WireShark教程详解PPT.ppt
- 文档编号:18708697
- 上传时间:2023-10-13
- 格式:PPT
- 页数:57
- 大小:3.48MB
WireShark教程详解PPT.ppt
《WireShark教程详解PPT.ppt》由会员分享,可在线阅读,更多相关《WireShark教程详解PPT.ppt(57页珍藏版)》请在冰点文库上搜索。
WireShark教程Version1.2.5,概述,Wireshark的原名是Ethereal,新名字是2006年起用的。
当时Ethereal的主要开发者决定离开他原来供职的公司,并继续开发这个软件。
但由于Ethereal这个名称的使用权已经被原来那个公司注册,Wireshark这个新名字也就应运而生了。
Wireshark的优势:
安装方便。
简单易用的界面。
提供丰富的功能。
软件简介,网络管理员使用Wireshark来检测网络问题,网络安全工程师使用Wireshark来检查资讯安全相关问题,开发者使用Wireshark来为新的通讯协定除错,普通使用者使用Wireshark来学习网络协定的相关知识当然,有的人也会“居心叵测”的用它来寻找一些敏感信息Wireshark不是入侵侦测软件(IntrusionDetectionSoftware,IDS)。
对于网络上的异常流量行为,Wireshark不会产生警示或是任何提示。
然而,仔细分析Wireshark截取的封包能够帮助使用者对于网络行为有更清楚的了解。
Wireshark不会对网络封包产生内容的修改,它只会反映出目前流通的封包资讯。
Wireshark本身也不会送出封包至网络上。
启动后的界面,功能界面介绍,MENUS(菜单),SHORTCUTS(快捷方式),DISPLAYFILTER(显示过滤器),PACKETLISTPANE(封包列表),PACKETDETAILSPANE(封包详细信息),DISSECTORPANE(16进制数据),MISCELLANOUS(杂项),File(文件)打开或保存捕获的信息。
Edit(编辑)查找或标记封包。
进行全局设置。
View(查看)设置Wireshark的视图。
Go(转到)跳转到捕获的数据。
Capture(捕获)设置捕捉过滤器并开始捕捉。
Analyze(分析)设置分析选项。
Statistics(统计)查看Wireshark的统计信息。
Help(帮助)查看本地或者在线支持。
Help帮助ContentsWireshark使用手册SupportedProtocolsWireshark支持的协议清单ManualPages使用手册(HTML网页)WiresharkOnlineWireshark在线AboutWireshark关于Wireshark,ANSI按照美国国家标准协会的ANSI协议分析FaxT38Analysis.按照T38传真规范进行分析GSM全球移动通信系统GSM的数据H.225H.225协议的数据MTP3MTP3协议的数据RTP实时传输协议RTP的数据SCTP数据流控制传输协议SCTP的数据SIP.会话初始化协议SIP的数据VoIPCalls互联网IP电话的数据WAP-WSP无线应用协议WAP和WSP的数据BOOTP-DHCP引导协议和动态主机配置协议的数据Destinations通信目的端FlowGraph网络通信流向图HTTP超文本传输协议的数据IPaddress互联网IP地址ISUPMessagesISUP协议的报文MulticastStreams多播数据流ONC-RPCProgramsPacketLength数据包的长度PortType传输层通信端口类型TCPStreamGraph传输控制协议TCP数据流波形图,Statistics对已捕获的网络数据进行统计分析Summary已捕获数据文件的总统计概况ProtocolHierarchy数据中的协议类型和层次结构Conversations会话Endpoints定义统计分析的结束点IOGraphs输入/输出数据流量图ConversationList会话列表EndpointList统计分析结束点的列表ServiceResponseTime从客户端发出请求至收到服务器响应的时间间隔,Analyze对已捕获的网络数据进行分析DisplayFilters选择显示过滤器ApplyasFilter将其应用为过滤器PrepareaFilter设计一个过滤器FirewallACLRules防火墙ACL规则EnabledProtocols已可以分析的协议列表DecodeAs将网络数据按某协议规则解码UserSpecifiedDecodes用户自定义的解码规则FollowTCPStream跟踪TCP传输控制协议的通信数据段,将分散传输的数据组装还原FollowSSLstream跟踪SSL安全套接层协议的通信数据流ExpertInfo专家分析信息ExpertInfoComposite构造专家分析信息,Capture捕获网络数据Interfaces选择本机的网络接口进行数据捕获Options捕获参数选择Start开始捕获网络数据Stop停止捕获网络数据Restart重新开始捕获CaptureFilters选择捕获过滤器,Go运行Back向后运行Forward向前运行Gotopacket转移到某数据包GotoCorrespondingPacket转到相应的数据包PreviousPacket前一个数据包NextPacket下一个数据包FirstPacket第一个数据包LastPacket最后一个数据包,View视图MainToolbar主工具栏FilterToolbar过滤器工具栏WirelessToolbar无线工具栏Statusbar运行状况工具栏PacketList数据包列表PacketDetails数据包细节PacketBytes数据包字节TimeDisplayFormat时间显示格式Nameresolution名字解析(转换:
