当前位置：文档库 › Wireshark初级入门教程

Wireshark初级入门教程

第 1 章介绍

1.1. 啥是Wireshark

Wireshark 是网络包剖析东西。网络包剖析东西的首要效果是测验捕获网络包，并测验显现包的尽能够具体的状况。

你能够把网络包剖析东西当成是一种用来丈量有啥东西从网线上进出的丈量东西，就好像使电工用来丈量进入电信的电量的电度表相同。(当然比那个更高档)

曩昔的此类东西要么是过于贵重，要么是归于或人私有，或许是二者统筹。Wireshark https://www.wendangku.net/doc/e46545516.html,呈现今后，这种现状得以改动。

Wireshark能够算得上是今天能运用的最佳的开元网络剖析软件。

1.1.1. 首要运用

下面是Wireshark一些运用的举例：

·网络办理员用来处置网络疑问

·网络安全工程师用来检测安全隐患

·开发人员用来测验协议履行状况

·用来学习网络协议

除了上面说到的，Wireshark还能够用在其它许多场合。

1.1.

2. 特性

·撑持UNIX和Windows渠道

·在接口实时捕捉包

·能具体显现包的具体协议信息

·能够翻开/保管捕捉的包

·能够导入导出其他捕捉程序撑持的包数据格局

·能够经过多种办法过滤包

·多种办法查找包

·经过过滤以多种颜色显现包

·创立多种计算剖析

· …还有许多

不管怎样说，要想真实晓得它的强壮，您还得运用它才行

图 1.1. Wireshark捕捉包并答应您检视其内

1.1.4. 撑持多种其它程序捕捉的文件

Wireshark能够翻开多种网络剖析软件捕捉的包，详见???

1.1.5. 撑持多格局输出

Wieshark能够将捕捉文件输出为多种其他捕捉软件撑持的格局，详见???

1.1.6. 对多种协议解码供给撑持

能够撑持许多协议的解码(在Wireshark中能够被称为解剖)???

1.1.7. 开源软件

Wireshark是开源软件项目，用GPL协议发行。您能够免费在恣意数量的机器上运用它，不用忧虑授权和付费疑问，一切的源代码在GPL框架下都能够免费运用。由于以上缘由，咱们能够很简单在Wireshark上增加新的协议，或许将其作为插件结合到您的程序里，这种运用非常广泛。

1.1.8. Wireshark不能做的事

Wireshark不能供给如下功用

·Wireshark不是侵略检测体系。若是他/她在您的网络做了一些他/她们不被答应的新鲜的作业，Wireshark不会正告您。可是若是发作了新鲜的作业，Wireshark能够对观察发作了啥会有所协助。[3]

· Wireshark不会处置网络业务，它仅仅是“丈量”(监督)网络。Wireshark不会发送网络包或做其它交互性的作业(称号解析在外，但您也能够制止解析)。

1.2. 系通需求

想要装置运转Wireshark需求具有的软硬件条件...

1.4. Wiresahrk简史[6]

1997年今后，Gerald Combs 需求一个东西追寻网络疑问并想学习网络常识。所以他开端开发Ethereal (Wireshark项目曾经的称号) 以处置以上的两个需求。

Ethereal是榜首版，经过数次开发，中止，1998年，经过这么长的时刻，补丁，Bug陈述，以及许多的鼓舞，0.2.0版诞生了。Ethereal即是以这种办法成功的。

尔后不久，Gilbert Ramirez发现它的潜力，并为其供给了底层剖析

1998年10月，Guy Harris正寻觅一种比TcpView https://www.wendangku.net/doc/e46545516.html, 非常好的东西，他开端为Ethereal进行改善，并供给剖析。

998年今后，正在进行TCP/IP教育的Richard Sharpe 重视了它在这些课程中的效果。并开端研讨该软件是不是他所需求的协议。若是不可，新协议撑持大概很便利被增加。所以他开端从事Ethereal的剖析及改善。

从那今后，协助Ethereal的人越来越多，他们的开端简直都是由于一些尚不被Ethereal撑持的协议。所以他们仿制了已有的解析器，并为团队供给了改善回馈。

2006年项目Moved House(这句不晓得怎样翻译)偏从头命名为：Wireshark.

1.5. Wireshark开发保护

Wireshark开端由Gerald Combs开发。当时由Wireshark team进行进一步开发和保护。Wireshark https://www.wendangku.net/doc/e46545516.html, team是一个由修补bug进步Wireshark 功用的独立成员组成的松懈安排。

有许多的成员为Wireshark供给协议剖析。一起咱们也期望这些活动能继续机芯。经过查看Wireshark协助菜单下的About,你能够找到为Wireshark供给代码的人员名单，或许你也能够经过Wireshark 网站的authors页面找到。

Wireshark 是开源软件项目，发布遵从GNU General Public Licence (GPL协议),一切源代码能够在GPL框架下免费运用。欢迎您批改Wireshark以便适宜您的需求，若是您能够供给您的改善给Wireshark team ，咱们将不胜感激。

1.6. 陈述疑问和取得协助

若是您在运用中碰到了疑问，或许您需求Wireshark的协助，有以下几种能够让您有爱好的办法(当然，还包含这本书)。

最佳的作业是，若是对某些常识有独到见解(比方您通晓某种协议)，您能够经过阅读器批改它。

1.6.3. FAQ

最经常被问到的疑问“Frequently Asked Questions”供给一个经常被问到的疑问以及答案的列表。

Read The FAQ

在您发送任何邮件到邮件列表之前，坚信您现已阅览了FAQ，由于这里边很能够现已供给了您想问的疑问，答案。这将大大节省您的时刻(记住，有许多

人提交了许多的邮件)。

1.6.4. 邮件列表

下面的几个几个邮件列表，别离归于不相同的主题：

Wireshark-users

这是一个Wireshark用户的列表，咱们提交关于装置和运用Wireshark的疑问，其它人(非常有用)供给的答案。(译者注：其他人当然也是指用户?) wireshark-announce

这是一个关于程序发布信息的列表，通常每4-8周呈现一次。

wireshark-dev

提示

你能够查找存档看看有没有人问过跟你相同的疑问，或许您的疑问现已有了答案。这样您就不用提交邮件以等候他人答复您了。

1.6.5. 陈述疑问

注意

在您提交任何疑问之前，请断定您装置的是最新版别的Wireshark。

当您提交疑问的时分，若是您供给如下信息将会对处置疑问很有协助。

1. Wireshark的版别，及其依靠的库的版别，如GTK+，等等。你能够经过Wireshark –v指令取得版别号。(估量是UNIX/Linux渠道)。

2. 运转Wireshark的渠道信息。

3. 关于疑问的具体描绘。

4. 若是您得到过错或许正告信息，仿制过错信息的文本(以及在此之前或之后的文本，若是有的话)，这样其他人能够会发现发作疑问的当地。请不要发送比方：“I got a warning while doing x” *7+，由于这样看起来不是个好主意。

不要发送大文件

不要发送过大的文件(>100KB)到邮件列表，在邮件中附加一个能供给满足数据的记事本就能够。大文件会让许多邮件列表里的那些对您的疑问不感爱好的用户感到恼怒。若是需求，你能够独自发送那些数据给对您疑问真实感爱好，需求您发送数据的人。

不要发送秘要信息!

若是您发送捕捉数据到邮件列表，请断定它们不包含灵敏或许秘要信息，比方暗码或许比方此类的。

1.6.6. 在UNIX/Linux渠道追寻软件过错

若是您发送捕捉数据到邮件列表，请断定它们不包含灵敏或许秘要信息，比方暗码或许比方此类的。

你能够经过如下指令取得追寻信息：

$ gdb `whereis wireshark | cut -f2 -d: | cut -d' ' -f2` core >&bt.txt

backtrace

注意

在逐字输入榜首行的字符![ href="#ftn.d0e632" 8]

注意

追寻是一个GDB指令。你能够在输完榜首上今后输入它，可是会没有相应，^D指令(CTL+D)将会退出GDB指令。以上指令让你在当时目录得到一个名为bt.txt的文本文件，它包含您的bug陈述。

注意

若是您短少GDB，您有必要查看您的操作体系的调试器。

1.6.7. 在Windows渠道追寻软件过错

Windows下无法包含符号文件(.pdb),它们非常大。因而不太能够创立非常有含义的追寻文件。你将陈述软件过错就像前面描绘的其他疑问相同。(这句不尽人意)

[3] 译者注：由于不是侵略检测之用，所以不会将侵略检测和通常通讯区别对待，可是都会体如今网络包里边，若是您有满足的经历，或许能经过监督网络包发现侵略检测

[4] 译者注：原文“The values below are the minimum requirements and only "rules of thumb" for use on a moderately used network”，其间”rules of thumb”中译名大概是拇指规矩，但网上关于拇指规矩解说无所适从，大致意思是说：大多数状况下适用，但并非一切状况。这里翻译的有点别扭

[5] 译者注：我对这句话的晓得是，正如播放电影相同，高性能的处置器只会增强显现效果，您并不需求将本来30分钟的影片10分钟之内看完。当然，对削减延时仍是有效果的。可是感受这句有点阅览艰难，能够翻译的有点疑问.

