr+P打印捕捉包的全部或部分，將會彈出打印對話框Quit退出Ctrl+QWireshark,如果未保存文件，Wireshark 會提不是否保存.Edit菜單菜單項快捷鍵描述CopyAs FilterShift+Ctrl+C使用詳If面版選擇的數據作為顯示過濾。 顯示過濾將會拷貝到剪貼板。Find Packet.Ctr+F打什個對話框用來通過限制來查找包Find NextCtrl+N在使用Find packe

17、t以后，使用該采單會 查找匹配規則的下一個包Find PreviousCtr+B查找匹配規則的前一個包。Mark Packet(toggle)Ctrl+M標記當前選擇的包。Find Next MarkShift+Ctrl+N查找下一個被標記的包Find Previous MarkCtrl+Shift+B查找前一個被標記的包Mark ALL Packets標記所有包Unmark All Packet取消所有標記SetTimeReference(toggle)Ctrl+T以當前包時間作為參考Find Next Reference找到下一個時間參考包FindPreviousRefrence.找到前一

18、個時間參考包Preferences.Shift+Ctrl+P打開首選項對話框，個性化設置 Wireshark的各項參數，設置后的參數將 會在每次打開時發揮作用。.View菜單菜單項快捷鍵描述Main Toolbar顯示隱藏Main toolbar（主工具欄）Filter Toolbar顯示或隱藏Filter Toolbar（過濾工具欄）Statusbar顯示或隱藏狀態Packet List顯本或隱藏Packet List pane（ 包列表向板）Packet Details顯本或隱藏Packet details pane（ 包詳情向板Packet Bytes顯本或隱藏packet Bytes

19、pane（ 包字節面板Time Display FromatDate and Time of Day: 1970-01-01 01:02:選擇這里告訴Wireshark將時間戳設置為絕對 日期-時間格式（年月日，時分秒）Time Display FormatTime of Day: 01:02:將時間設置為絕對時間-日期格式（時分秒格式）Time Display Format 將時間戳設置為秒格式，從捕捉開始計時Seconds Since Beginning of Capture:Time Display Format Seconds Since Previous Captured Packe

20、t:將時間戳設置為秒格式，從上次捕捉開始計時Time Display Format Seconds Since Previous Displayed將時間戳設置為秒格式，從上次顯示的包開始計時Packet:Time Display Format Time Display Format Automatic (FileFormatPrecision)根據指定的精度選擇數據包中時間戳的顯示方 式Time Display Format Seconds: 0設置精度為1秒TimeDisplayFormat .seconds: 0.設置精度為1秒，秒，秒，百萬分之一秒等等Name Resolution R

21、esolveName僅對當前選定包進行解析Name Resolution Enable for MAC Layer是否解析Mac地址Name Resolution Enable for Network Layer是否解析網絡層地址（ip地址）Name Resolution Enable for Transport Layer是否解析傳輸層地Colorize Packet List是否以彩色顯示包Auto Scroollin LiveCapture控制在實時捕捉時是否自動滾屏，如果選擇了該項，在后新數據進入時，面板會項上滾動。您始 終能看到最后的數據。反之，您無法看到滿屏以 后的數據，除非您手動

22、滾屏Zoom InCtrl+增大字體Zoom OutCtrl+-縮小字體Normal SizeCtrl+=恢復正常大小Resiz All Columnus恢復所后列寬Expend Subtrees展開子分支Expand All看開所有分支，該選項會展開您選擇的包的所有 分支。Collapse All收縮所有包的所有分支Coloring Rulues.打心個對話框，讓您可以通過過濾表達來用不 同的顏色顯示包。這項功能對定位特定類型的包非常有用Show Packet in New Window在新窗口顯示當前包，（新窗口僅包含 View,ByteView兩個面板）ReloadCtrl+R重新再如當

23、前捕捉文件.Go菜單菜單項快捷鍵描述BackAlt+Left跳到最近瀏覽的包，類似于瀏覽器中的頁面歷史紀錄ForWardAlt+Right跳到下一個最近瀏覽的包，跟瀏覽器類似Go to PacketCtrl+G打什個對話框，輸入指定的包序號，然后跳轉到對應 的包GotoCorresponding Packet跳轉到當前包的應答包，如果/、存在，該選項為灰色PreviousPacketCtrl+UP移動到包列表中的前一個包， 即使包列表囿板不是當前 焦點，也是可用的Next PacketCtrl+Down移動到包列表中的后,個包First Packet移動到列表中的個包Last Packet移動

24、到列表中的最斤-個包Capture菜單菜單項快捷鍵說明Interface.在彈出對話框選擇您要進行捕捉的網絡接口，Options.Ctrl+K打開設置捕捉選項的對話框，并可以在此開始捕捉Start立即開始捕捉，設置都是參照最斤-次設置。StopCtrl+E停止正在進行的捕捉Restart正在進行捕捉時，停止捕捉，并按同樣的設置重新開始捕 捉.Capture Filters.打開對話框，編輯捕捉過濾設置，可以命名過濾器，保存 為其他捕捉時使用.Analyze”菜單菜單項快捷鍵說明DisplayFilters.打開過濾器對話框編輯過濾設置，可以命名過濾設 置，保存為其他地方使用ApplyasFilter.更改當前過濾顯示并立即應用。根據選擇的項，當前顯示字段會被替換成選擇在Detail面板的協議字段PrepareaFilter.更改當前顯示過濾設置，當不會立即應用。同樣根據當前選擇項，過濾字符會被替換成Detail面板選擇的協議字段FirewallACLRules為多種不同的防火墻創建命令行ACL規則(訪問控制 列表)，支持 Cisco IOS, LinuxNetfilter (iptables), OpenBSD pf and Windows Firewall(via ne