WireShark操作入门
软件界面基本操作
查找Ctrl+F
标记报文Ctrl+M或右键菜单
时间显示格式
相对时间设置Ctrl+T
捕获选项Ctrl+K:Capture–>Option
数据捕获环境参数设置
名字解析
- 类型
MAC地址解析(Resolve MAC address):MAC转换成IP
网络层名字解析(Resolve network-layer names):IP转换成DNS名称(网址)
传输层名字解析(Resolve transport-layer names):将端口转换成协议
使用外部网络名称解析器(Use external network name resolver) - 弊端
解析可能失败
打开捕获文件都要重新解析一遍
解析DNS名字会产生额外流量
解析过程占用系统资源
协议解析
右键点击数据包,选择Decode As,创建强制解码器,比如可以强制将80端口解析成FTP协议,点击Clear可强制清除解码器/
过滤器
- ==捕捉过滤器(CaptureFilters)==用于决定将什么样的信息记录在捕捉结果中,需要在开始捕捉前设置.
6种比较运算符:
| 英文写法: | C语言写法: | 含义: |
|---|---|---|
| eq | == | 等于 |
| ne | != | 不等于 |
| gt | > | 大于 |
| lt | < | 小于 |
| ge | >= | 大于等于 |
| le | <= | 小于等于 |
4种逻辑运算符:
| 英文写法: | C语言写法: | 含义: |
|---|---|---|
| and | && | 逻辑与 |
| or | II | 逻辑或 |
| xor | ^^ | 逻辑异或 |
| not | ! | 逻辑非 |
捕获过滤器表达式
| 表达式 | 说明 |
|---|---|
| src 192.168.0.10 && port 80 | 捕获源地址是192.168.0.10和源端口或目标端口是80的流量 |
| host testserver2 | 捕获某个主机名的计算机的流量 |
| ether host 00-1a-a0-52-e2-a0 | 捕获某个MAC地址的计算机流量 |
| src host 172.16.16.149 | 捕获来自某台计算机的流量 |
| dst host 172.16.16.149 | 捕获前往某台计算机的流量 |
| port 8080 | 捕获指定端口的流量 |
| !port 8080 | 捕获除指定端口以外的所有流量 |
| dst port 80 | 捕获前往监听http 80端口的流量 |
| icmp | 捕获指定协议的流量 |
| !ip6 | 捕获排除ipv6的流量 |
| icmp[0]-3 | 捕获偏移量为0值为3(目标不可达)的icmp数据包流量 |
| icmp[0]==8 or icmp[0]==0 | 捕获代表echo请求(类型8)或echo恢复(类型0)的icmp数据包流量 |
| icmp[0:2]==0x0301 | 捕获以类型3代码1表示的目标不可达,主机不可达的icmp数据包流量 |
| broadcast | 捕获广播流量 |
| udp | 捕获udp流量 |
- ==显示过滤器(DisplayFilters)==在捕捉结果中进行详细查找.它们可以在得到捕捉结果后随意修改.
设置自带的过滤表达式来显示数据:
比较操作符:
| 操作符 | 说明 |
|---|---|
| == | 等于 |
| != | 不等于 |
| > | 大于 |
| < | 小于 |
| <= | 小于或等于 |
| >= | 大于或等于 |
逻辑操作符:
| 操作符 | 说明 |
|---|---|
| and | 两个条件需要同时满足 |
| or | 其中一个条件被满足 |
| xor | 有且仅有一个条件被满足 |
| not | 没有条件被满足 |
区别:
捕捉过滤器是数据经过的第一层过滤器,它用于控制捕捉数据的数量,以避免产生过大的日志文件.
显示过滤器是一种更为强大(复杂)的过滤器.它允许您在日志文件中迅速准确找到所需要的记录.
流量分析和图形化功能
统计每个端点(Endpoint)的发送或收到的数据包的数量和字节数.
网络端点是在特定的协议层的通信的逻辑端点.
Ethernet以太网端点是以以太网MAC地址
IPV4端点是IP地址
TCP端点由IP地址和TCP端口组成,同样的IP地址加上不同的端口号,表示的是不同的TCP端点
UDP端点是由IP地址和UDP端口组成,不同的UDP地址用同一个IP地址表示不同的UDP端点
分析工具使用
网络会话Conversations
一个网络会话,指的是两个特定端点之间发生的通信.例如:一个IP会话是指两个IP地址间的所有通信.
协议分层
数据包长度分析
跟踪TCP流
处理TCP协议时,想查看TCP流中的应用层数据,"Following TCP streams"功能将会很有用,如想查看telnet流中的密码,或者想尝试弄明白一个数据流,或者仅仅只需要一个显示过滤来显示某个TCP流的包,都可以通过此功能实现.
Follow TCP Stream会装入一个过滤来选择你已经选择的TCP流的所有包.
查看IO图
通过选择X轴(数据包间隔时间),Y轴(数据包数量上限)来调整现实的IO图形:
RTT时间图
基于两个端口间TCP连接对话,确认数据包已被成功接收所需的时间,可与对话统计配合使用.
数据流图
连接可视化,将一段时间中的数据流显示出来,配合对话统计实用,可查看两端点间的数据流.
专家分析信息
数据包分析