[6] 本段由于有许多协议，程序开发方面的术语，翻译得比拟蹩脚

[7] 译者注：那句话的意思是，我在XX时碰到一个正告信息

[8] 译者注：原文是："Type the characters in the first line verbatim! Those are back-tics there!",Those are back-tics there!不晓得是啥意思，back-tics=后勤抽搐?晓得Linux的或许晓得

第 2 章编译/装置Wireshark

2.1. 须知

万事皆有最初，Wireshark也相同如此。要想运用Wireshark，你有必要：

·取得一个适宜您操作体系的二进制包，或许

·取得源文件为您的操作体系编译。

当时，只需两到三种Linux发行版能够传送Wireshark，而且通常传输的都是过期的版别。至今没有有UNIX版别能够传输Wireshark . Windows的任何版别都不能传输Wireshark.依据以上缘由，你需求晓得从哪能得到最新版别的Wireshark以及怎么装置它。

本章节向您展现怎么取得源文件和二进制包，怎么依据你的需求编译Wireshark源文件。

以下是通常的进程：

1. 下载需求的相关包，例如：源文件或许二进制发行版。

2. 将源文件编译成二进制包(若是您下载的是源文件的话)。这样做做能够结合编译和/或装置其他需求的包。

3. 装置二进制包到最终方针方位。

下载一切需求的文件!

通常来说，除非您现已下载Wireshark,若是您想编译Wireshark源文件，您能够需求下载多个包。这些在后边章节会说到。

注意

当你发如今网站上有多个二进制发行版可用，您大概挑选适宜您渠道的版别，他们一起通常会有多个版别紧跟在当时版别后边，那些通常时具有那些渠道的用户编译的。

依据以上缘由，您能够想自个下载源文件自个编译，由于这样相对便利一点。

2.3. 在UNIX下装置之前

在编译或许装置二进制发行版之前，您有必要断定现已装置如下包：

依据您操作体系的不相同，您或许能够装置二进制包，如RPMs.或许您需求取得源文件并编译它。

若是您现已下载了GTK+源文件，例 2.1 “从源文件编译GTK+”供给的指令对您编译有所协助。

例 2.1. 从源文件编译GTK+

注意

您能够需求批改例 2.1 “从源文件编译GTK+”中供给的版别号成对应您下载的GTK+版别。若是GTK的目录发作改动，您相同需求批改它。，tar xvf 显现您需求批改的目录。

注意

若是您运用Linux,或许装置了GUN tar，您能够运用tar zxvfgtk+-1.2.10.tar.gz指令。相同也能够运用gunzip –c或许gzcat而不是许多UNIX中的gzip –dc 注意

若是您在windows中下载了gtk+ 或许其他文件。您的文件能够称号为：gtk+-1_2_8_tar.gz

若是在履行例 2.1 “从源文件编译GTK+”中的指令时有过错发作的话，你能够征询GTK+网站。

若是您现已下载了libpcap源，通常指令如例 2.2 “编译、装置libpcap” 显现的那样会帮您完结编译。相同，若是您的操作体系不撑持tcpdump,您能够从tcpdump网站下载装置它。

例 2.2. 编译、装置libpcap

注意

Libpcap的目录需求依据您的版别进行批改。tar xvf指令显现您解压缩的目录。

RedHat 6.x及其以上版别环境下(包含依据它的发行版，如Mandrake),您能够直接运转RPM装置一切的包。大多数状况下的Linux需求装置GTK+和Glib.反过来说，你能够需求装置一切包的定制版。装置指令能够参阅例 2.3 “在RedHat Linux 6.2或许依据该版别得发行版下装置需求的RPM包”。若是您还没有装置，您能够需求装置需求的RPMs。

例 2.3. 在RedHat Linux 6.2或许依据该版别得发行版下装置需求的RPM包

rpm -ivh libpcap-0.4-19.i386.rpm

注意

若是您运用RedHat 6.2之后的版别，需求的RMPs包能够现已改动。您需求运用正确的RMPs包。

在Debian下您能够运用apt-ge指令。apt-get 将会为您完结一切的操作。拜见例 2.4 “在Deban下装置Deb”

例 2.4. 在Deban下装置Deb

apt-get install wireshark-dev

2.4. 在UNIX下编译Wireshark

若是在Unix操作体系下能够用如下进程编译Wireshark源代码：

1. 若是运用Linux则解压gzip'd tar文件,若是您运用UNIX，则解压GUN tar文件。关于Linux指令如下：

注意

若是您在Windows下下载了Wireshark,你会发现文件名中的那些点变成了下划线。

3. 装备您的源文件以编译成适宜您的Unix的版别。指令如下：

./configure

若是找个进程提示过错，您需求批改过错，然后从头configure.处置编译过错能够参阅第 2.6 节“处置UNIX下装置进程中的疑问”

4. 运用make指令将源文件编译成二进制包，例如：

make

5. 装置您编译好的二进制包到最终方针，运用如下指令：

make install

一旦您运用make install装置了Wireshark,您就能够经过输入Wireshark指令来运转它了。

2.5. 在UNIX下装置二进制包

通常来说，在您的UNIX下装置二进制发行包运用的办法依据您的UNIX的版别类型而各有不相同。例如AIX下，您能够运用smit装置，Tru64 UNIX您能够运用setld 指令。

2.5.1. 在Linux或相似环境下装置RPM包

运用如下指令装置Wireshark RPM包

rpm -ivh wireshark-0.99.5.i386.rpm

若是由于短少Wireshark依靠的软件而致使装置过错，请先装置依靠的软件，然后再测验装置。REDHAT下依靠的软件请参阅例 2.3 “在RedHat Linux 6.2或许依据该版别得发行版下装置需求的RPM包”

2.5.2. 在Debian环境下装置Deb包

运用下列指令在Debian下装置Wireshark

apt-get install Wireshark

apt-get 会为您完结一切的相关操作

2.5.

3. 在Gentoo Linux环境下装置Portage

运用如下指令在Gentoo Linux下装置wireshark以及一切的需求的附加文件

2.5.4. 在FreeBSD环境下装置包

运用如下指令在FreeBSD下装置Wireshark

pkg_add -r wireshark

pkg_add会为您完结一切的相关操作

2.6. 处置UNIX下装置进程中的疑问[10]

装置进程中能够会遇到一些过错信息。这里给出一些过错的处置办法：

若是configure那一步发作过错。你需求找出过错的缘由，您能够查看日志文件config.log(在源文件目录下)，看看都发作了哪些过错。有价值的信息通常在最终几行。

通常缘由是由于您短少GTK+环境，或许您的GTK+版别过低。configure过错的另一个缘由是由于由于短少libpcap(这即是前面说到的捕捉包的东西)。

若是您无法检测出过错缘由。发送邮件到wireshark-dev阐明您的疑问。当然，邮件里要附上config.log以及其他您以为对处置疑问有协助的东西，例如make进程的追寻。

2.8. 在Windows下装置Wireshark

本节将讨论在Windows下装置Wireshark二进制包。

提示：尽量坚持默许设置

若是您不晓得设置的效果的话。

挑选组件[11]

2.8.

3. 更新Wireshark

有时分您能够想将您的WinPcap更新到最新版别，若是您订阅了Wireshark告诉邮件，您将会取得Wireshark新版别发布的告诉，见第 1.6.4 节“邮件列表”

。

新版诞生通常需求8-12周。更新Wireshark即是装置一下新版别。下载并装置它就能够。更新通常不需求从头发动，也不会更改曩昔的默许设置

2.8.4. 更新WinPcap

WinPcap的更新不是非常频频，通常一年左右。新版别呈现的时分您会收到WinPcap的告诉。更新WinPcap后需求从头发动。

正告

在装置新版WinPcap之前，若是您现已装置了旧版WinPcap,您有必要先卸载它。近来版别的WinPcap装置时会自个卸载旧版。

2.8.5. 卸载Wireshark

你能够用常见办法卸载Wireshark,运用增加/删除程序，挑选”Wireshark”选项开端卸载即可。

Wireshark卸载进程中会供给一些选项供您挑选卸载哪些有些，默许是卸载中心组件，但保管自个设置和WinPcap.