域名/IP地址,厂商名/MAC地址,端口号/端口名)ColorizePacketList颜色标识的数据包列表AutoScrollinLiveCapture现场捕获时实时滚动ZoomIn放大显示ZoomOut缩小显示NormalSize正常大小ResizeAllColumns改变所有列大小ExpandSubtrees扩展开数据包内封装协议的子树结构ExpandAll全部扩展开CollapseAll全部折叠收缩ColoringRules对不同类型的数据包用不同颜色标识的规则ShowPacketinNewWindow将数据包显示在一个新的窗口Reload将数据文件重新加,Edit编辑FindPacket搜索数据包FindNext搜索下一个FindPrevious搜索前一个MarkPacket(toggle)对数据包做标记(标定)FindNextMark搜索下一个标记的包FindPreviousMark搜索前一个标记的包MarkAllPackets对所有包做标记UnmarkAllPackets去除所有包的标记SetTimeReference(toggle)设置参考时间(标定)FindNextReference搜索下一个参考点FindPreviousReference搜索前一个参考点Preferences参数选择,File打开文件Open打开文件OpenRecent打开近期访问过的文件Merge将几个文件合并为一个文件Close关闭此文件SaveAs保存为FileSet文件属性Export文件输出Print打印输出Quit关闭,在菜单下面,是一些常用的快捷按钮。
您可以将鼠标指针移动到某个图标上以获得其功能说明。
显示过滤器用于查找捕捉记录中的内容。
请不要将捕捉过滤器和显示过滤器的概念相混淆。
请参考Wireshark过滤器中的详细内容。
封包列表中显示所有已经捕获的封包。
在这里您可以看到发送或接收方的MAC/IP地址,TCP/UDP端口号,协议或者封包的内容。
如果捕获的是一个OSIlayer2的封包,在Source(来源)和Destination(目的地)列中看到的将是MAC地址,当然,此时Port(端口)列将会为空。
如果捕获的是一个OSIlayer3或者更高层的封包,在Source(来源)和Destination(目的地)列中看到的将是IP地址。
Port(端口)列仅会在这个封包属于第4或者更高层时才会显示。
在Editmenu-Preferences下可以添加/删除列或者改变各列的颜色:
这里显示的是在封包列表中被选中项目的详细信息。
信息按照不同的OSIlayer进行了分组,可以展开每个项目查看。
下面截图中展开的是HTTP信息。
“解析器”在Wireshark中也被叫做“16进制数据查看面板”。
这里显示的内容与“封包详细信息”中相同,只是改为以16进制的格式表述。
在上面的例子里,我们在“封包详细信息”中选择查看TCP端口(80),其对应的16进制数据将自动显示在下面的面板中(0050)。
-正在进行捕捉的网络设备。
-捕捉是否已经开始或已经停止。
-捕捉结果的保存位置。
-已捕捉的数据量。
-已捕捉封包的数量。
(P)-显示的封包数量。
(D)(经过显示过滤器过滤后仍然显示的封包)-被标记的封包数量。
(M)运行Wireshark并开始分析网络是非常简单的。
使用Wireshark时最常见的问题,是当您使用默认设置时,会得到大量冗余信息,以至于很难找到自己需要的部分。
这就是为什么过滤器会如此重要。
它们可以帮助我们在庞杂的结果中迅速找到我们需要的信息。
捕捉过滤器:
用于决定将什么样的信息记录在捕捉结果中。
需要在开始捕捉前设置。
显示过滤器:
在捕捉结果中进行详细查找。
他们可以在得到捕捉结果后随意修改。
两种过滤器的目的是不同的捕捉过滤器是数据经过的第一层过滤器,它用于控制捕捉数据的数量,以避免产生过大的日志文件。
显示过滤器是一种更为强大(复杂)的过滤器。
它允许您在日志文件中迅速准确地找到所需要的记录。
捕捉过滤器显示过滤器,点击showthecaptureoptions,一:
选择本地的网络适配器,二:
设置捕捉过滤,填写capturefilter栏或者点击capturefilter按钮为您的过滤器起一个名字并保存,以便在今后的捕捉中继续使用这个过滤器。
Protocol(协议):
可能的值:
ether,fddi,ip,arp,rarp,decnet,lat,sca,moprc,mopdl,tcpandudp.如果没有特别指明是什么协议,则默认使用所有支持的协议。
Direction(方向):
可能的值:
src,dst,srcanddst,srcordst如果没有特别指明来源或目的地,则默认使用srcordst作为关键字。
例如,host10.2.2.2与srcordsthost10.2.2.2是一样的。
Host(s):
可能的值:
net,port,host,portrange.如果没有指定此值,则默认使用host关键字。
例如,src10.1.1.1与srchost10.1.1.1相同。
LogicalOperations(逻辑运算):
可能的值:
not,and,or.否(“not”)具有最高的优先级。
或(“or”)和与(“and”)具有相同的优先级,运算时从左至右进行。
例如,nottcpport3128andtcpport23与(nottcpport3128)andtcpport23相同。