WinPcap默许不会被卸载，由于其他相似Wireshark的程序有能够相同适用WinPcap

2.8.6. 卸载WinPcap

你能够独自卸载WinPcap,在增加/删除程序挑选”WinPcap”卸载它。

注意

卸载WinPcap之后您将不能运用Wireshark捕捉包。

在卸载完结之后最佳从头发动计算机。

[9] 译者注：看到他人翻译Pipelin之类的，好像即是叫管道，不晓得是不是精确

[10] 译者注：自个不晓得UNIX/LINUX，这一段翻译的有点云里雾里，能够咱们经过这有些想装置Wireshark会拔苗助长，那就对不住了。下面自个说一下UNIX/LINUX下装置办法。UNIX/LINUX下装置时，有两种装置办法，1是下载源码包自个编译，这种办法的优点是由于下载源码包是单一的，能够自行加以批改，编译即是适宜自个渠道的了。2、是运用现已做好的发行包直接装置，这种办法的优点是只需下载到跟自个渠道对应的就能够，但缺陷也在这里，不是每个渠道都能找到适宜的。不管是编译装置，仍是运用发行包装置，都需求有一些有些根本根本撑持。比方Linux下的GTK+撑持，捕捉包时需求用的libpcap. 这一点能够参阅第 2.3 节“在UNIX下装置之前”。编译的通常进程是解压，编译，装置(tar zxvf Wireshark-0.99.5-tar.gz;make;make install).直接装置则是依据各自渠道装置的特色。

[11] 涉及到过多的名次，软件又没有中文版，这里及今后尽量不翻译称号

第 3 章用户界面

3.1. 须知

如今您现已装置好了Wireshark,简直能够立刻捕捉您的一个包。紧接着的这一节咱们将会介绍：

· Wireshark的用户界面怎么运用

·怎么捕捉包

·怎么查看包

·怎么过滤包

· ……以及其他的一些作业。

3.2. 发动Wireshark

你能够运用Shell指令行或许资源办理器发动Wireshark.

提示

开端Wireshark时您能够指定恰当的参数。拜见第9.2 节“从指令行发动Wireshark”

注意

在后边的章节中，将会呈现许多的截图，由于Wireshark运转在多个渠道，而且撑持多个GUI Toolkit(GTK1.x/2x),您的屏幕上显现的界面能够与截图不尽符合。但在功用上不会有实质性区别。虽然有这些区别，也不会致使晓得上的艰难。

注意

主界面的三个面版以及各组成有些能够自定义安排办法。见第9.5 节“首选项”

3.3.1. 主窗口概述

Packet list和Detail 面版操控能够经过快捷键进行。表 3.1 “导航快捷键”显现了相关的快捷键列表。表 3.5 “"GO"菜单项”有关于快捷键的更多介绍表 3.1. 导航快捷键

快捷键描绘

3.4. 主菜单

Wireshark主菜单坐落Wireshark窗口的最上方。图 3.2 “主菜单”供给了菜单的根本界面。

图 3.2. 主菜单

主菜单包含以下几个项目:

File

包含翻开、兼并捕捉文件，save/保管,Print/打印,Export/导出捕捉文件的悉数或有些。以及退出Wireshark项.见第 3.5 节“"File"菜单”

Edit

包含如下项目：查找包，时刻参阅，符号一个多个包，设置预设参数。(剪切，仿制，张贴不能当即履行。)见第 3.6 节“"Edit"菜单”

View

操控捕捉数据的显现办法，包含颜色，字体缩放，将包显如今别离的窗口，翻开或缩短概况面版的地树状节点，……见第 3.7 节“"View"菜单”

包含到指定包的功用。见第 3.8 节“"Go"菜单”

Capture

答应您开端或中止捕捉、批改过滤器。见第 3.9 节“"Capture"菜单”

Analyze

包含处置显现过滤，答应或制止剖析协议，装备用户指定解码和追寻TCP流等功用。见第 3.10 节“"Analyze"菜单”

Statistics

包含的菜单项用户显现多个计算窗口，包含关于捕捉包的摘要，协议层次计算等等。见第 3.11 节“"Statistics"菜单”

Help

包含一些辅佐用户的参阅内容。如拜访一些根本的协助文件，撑持的协议列表，用户手册。在线拜访一些网站，“关于”等等。见第 3.12 节“"Help"菜单”

本章衔接介绍菜单的通常状况，更具体的介绍会呈如今后续章节。

提示

你能够直接点击拜访菜单项，也能够运用热键，热键显如今菜单文字描绘有些。例如：您能够运用CTR+K翻开捕捉对话框。

3.5. "File"菜单

WireSharkFile菜单包含的项目如表表 3.2 “File菜单介绍”所示

保管文件为"对话框”

3.6. "Edit"菜单

Wireshark的"Edit"菜单包含的项目见表 3.3 “Edit菜单项”

图 3.4. "Edit"菜单

表 3.3. Edit菜单项

菜单项快捷键描绘

3.7. "View"菜单

表 3.4 “"View"菜单项”显现了Wireshar View菜单的选项

图 3.5. "View"菜单

表 3.4. "View"菜单项

HelpHelp/Contents翻开协助对话框

3.1

4. "Filter"东西栏

过滤东西栏用于批改或显现过滤器，更多概况见第 6.3 节“阅读时过滤包”

图 3.12. 过滤东西栏

表 3.11.

东西栏图标东西栏项阐明

过滤翻开构建过滤器对话框,见第 6.7 节“查找包”* href="#ftn.d0e2932" a+

过滤输入框在此区域输入或批改显现的过滤字符，见第 6.4 节“树立显现过滤表达式”,在输入进程中会进行语法查看。若是您输入的格局不正确，或许未输入完结，则布景显现为赤色。直到您输入合法的表达式，布景会变为绿色。你能够点击下拉列表挑选您从前键入的过滤字符。列表会一向保管，即便您从头发动程序。

注意

做完批改之后，记住点击右边的Apply(运用)按钮，或许回车，以使过滤收效。

注意

输入框的内容一起也是当时过滤器的内容(当时过滤器的内容会反映在输入框)

表达式...标签为表达式的按钮翻开一个对话框用以从协议字段列表中批改过滤器，详见第 6.5 节““Filter Expression/过滤表达式”对话框”

铲除重置当时过滤器，铲除输入框

运用运用当时输入框的表达式为过滤器进行过滤

注意

在大文件里运用显现过滤能够要很长时刻

[ href="#d0e2932" a] 我看到的Filter按钮形似没有图标，能够只呈如今0.99.4版中

3.15. "Pcaket List"面板

Packet list/包列表面板显现一切当时捕捉的包

图 3.13. "Packet list/包列表"面板

列表中的每行显现捕捉文件的一个包。若是您挑选其间一行，该包得更多状况会显如今"Packet Detail/包概况"，"Packet Byte/包字节"面板

在剖析(解剖)包时，Wireshark会将协议信息放到各个列。由于高层协议通常会掩盖底层协议，您通常在包列表面板看到的都是每个包的最高层协议描绘。

例如：让咱们看看一个包含TCP包,IP包,和一个以太网包。在以太网(链路层?)包中解析的数据(比方以太网地址)，在IP剖析中会掩盖为它自个的内容(比方IP地址)，在TCP剖析中会掩盖IP信息。

包列表面板有许多列可供挑选。需求显现哪些列能够在首选项中进行设置，见第9.5 节“首选项”

默许的列如下

· No. 包的编号，编号不会发作改动，即便进行了过滤也相同如此

· Time 包的时刻戳。包时刻戳的格局能够自行设置，见第 6.10 节“时刻显现格局及参阅时刻”

· Source 显现包的源地址。

· Destination 显现包的方针地址。

· Protocal 显现包的协议类型的简写

· Info 包内容的附加信息

右击包，能够显现对包进行相关操作的上下文菜单。见第 6.3 节“阅读时过滤包”

3.16. "Packet Details"面板

"Packet Details/包概况"面板显现当时包(在包列表面板被选中的包)的概况列表。

图 3.14. "Packet Details/包概况"面板

该面板显现包列表面板选中包的协议及协议字段，协议及字段以树状办法安排。你能够翻开或折叠它们。

右击它们会取得相关的上下文菜单。见第 6.4 节“树立显现过滤表达式”

提示

若是你不晓得各项设置的含义，主张坚持默许。

你能够用对话框中的如下字段进行设置

指定捕捉进程中，每个包的最大字节数。在某些当地被称为。"snaplen".[14]若是制止该选项，默许值为65535，这适用于大多数协议，下面是一些大多数状况下都适用的规矩(这里又呈现了拇指规矩，榜首章，体系需求时说到过。这里姑且翻译作普适而非肯定的规矩))

·若是你不断定，尽量坚持默许值

·若是你不需求包中的一切数据。例如：若是您仅需求链路层、IP和TCP包头，您能够想要挑选一个较小的快照长度。这样只需求较少的cpu占用时刻用于仿制包，包需求的缓存也较少。如此在繁忙网络中捕捉时丢掉的包也能够会相应少一点。

·若是你没有捕捉包中的一切数据(适用snpaplen堵截了包)，你能够会发现有时分你想要的包中的数据有些被堵截丢掉了。或许由于短少重要的有些，想对某些包进行重组而发现失利。

4.5.3. 中止捕捉桢

在到达指定时刻后中止捕捉

4.6. 捕捉文件格局、形式设置

在捕捉时，libpcap 捕捉引擎(linux环境下)会抓取来自网卡的包存放在(相对来说)较小的中心缓存内。这些数据由Wireshark读取并保管到用户指定的捕捉文件中。

保管包数据到捕捉文件时，可采用区别形式操作。

提示

处置大文件(数百兆)将会变得非常慢。若是你方案进行长时刻捕捉，或许处于一个高吞吐量的网络中，思考运用前面说到的"Multiple files/多文件"选项。该选项能够将捕捉包分割为多个小文件。这样能够更适宜上述环境。

注意

运用多文件能够会堵截上下文相关信息。Wireshark保管载入包的上下文信息，所以它会陈述上下文相关疑问(例如流疑问)和相关上下文协议信息(例如：何处数据发生树立期间，有必要查找后续包)。这些信息仅能在载入文件中显现，运用多文件形式能够会堵截这样的上下文。若是树立衔接期间现已保管在一个文件中，你想要看的在另一个文件中，你能够无法看到可用的上下文相关信息。

该形式能够约束最大磁盘空间运用量，即便未约束捕捉数据输入，也只能保管最终几个捕捉数据。

4.9.2. 从头发动捕捉

运转中的捕捉进程能够被从头发动。这将会移出前次捕捉的一切包。若是你捕捉到一些你不感爱好的包，你不想保管它，这个功用非常有用。

从头发动是一项便利的功用，相似于中止捕捉后，在很短的时刻内当即开端捕捉。以下两种办法能够完成从头发动捕捉:

第 5 章文件输入/输出及打印

5.1. 阐明

本章将介绍捕捉数据的输入输出。

·翻开/导入多种格局的捕捉文件

·保管/导出多种格局的捕捉文件

·兼并捕捉文件

·打印包

别tmd的厌恶。)

注意

在对颜色规矩进行排序(然后运用时)需求注意：他们是按自上而下的次序运用的。因而，特定的协议大概排在通常的协议的前面(高层协议大概排在底层协议之前)。例如：若是你将UDP协议排在DNS之前，那么DNS颜色规矩就不会被运用(由于DNS运用UDP协议，UDP颜色规矩首要被匹配。译者注：这里有点像netscreen防火墙规矩，从上而下匹配，匹配了榜首个规矩今后就不会问询后续规矩了。)

若是你榜首次运用颜色规矩，点击“NEW”按钮翻开颜色过滤批改对话框，如???所示：

图9.2. "Edit Color Filter"

在批改颜色对话框，输入颜色过滤器称号，然后在String输入框输入过滤字符串。???显现的是arp,arp表明过滤器名为arp,string填的arp表明挑选的协议类型是arp。输入这些值今后，你能够挑选前风光和配风光匹配这个过滤表达式。点击Foreground color... /前风光或许Background color.../布风光按钮就会弹出Choose foreground/background color for protocol对话框(见图9.3 “"Choose color"对话框”)，进行前风光、布风光设置了。

图9.3. "Choose color"对话框

挑选你需求的颜色，点击OK

Wireshark的许多参数能够进行设置。挑选"Edit"菜单的"Preferences..."项，翻开Preferences对话框即可进行设置。如???所示:默许"User interface"是榜首个页面。点击左侧的树状列表中的项目能够翻开对应的页面。

正告

OK和Apply按钮不会保管设置，你有必要点击Save按钮保管设置。

· OK 运用参数设置，封闭对话框

· Apply 运用参数设置，不封闭对话框

· Save 运用参数设置，保管参数设置到硬盘，而且坚持对话框翻开

· Cancel 重置一切参数设置到最终一次保管状况。

图9.8. preferences对话框

9.6. 用户表表[21]

用户表批改器是用来办理各种用户自定义参数表。它的主对话框操作办法相似于第9.3 节“包颜色显现设置”

Wireshark使用教程详解,带实例

Wireshark教程带实例第 1 章介绍 1.1. 什么是Wireshark Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具，就好像使电工用来测量进入电信的电量的电度表一样。（当然比那个更高级）过去的此类工具要么是过于昂贵，要么是属于某人私有，或者是二者兼顾。 Wireshark出现以后，这种现状得以改变。Wireshark可能算得上是今天能使用的最好的开元网络分析软件。 1.1.1. 主要应用下面是Wireshark一些应用的举例： ?网络管理员用来解决网络问题 ?网络安全工程师用来检测安全隐患 ?开发人员用来测试协议执行情况 ?用来学习网络协议除了上面提到的，Wireshark还可以用在其它许多场合。 1.1. 2. 特性 ?支持UNIX和Windows平台 ?在接口实时捕捉包 ?能详细显示包的详细协议信息 ?可以打开/保存捕捉的包 ?可以导入导出其他捕捉程序支持的包数据格式 ?可以通过多种方式过滤包 ?多种方式查找包 ?通过过滤以多种色彩显示包 ?创建多种统计分析 ?…还有许多不管怎么说，要想真正了解它的强大，您还得使用它才行

图 1.1. Wireshark捕捉包并允许您检视其内 1.1.3. 捕捉多种网络接口 Wireshark 可以捕捉多种网络接口类型的包，哪怕是无线局域网接口。想了解支持的所有网络接口类型，可以在我们的网站上找到https://www.wendangku.net/doc/e46545516.html,/CaptureSetup/NetworkMedia. 1.1.4. 支持多种其它程序捕捉的文件 Wireshark可以打开多种网络分析软件捕捉的包，详见??? 1.1.5. 支持多格式输出 Wieshark可以将捕捉文件输出为多种其他捕捉软件支持的格式，详见??? 1.1.6. 对多种协议解码提供支持可以支持许多协议的解码(在Wireshark中可能被称为解剖)??? 1.1.7. 开源软件 Wireshark是开源软件项目，用GPL协议发行。您可以免费在任意数量的机器上使用它，不用担心授权和付费问题，所有的源代码在GPL框架下都可以免费使用。因为以上原因，人们可以很容易在Wireshark上添加新的协议，或者将其作为插件整合到您的程序里，这种应用十分广泛。 1.1.8. Wireshark不能做的事 Wireshark不能提供如下功能 ?Wireshark不是入侵检测系统。如果他/她在您的网络做了一些他/她们不被允许的奇怪的事情，Wireshark不会警告您。但是如果发生了奇怪的事情，Wireshark可能对察看发生了什么会有所帮助。[3]?Wireshark不会处理网络事务，它仅仅是“测量”(监视)网络。Wireshark不会发送网络包或做其它交互性的事情（名称解析除外，但您也可以禁止解析）。 1.2. 系通需求