nottcpport3128andtcpport23与not(tcpport3128andtcpport23)不同。
例子,tcpdstport3128显示目的TCP端口为3128的封包。
ipsrchost10.1.1.1显示来源IP地址为10.1.1.1的封包。
host10.1.2.3显示目的或来源IP地址为10.1.2.3的封包。
srcportrange2000-2500显示来源为UDP或TCP,并且端口号在2000至2500范围内的封包。
noticmp显示除了icmp以外的所有封包。
(icmp通常被ping工具使用)srchost10.7.2.12andnotdstnet10.200.0.0/16显示来源IP地址为10.7.2.12,但目的地不是10.200.0.0/16的封包。
(srchost10.4.1.12orsrcnet10.6.0.0/16)andtcpdstportrange200-10000anddstnet10.0.0.0/8显示来源IP为10.4.1.12或者来源网络为10.6.0.0/16,目的地TCP端口号在200至10000之间,并且目的位于网络10.0.0.0/8内的所有封包。
填写capturefilter栏或者点击capturefilter按钮为您的过滤器起一个名字并保存,以便在今后的捕捉中继续使用这个过滤器。
三:
点击开始,注意事项:
当使用关键字作为值时,需使用反斜杠“”。
etherprotoip(与关键字ip相同).这样写将会以IP协议作为目标。
ipprotoicmp(与关键字icmp相同).这样写将会以ping工具常用的icmp作为目标。
可以在ip或ether后面使用multicast及broadcast关键字。
当您想排除广播请求时,nobroadcast就会非常有用。
捕捉过滤器显示过滤器,可以使用大量位于OSI模型第2至7层的协议。
点击Expression.按钮后,可以看到它们。
比如:
IP,TCP,DNS,SSH,可以在如下所示位置找到所支持的协议:
Wireshark的网站提供了对各种协议以及它们子类的说明。
Comparisonoperators(比较运算符):
可以使用6种比较运算符:
Logicalexpressions(逻辑运算符):
被程序员们熟知的逻辑异或是一种排除性的或。
当其被用在过滤器的两个条件之间时,只有当且仅当其中的一个条件满足时,这样的结果才会被显示在屏幕上。
例子:
tcp.dstport=80ortcp.dstport=1025只有当目的TCP端口为80或者来源于端口1025时,这样的封包才会被显示。
例子:
snmp|dns|icmp显示SNMP或DNS或ICMP封包。
ip.addr=10.1.1.1显示来源或目的IP地址为10.1.1.1的封包。
ip.src!
=10.1.2.3orip.dst!
=10.4.5.6显示来源不为10.1.2.3或者目的不为10.4.5.6的封包。
换句话说,显示的封包将会为:
来源IP:
除了10.1.2.3以外任意;目的IP:
任意以及来源IP:
任意;目的IP:
除了10.4.5.6以外任意ip.src!
=10.1.2.3andip.dst!
=10.4.5.6显示来源不为10.1.2.3并且目的IP不为10.4.5.6的封包。
换句话说,显示的封包将会为:
来源IP:
除了10.1.2.3以外任意;同时须满足,目的IP:
除了10.4.5.6以外任意tcp.port=25显示来源或目的TCP端口号为25的封包。
tcp.dstport=25显示目的TCP端口号为25的封包。
tcp.flags显示包含TCP标志的封包。
tcp.flags.syn=0x02显示包含TCPSYN标志的封包。
注意:
如果过滤器的语法是正确的,表达式的背景呈绿色。
如果呈红色,说明表达式有误。
表达式错误,表达式正确,实例一,ip.addr=10.100.106.201&oicq说明:
源地址和目的地址为10.100.106.201并且协议为OICQ的所有数据包,(tcp.port=80|udp.port=80)&ip.addr=10.100.106.201说明:
源地址和目的地址为10.100.106.201并且端口为80的所有数据包,ip.addr=10.100.106.201&http说明:
源地址和目的地址为10.100.106.201并且协议为HTTP的所有数据包,统计工具,Summary(显示摘要信息),在综合窗口里可以看到全局的统计信息:
-保存捕捉结果的文件-捕捉时间-捕捉过滤器的信息。
-显示过滤器的信息。
ProtocolHierarchy(协议类型和层次结构),协议层:
显示按照OSIlayer分类后的统计数据。
Conversations(会话),Ethernet会话:
每种协议后面会有一个数字,这个数字表示的是使用这种协议的会话总数。
例如:
Ethernet:
45。
会话如果您使用的是TCP/IP协议或者基于此技术的应用,那么这一页将会有四个标签:
Ethernet,IP,TCP以及UDP。
“会话”是指两台主机之间进行的交互。
IP会话:
TCP会话:
Endpoints(节点),这一项提供了每个节点接收和发送数据的统计信息。
PacketLengths(包长度),IOGraphs(输入输出图),
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- WireShark 教程 详解 PPT
![提示](https://static.bingdoc.com/images/bang_tan.gif)