实验使用Wireshark分析

实验六使用W i r e s h a r k分析U D P 一、实验目的比较TCP和UDP协议的不同二、实验环境与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。三、实验步骤 1、打开两次TCP流的有关跟踪记录，保存在中，并打开两次UDP流中的有关跟踪文件。如图所示：图1：TCP 流跟踪记录图2：UDP流跟踪记录 2、分析此数据包：（1）TCP传输的正常数据：文件的分组1到13中显示了TCP连接。这个流中的大部分信息与前面的实验相同。我们在分组1到分组3中看到了打开连接的三次握手。分组10到分组13显示的则是连接的终止。我们看到分组10既是一个带有FIN标志的请求终止连接的分组，又是一个最后1080个字节的（序号是3921—5000）的重传。 TCP将应用程序写入合并到一个字节流中。它并不会尝试维持原有应用程序写人的边界值。我们注意到TCP并不会在单个分组中传送1000字节的应用程序写入。前1000个字节会在分组4种被发送，而分组5则包含了1460个字节的数据-----一些来自第二个缓冲区，而另一些来自第三个缓冲区。分组7中含有1460个字节而分组8中则包含剩余的1080个字节。（5000-0=1080）我们注意到实际报告上的秒是从初始化连接的分组1开始到关闭连接的分组10结束。分组11—13未必要计入接收端应用程序的时间内，因为一旦接收到第一个FIN，TCP层便马上发送一个关闭连接的信号。分组11—13只可能由每台计算机操作系统得TCP层后台传输。如果我们注意到第一个包含数据的分组4和最后一个分组8之间的时间，我们就大约计算出和由UDP接收端所报告的秒相同的时间。这样的话，增加TCP传输时间的主要原因就是分组10中的重传。公平的说，UDP是幸运的，因为它所有的分组都在第一时间被接受了。

wireshark捕获器使用教程

Wireshark的捕捉过滤器和显示过滤器 Wireshark两种过滤器使用的语法是完全不同的。我们将在接下来的几页中对它们进行介绍： 1. 捕捉过滤器捕捉过滤器的语法与其它使用Lipcap（Linux）或者Winpcap（Windows）库开发的软件一样，比如著名的TCPdump。捕捉过滤器必须在开始捕捉前设置完毕，这一点跟显示过滤器是不同的。设置捕捉过滤器的步骤是： - 选择capture -> options。 - 填写"capture filter"栏或者点击"capture filter"按钮为您的过滤器起一个名字并保存，以便在今后的捕捉中继续使用这个过滤器。 - 点击开始（Start）进行捕捉。

语法：例子：tcp dst 10.1.1.1 80 and tcp dst 10.2.2.2 3128 Protocol（协议）: 可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 如果没有特别指明是什么协议，则默认使用所有支持的协议。 Direction（方向）: 可能的值: src, dst, src and dst, src or dst 如果没有特别指明来源或目的地，则默认使用"src or dst" 作为关键字。例如，"host 10.2.2.2"与"src or dst host 10.2.2.2"是一样的。Host(s): 可能的值：net, port, host, portrange. 如果没有指定此值，则默认使用"host"关键字。

利用wireshark分析HTTP协议实验报告

利用wireshark分析HTTP协议实验报告姓名：杨宝芹学号：2012117270 班级：电子信息科学与技术时间：2014.12.26

利用wireshark分析HTTP协议实验报告一、实验目的分析HTTP协议。二、实验环境连接Internet的计算机，操作系统为windows8.1； Wireshark，版本为1.10.7； Google Chrome，版本为39.0.2171.65.m；三、实验步骤 1.清空缓存在进行跟踪之前，我们首先清空Web 浏览器的高速缓存来确保Web网页是从网络中获取的，而不是从高速缓冲中取得的。之后，还要在客户端清空DNS 高速缓存，来确保Web服务器域名到IP地址的映射是从网络中请求。 2.启动wireshare 3.开始俘获 1)在菜单中选择capture-options，选择网络，打开start。如下图：

2)在浏览器地址栏中输入https://www.wendangku.net/doc/e46545516.html,，然后结束俘获，得到如下结果： 3)在过滤器中选择HTTP，点击apply，得到如下结果：

在菜单中选择file-save，保存结果，以便分析。（结果另附）四、分析数据在协议框中选择“GET/HTTP/1.1”所在的分组会看到这个基本请求行后跟随着一系列额外的请求首部。在首部后的“\r\n”表示一个回车和换行，以此将该首部与下一个首部隔开。“Host”首部在HTTP1.1版本中是必须的，它描述了URL 中机器的域名，本实验中式https://www.wendangku.net/doc/e46545516.html,。这就允许了一个Web服务器在同一时间支持许多不同的域名。有了这个数不，Web服务器就可以区别客户试图连接哪一个Web服务器，并对每个客户响应不同的内容，这就是HTTP1.0到1.1版本的主要变化。User-Agent首部描述了提出请求的Web浏览器及客户机器。接下来是一系列的Accpet首部，包括Accept（接受）、Accept-Language（接受语言）、 Accept-Encoding（接受编码）、Accept-Charset（接受字符集）。它们告诉Web

wireshark抓包分析报告TCP和UDP

计算机网络Wireshark抓包分析报告

目录 1. 使用wireshark获取完整的UDP报文 (3) 2. 使用wireshark抓取TCP报文 (3) 2.1 建立TCP连接的三次握手 (3) 2.1.1 TCP请求报文的抓取 (4) 2.1.2 TCP连接允许报文的抓取 (5) 2.1.3 客户机确认连接报文的抓取 (6) 2.2 使用TCP连接传送数据 (6) 2.3 关闭TCP连接 (7) 3. 实验心得及总结 (8)

1. 使用wireshark获取完整的UDP报文打开wireshark，设置监听网卡后，使用google chrome 浏览器访问我腾讯微博的首页 p.t.qq./welcomeback.php?lv=1#!/list/qqfriends/5/?pgv_ref=im.perinfo.perinfo.icon? ptlang=2052&pgv_ref=im.perinfo.perinfo.icon，抓得的UDP报文如图1所示。图1 UDP报文分析以上的报文容，UDP作为一种面向无连接服务的运输协议，其报文格式相当简单。第一行中，Source port：64318是源端口号。第二行中，Destination port：53是目的端口号。第三行中，Length：34表示UDP报文段的长度为34字节。第四行中，Checksum之后的数表示检验和。这里0x表示计算机中16进制数的开始符，其后的4f0e表示16进制表示的检验和，把它们换成二进制表示为：0100 1111 0000 1110. 从wireshark的抓包数据看出，我抓到的UDP协议多数被应用层的DNS协议应用。当一台主机中的DNS应用程序想要进行一次查询时，它构成了一个DNS 查询报文并将其交给UDP。UDP无须执行任何实体握手过程，主机端的UDP为此报文添加首部字段，并将其发出。 2. 使用wireshark抓取TCP报文 2.1 建立TCP连接的三次握手建立TCP连接需要经历三次握手，以保证数据的可靠传输，同样访问我的腾讯微博主页，使用wireshark抓取的TCP报文，可以得到如图2所示的客户机和服务器的三次握手的过程。图2 建立TCP连接的三次握手

wireshark抓包教程

Wireshark图解教程（简介、抓包、过滤器）配置 Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据，并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样，Wireshark也使用pcap network library来进行封包捕捉。可破解局域网内QQ、邮箱、msn、账号等的密码！！ Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据，并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样，Wireshark也使用pcap network library来进行封包捕捉。可破解局域网内QQ、邮箱、msn、账号等的密码！！ wireshark的原名是Ethereal，新名字是2006年起用的。当时Ethereal的主要开发者决定离开他原来供职的公司，并继续开发这个软件。但由于Ethereal这个名称的使用权已经被原来那个公司注册，Wireshark这个新名字也就应运而生了。在成功运行Wireshark之后，我们就可以进入下一步，更进一步了解这个强大的工具。下面是一张地址为192.168.1.2 的计算机正在访问“https://www.wendangku.net/doc/e46545516.html,”网站时的截图。 1.MENUS（菜单） 2.SHORTCUTS（快捷方式） 3.DISPLAY FILTER（显示过滤器） 4.PACKET LIST PANE（封包列表) 5.PACKET DETAILS PANE（封包详细信息） 6.DISSECTOR PANE（16进制数据） 7.MISCELLANOUS（杂项）

1. MENUS（菜单）程序上方的8个菜单项用于对Wireshark进行配置： -"File"（文件）-"Edit"（编辑）-"View"（查看）-"Go"（转到）-"Capture"（捕获）-"Analyze"（分析）-"Statistics"（统计） -"Help"（帮助）打开或保存捕获的信息。查找或标记封包。进行全局设置。设置Wireshark的视图。跳转到捕获的数据。设置捕捉过滤器并开始捕捉。设置分析选项。查看Wireshark的统计信息。查看本地或者在线支持。 2. SHORTCUTS（快捷方式）在菜单下面，是一些常用的快捷按钮。您可以将鼠标指针移动到某个图标上以获得其功能说明。 3.DISPLAY FILTER（显示过滤器）显示过滤器用于查找捕捉记录中的内容。请不要将捕捉过滤器和显示过滤器的概念相混淆。请参考Wireshark过滤器中的详细内容。返回页面顶部 4.PACKET LIST PANE（封包列表）

使用wireshark进行协议分析实验报告

1 深圳大学实验报告实验课程名称：计算机网络实验项目名称：使用wireshark进行协议分析学院：计算机与软件学院专业：计算机科学与技术报告人：邓清津学号：2011150146 班级：2班同组人：无指导教师：杜文峰实验时间：2013/6/10 实验报告提交时间：2013/6/10 教务处制

一、实验目的与要求学习使用网络数据抓包软件.学习使用网络数据抓包软件wireshark，并对一些协议进行分析。二、实验仪器与材料 Wireshark抓包软件三、实验内容使用wireshark分析各层网络协议 1.HTTP协议 2.ARP协议，ICMP协议 3.IP协议 4.EthernetII层数据帧为了分析这些协议，可以使用一些常见的网络命令。例如，ping等。四、实验步骤 1、安装Wireshark，简单描述安装步骤: 2、打开wireshark，选择接口选项列表。或单击“Capture”，配置“option” 选项。

3.点击start后，进行分组捕获，所有由选定网卡发送和接收的分组都将被捕获。 4. 开始分组捕获后，会出现如图所示的分组捕获统计窗口。该窗口统计显示各类已捕获分组的数量。在该窗口中有一个“stop”按钮，可以停止分组的捕获。

一、分析HTTP协议 1.在浏览器地址栏中输入某网页的URL，如：https://www.wendangku.net/doc/e46545516.html,。为显示该网页，浏览器需要连接https://www.wendangku.net/doc/e46545516.html,的服务器，并与之交换HTTP消息，以下载该网页。包含这些HTTP消息的以太网帧(Frame)将被WireShark捕获。 2. 在显示筛选编辑框中输入“http”，单击“apply”，分组列表窗口将只显示HTTP消息。 3.点击其中一个http协议包

实验四wireshark教程

Wireshark教程当前，互联网已经越来越成为人们生活中必不可少的组成部分。面对日益复杂的网络环境，网络管理员必须花费更很多的时间和精力，来了解网络设备的运作情况，以维持系统的正常运行。当网络趋于复杂，就必须借助于专业的工具了。因此，作为一个网络管理人员和网络从业者，熟练掌握和运用一套网络管理软件来对整个网络进行协议分析，是一个必不可少的技能。当前较为流行的网络协议嗅探和分析软件—Wireshark 。通过使用抓包工具，来准确而快速地判断网络问题的所在，大大缩短寻找问题的时间。网络管理人员的私人秘书—Wireshark 网络流量分析是指捕捉网络中流动的数据包，并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题，它是网络和系统管理人员进行网络故障和性能诊断的有效工具。通常，人们把网络分析总结为四种方式：基于流量镜像协议分析，基于 SNMP 的流量监测技术，基于网络探针（ Probe ）技术和基于流（ flow ）的流量分析。而我们下面要向大家介绍的 Wireshark 就是基于流量镜像协议分析。流量镜像协议分析方式是把网络设备的某个端口（链路）流量镜像给协议分析仪，通过 7 层协议解码对网络流量进行监测。但该方法主要侧重于协议分析，而非用户流量访问统计和趋势分析，仅能在短时间内对流经接口的数据包进行分析，无法满足大流量、长期的抓包和趋势分析的要求。 Wireshark 的前身是著名的 Ethereal 。 Wireshark 是一款免费的网络协议检测程序。它具有设计完美的 GUI 和众多分类信息及过滤选项。下面是 Wireshark 的界面。用户通过 Wireshark ，同时将网卡插入混合模式，可以用来监测所有在网络上被传送的包，并分析其内容。通过查看每一封包流向及其内容，用来检查网络的工作情况，或是用来发现网络程序的 bugs 。 Wireshark 是一个开放源码的网络分析系统，也是是目前最好的开放源码的网络协议分析器，支持 Unix Linux 和 Windows 平台。由于 Wireshark 是 Open Source ，更新快，支持的协议多，特别是数据包过滤功能灵活强大。 Wireshark 提供了对 TCP 、 UDP 、 SMB 、 telnet 和 ftp 等常用协议的支持。它在很多情况下可以代替价格昂贵的 Sniffer 。安装好后，双击桌面上的 Wireshark 图标，运行软件。再捕捉数据包之前，首先要对捕获的条件进行设置。点击工具栏里的“Capture à Options”，（图一）或者直接点击快捷按钮（图二），打开选项设置页面（图三）。

Wireshark中文简明使用教程

第 3 章用户界面 . 须知现在您已经安装好了Wireshark,几乎可以马上捕捉您的一个包。紧接着的这一节我们将会介绍：Wireshark的用户界面如何使用如何捕捉包如何查看包如何过滤包 ……以及其他的一些工作。 . 启动Wireshark 你可以使用Shell命令行或者资源管理器启动Wireshark. 提示开始Wireshark 时您可以指定适当的参数。参见第节“从命令行启动Wireshark” 注意在后面的章节中，将会出现大量的截图，因为Wireshark运行在多个平台，并且支持多个GUI Toolkit2x),您的屏幕上显示的界面可能与截图不尽吻合。但在功能上不会有实质性区别。尽管有这些区别，也不会导致理解上的困难。 . 主窗口先来看看图“主窗口界面”，大多数打开捕捉包以后的界面都是这样子（如何捕捉/打开包文件随后提到）。图 . 主窗口界面和大多数图形界面程序一样，Wireshark主窗口由如下部分组成：

1.菜单（见第节“主菜单”）用于开始操作。 2. 主工具栏(见第节“"Main"工具栏”)提供快速访问菜单中经常用到的项目的功能。 3.Fiter toolbar/过滤工具栏(见第节“"Filter"工具栏”)提供处理当前显示过滤得方法。(见:”浏览时进行过滤”) 4.Packet List面板（见第节“"Pcaket List"面板”）显示打开文件的每个包的摘要。点击面板中的单独条目，包的其他情况将会显示在另外两个面板中。 5.Packet detail面板（见第节“"Packet Details"面板”）显示您在Packet list面板中选择的包德更多详情。 6.Packet bytes面板（见第节“"Packet Byte"面板”）显示您在Packet list面板选择的包的数据，以及在Packet details 面板高亮显示的字段。 7.状态栏（见第节“状态栏”）显示当前程序状态以及捕捉数据的更多详情。注意主界面的三个面版以及各组成部分可以自定义组织方式。见第节“首选项” 3.3.1. 主窗口概述 Packet list和Detail 面版控制可以通过快捷键进行。表“导航快捷键”显示了相关的快捷键列表。表“"GO"菜单项”有关于快捷键的更多介绍表 . 导航快捷键快捷键描述 Tab,Shift+Tab在两个项目间移动，例如从一个包列表移动到下一个 Down移动到下一个包或者下一个详情 Up移动到上一个包或者上一个详情 Ctrl-Down,F8移动到下一个包，即使焦点不在Packet list面版 Ctrl-UP,F7移动到前一个报，即使焦点不在Packet list面版 Left在Pactect Detail面版，关闭被选择的详情树状分支。如果以关闭，则返回到父分支。 Right在Packet Detail面版，打开被选择的树状分支. Backspace Packet Detail面版，返回到被选择的节点的父节点 Return,Enter Packet Detail面版，固定被选择树项目。另外，在主窗口键入任何字符都会填充到filter里面。 . 主菜单 Wireshark主菜单位于Wireshark窗口的最上方。图“主菜单”提供了菜单的基本界面。图 . 主菜单主菜单包括以下几个项目: File 包括打开、合并捕捉文件，save/保存,Print/打印,Export/导出捕捉文件的全部或部分。以及退出Wireshark项.见第节“"File"菜单” Edit 包括如下项目：查找包，时间参考，标记一个多个包，设置预设参数。（剪切，拷贝，粘贴不能立即执行。）见第节“"Edit"菜单” View 控制捕捉数据的显示方式，包括颜色，字体缩放，将包显示在分离的窗口，展开或收缩详情面版的地树状节点，……见第节“"View"菜单” GO 包含到指定包的功能。见第节“"Go"菜单”

计算机网络实验-使用Wireshark分析IP协议

实验三使用Wireshark分析IP协议一、实验目的 1、分析IP协议 2、分析IP数据报分片二、实验环境与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。三、实验步骤 IP协议是因特网上的中枢。它定义了独立的网络之间以什么样的方式协同工作从而形成一个全球户联网。因特网内的每台主机都有IP地址。数据被称作数据报的分组形式从一台主机发送到另一台。每个数据报标有源IP地址和目的IP地址，然后被发送到网络中。如果源主机和目的主机不在同一个网络中，那么一个被称为路由器的中间机器将接收被传送的数据报，并且将其发送到距离目的端最近的下一个路由器。这个过程就是分组交换。 IP允许数据报从源端途经不同的网络到达目的端。每个网络有它自己的规则和协定。IP能够使数据报适应于其途径的每个网络。例如，每个网络规定的最大传输单元各有不同。IP允许将数据报分片并在目的端重组来满足不同网络的规定。表 DHCP报文

者续借租用 DHCP-ACK DHCP服务器通知客户端可以使用分配的IP地址和配置参数 DHCP-NAK DHCP服务器通知客户端地址请求不正确或者租期已过期，续租失败 DHCP-RELEASE DHCP客户端主动向DHCP服务器发送，告知服务器该客户端不再需要分配的IP地址 DHCP-DECLINE DHCP客户端发现地址冲突或者由于其它原因导致地址不能使用，则发送DHCP-DECLINE报文，通知服务器所分配的 IP地址不可用 DHCP-INFORM DHCP客户端已有IP地址，用它来向服务器请求其它配置参数图 DHCP报文 1、使用DHCP获取IP地址

Wireshark使用教程(精品)

Wireshark使用教程第 1 章介绍 1.1. 什么是Wireshark Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具，就好像使电工用来测量进入电信的电量的电度表一样。（当然比那个更高级）过去的此类工具要么是过于昂贵，要么是属于某人私有，或者是二者兼顾。 Wireshark出现以后，这种现状得以改变。Wireshark可能算得上是今天能使用的最好的开元网络分析软件。 1.1.1. 主要应用下面是Wireshark一些应用的举例： ?网络管理员用来解决网络问题 ?网络安全工程师用来检测安全隐患 ?开发人员用来测试协议执行情况 ?用来学习网络协议除了上面提到的，Wireshark还可以用在其它许多场合。 1.1. 2. 特性 ?支持UNIX和Windows平台 ?在接口实时捕捉包 ?能详细显示包的详细协议信息 ?可以打开/保存捕捉的包 ?可以导入导出其他捕捉程序支持的包数据格式 ?可以通过多种方式过滤包 ?多种方式查找包 ?通过过滤以多种色彩显示包 ?创建多种统计分析 ?…还有许多不管怎么说，要想真正了解它的强大，您还得使用它才行

wireshark抓包应用指导说明书

杭州迪普科技有限公司wireshark抓包应用指导说明书

修订记录

目录 1 WIRESHARK介绍 (5) 2 功能介绍 (5) 3 图形界面抓报文 (5) 3.1 选择网卡抓报文 (5) 3.2 显示报文抓取时间 (7) 3.3 WIRESHARK界面布局 (8) 3.4 报文过滤条件 (9) 3.4.1 常用过滤条件 (10) 3.4.2 WIRESHARK EXPRESSION (11) 3.4.3 高级过滤条件 (11) 3.4.4 WIRESHARK CAPTURE FILTER (14) 4 命令行抓报文 (15) 4.1 选择网卡 (15) 4.2 命令行过滤条件 (17) 4.3 常用过滤条件 (17) 5 批量转换报文格式 (18)

1Wireshark介绍 Wireshark 是开源网络包分析工具，支持Windows/Linux/Unix环境。网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。可以从网站下载最新版本的Wireshark (https://www.wendangku.net/doc/e46545516.html,/download.html 。Wireshark通常在4-8周内发布一次新版本 2功能介绍 Wireshark支持图形和命令行两种抓报文方式 3图形界面抓报文 3.1选择网卡抓报文第一步打开wireshark抓包软件，点击“Capture-->Interfaces”,如图3-1

图3-1选择网卡第二步选择抓包的网卡，点击”Strart“开始抓包，这样将抓取流经此网卡的所有报文，并临时保存在内存中。因此，如果持续抓包将消耗掉系统所有内存。如图3-2和图3-3 图3-2启动抓包

Wireshark使用教程

第 1 章介绍 1.1. 什么是Wireshark Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具，就好像使电工用来测量进入电信的电量的电度表一样。（当然比那个更高级）过去的此类工具要么是过于昂贵，要么是属于某人私有，或者是二者兼顾。 Wireshark出现以后，这种现状得以改变。Wireshark可能算得上是今天能使用的最好的开元网络分析软件。 1.1.1. 主要应用下面是Wireshark一些应用的举例： ?网络管理员用来解决网络问题 ?网络安全工程师用来检测安全隐患 ?开发人员用来测试协议执行情况 ?用来学习网络协议除了上面提到的，Wireshark还可以用在其它许多场合。 1.1. 2. 特性 ?支持UNIX和Windows平台 ?在接口实时捕捉包 ?能详细显示包的详细协议信息 ?可以打开/保存捕捉的包 ?可以导入导出其他捕捉程序支持的包数据格式 ?可以通过多种方式过滤包 ?多种方式查找包 ?通过过滤以多种色彩显示包 ?创建多种统计分析 ?…还有许多不管怎么说，要想真正了解它的强大，您还得使用它才行图 1.1. Wireshark捕捉包并允许您检视其内

1.1.3. 捕捉多种网络接口 Wireshark 可以捕捉多种网络接口类型的包，哪怕是无线局域网接口。想了解支持的所有网络接口类型，可以在我们的网站上找到https://www.wendangku.net/doc/e46545516.html,/CaptureSetup/NetworkMedia. 1.1.4. 支持多种其它程序捕捉的文件 Wireshark可以打开多种网络分析软件捕捉的包，详见??? 1.1.5. 支持多格式输出 Wieshark可以将捕捉文件输出为多种其他捕捉软件支持的格式，详见??? 1.1.6. 对多种协议解码提供支持可以支持许多协议的解码(在Wireshark中可能被称为解剖)??? 1.1.7. 开源软件 Wireshark是开源软件项目，用GPL协议发行。您可以免费在任意数量的机器上使用它，不用担心授权和付费问题，所有的源代码在GPL框架下都可以免费使用。因为以上原因，人们可以很容易在Wireshark上添加新的协议，或者将其作为插件整合到您的程序里，这种应用十分广泛。 1.1.8. Wireshark不能做的事 Wireshark不能提供如下功能 ?Wireshark不是入侵检测系统。如果他/她在您的网络做了一些他/她们不被允许的奇怪的事情，Wireshark不会警告您。但是如果发生了奇怪的事情，Wireshark可能对察看发生了什么会有所帮助。[3]?Wireshark不会处理网络事务，它仅仅是“测量”(监视)网络。Wireshark不会发送网络包或做其它交互性的事情（名称解析除外，但您也可以禁止解析）。 1.2. 系通需求想要安装运行Wireshark需要具备的软硬件条件... 1.2.1. 一般说明 ?给出的值只是最小需求，在大多数网络中可以正常使用，但不排除某些情况下不能使用。[4] ?在繁忙的网络中捕捉包将很容塞满您的硬盘！举个简单的例子：在100MBIT/s全双工以太网中捕捉数据将会产生750MByties/min的数据！在此类网络中拥有高速的CPU，大量的内存和足够的磁盘空间是十分有必要的。 ?如果Wireshark运行时内存不足将会导致异常终止。可以在 https://www.wendangku.net/doc/e46545516.html,/KnownBugs/OutOfMemory察看详细介绍以及解决办法。 ?Wireshark作为对处理器时间敏感任务，在多处理器/多线程系统环境工作不会比单独处理器有更快的速度，例如过滤包就是在一个处理器下线程运行，除了以下情况例外：在捕捉包时“实时更新包列表”，此时捕捉包将会运行在一个处理下，显示包将会运行在另一个处理器下。此时多处理或许会有所帮助。[5] 1.2.2. Microsoft Windows ?Windows 2000,XP Home版,XP Pro版,XP Tablet PC，XP Media Center, Server 2003 or Vista(推荐在XP下使用) ?32-bit奔腾处理器或同等规格的处理器（建议频率：400MHz或更高）,64-bit处理器在WoW64仿真环境下-见一般说明 ?128MB系统内存（建议256Mbytes或更高） ?75MB可用磁盘空间（如果想保存捕捉文件，需要更多空间） 800*600（建议1280*1024或更高）分辨率最少65536(16bit)色，(256色旧设备安装时需要选择”legacy GTK1”) ?网卡需求： o以太网：windows支持的任何以太网卡都可以 o无线局域网卡：见MicroLogix support list, 不捕捉802.11包头和无数据桢。 o其它接口见：https://www.wendangku.net/doc/e46545516.html,/CaptureSetup/NetworkMedia

Wireshark基础使用说明-蔡晓伟

关于Wireshark的基础使用说明（仅供内部使用）

修订记录

目录 1案例描述 (2) 2案例分析 (2) 3解决过程 (2) 4解决结果 (25)

关键词： Wireshark、显示过滤、捕获过滤、抓包文件保存、音视频动态载荷、QoS设置确认摘要：本文简要说明了Wireshark的基本使用方法，如捕获过滤条件的设置、显示过滤条件的设置以及根据显示内容保存抓包文件的方法，并列举了一些我们目前常用的过滤条件的描述方法，同时还简单说明了一些通过抓包文件我们可以了解的一些内容。

1 案例描述由于目前关于抓包工具的说明只有一些比较深入的，相对比较适合研发人员学习使用的文档，对于新入职的测试人员查看这类文档会感觉无从入手。 2 案例分析新入职的测试人员原来对视频会议系统本身就了解不深，再加上对网络协议也只是一些表面上的学习、了解，而以前可能从未使用过此类工具，因此，他们首先需要了解的是此工具的基本使用，而不是对码流的深入分析，只有了解了此工具的基本使用方法，才可以使其在使用的过程中深入学习、了解该工具的使用。 3 解决过程基于上述考虑我将针对Wireshark的基本使用在此进行说明，方便初次使用Wireshark的人员进行学习。鉴于大家都是学计算机的我相信对于此软件的安装都是没有问题的，只需双击安装包即可，安装完成后，直接打开Wireshark，界面如下：

选择“Capture Options…”就会弹出抓包的选项如下：在此需要选择要使用的网卡，例如我的是“Broadcom NetLink（TM）Giabit Ethernet Driver （Microsoft’s Packet Scheduler）”，然后点击“Start”就开始抓包，点击“Stop”就停止抓包。

wireshark抓包分析

用wireshark分析Http 和Dns 报文一、http请求报文和响应报文 wireshark所抓的一个含有http请求报文的帧： 1、帧的解释链路层的信息上是以帧的形式进行传输的，帧封装了应用层、传输层、网络层的数据。而wireshark抓到的就是链路层的一帧。图中解释： Frame 18：所抓帧的序号是11，大小是409字节 Ethernet ：以太网，有线局域网技术，属链路层 Inernet Protocol：即IP协议，也称网际协议，属网络层 Transmisson Control Protocol：即TCP协议，也称传输控制协议。属传输层 Hypertext transfer protocol：即http协议，也称超文本传输协议。属应用层图形下面的数据是对上面数据的16进制表示。

2、分析上图中的http请求报文报文分析：请求行： GET /img/2009people_index/images/hot_key.gif HTTP/1.1 方法字段/ URL字段/http协议的版本我们发现，报文里有对请求行字段的相关解释。该报文请求的是一个对象，该对象是图像。首部行： Accept: */* Referer: https://www.wendangku.net/doc/e46545516.html,/这是网站网址 Accept-Language: zh-cn 语言中文 Accept-Encoding: gzip, deflate 可接受编码，文件格式User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Window s NT 5.1; SV1; CIBA; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30; 360SE) 用户代理，浏览器的类型是Netscape浏览器；括号内是相关解释 Host: https://www.wendangku.net/doc/e46545516.html,目标所在的主机 Connection: Keep-Alive 激活连接在抓包分析的过程中还发现了另外一些http请求报文中所特有的首部字段名，比如下面http请求报文中橙黄色首部字段名：

Wireshark简明使用教程

Wireshark简明使用教程 wireshark是一款抓包软件，比较易用，在平常可以利用它抓包，分析协议或者监控网络，是一个比较好的工具。 (1)Wireshark的启动界面和抓包界面启动界面：抓包界面的启动是按file下的按钮之后会出现

这个是网卡的显示，因为我有虚拟机所以会显示虚拟网卡，我们现在抓的是真实网卡上的包所以在以太网卡右边点击start 开始抓包这个就是抓包的界面了（也是主界面）

(2)Wireshark主窗口由如下部分组成： 1.菜单——用于开始操作。 2.主工具栏——提供快速访问菜单中经常用到的项目的功能。 3.Fiter toolbar/过滤工具栏——提供处理当前显示过滤得方法。 4.Packet List面板——显示打开文件的每个包的摘要。点击面板中的单独条目，包的其他情况将会显示在另外两个面板中。 5.Packet detail面板——显示您在Packet list面板中选择的包的更多详情。 6.Packet bytes面板——显示您在Packet list面板选择的包的数据，以及在Packet details面板高亮显示的字段。 7.状态栏——显示当前程序状态以及捕捉数据的更多详情。 1.菜单栏主菜单包括以下几个项目: File ——包括打开、合并捕捉文件，save/保存,Print/打印,Export/导出捕捉文件的全部或部分。以及退出Wireshark项. Edit ——包括如下项目：查找包，时间参考，标记一个多个包，设置预设参数。（剪切，拷贝，粘贴不能立即执行。） View ——控制捕捉数据的显示方式，包括颜色，字体缩放，将包显示在分离的窗口，展开或收缩详情面版的地树状节点 GO ——包含到指定包的功能。 Analyze ——包含处理显示过滤，允许或禁止分析协议，配置用户指定解码和追踪 TCP流等功能。 Statistics ——包括的菜单项用户显示多个统计窗口，包括关于捕捉包的摘要，协议层次统计等等。 Help ——包含一些辅助用户的参考内容。如访问一些基本的帮助文件，支持的协议列表，用户手册。在线访问一些网站，“关于” 2.工具栏（略） 3.过滤工具栏会弹出对话框

Wireshark抓包实例分析

Wireshark抓包实例分析通信工程学院010611班赖宇超01061093 一．实验目的 1.初步掌握Wireshark的使用方法，熟悉其基本设置，尤其是Capture Filter和Display Filter 的使用。 2.通过对Wireshark抓包实例进行分析，进一步加深对各类常用网络协议的理解，如：TCP、UDP、IP、SMTP、POP、FTP、TLS等。 3.进一步培养理论联系实际，知行合一的学术精神。二．实验原理 1.用Wireshark软件抓取本地PC的数据包，并观察其主要使用了哪些网络协议。 2.查找资料，了解相关网络协议的提出背景，帧格式，主要功能等。 3.根据所获数据包的内容分析相关协议，从而加深对常用网络协议理解。三．实验环境 1.系统环境：Windows 7 Build 7100 2.浏览器：IE8 3.Wireshark：V 1.1.2 4.Winpcap：V 4.0.2 四．实验步骤 1.Wireshark简介 Wireshark（原Ethereal）是一个网络封包分析软件。其主要功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。其使用目的包括：网络管理员检测网络问题，网络安全工程师检查资讯安全相关问题，开发者为新的通讯协定除错，普通使用者学习网络协议的

相关知识……当然，有的人也会用它来寻找一些敏感信息。值得注意的是，Wireshark并不是入侵检测软件（Intrusion Detection Software,IDS）。对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。然而，仔细分析Wireshark 撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改，它只会反映出目前流通的封包资讯。Wireshark本身也不会送出封包至网络上。 2.实例实例1：计算机是如何连接到网络的？一台计算机是如何连接到网络的？其间采用了哪些协议？Wireshark将用事实告诉我们真相。如图所示：图一：网络连接时的部分数据包如图，首先我们看到的是DHCP协议和ARP协议。 DHCP协议是动态主机分配协议(Dynamic Host Configuration Protocol)。它的前身是BOOTP。BOOTP可以自动地为主机设定TCP/IP环境，但必须事先获得客户端的硬件地址，而且，与其对应的IP地址是静态的。DHCP是BOOTP 的增强版本，包括服务器端和客户端。所有的IP网络设定数据都由DHCP服务器集中管理，并负责处理客户端的DHCP 要求；而客户端则会使用从服务器分配下来的IP环境数据。 ARP协议是地址解析协议(Address Resolution Protocol)。该协议将IP地址变换成物理地址。以以太网环境为例，为了正确地向目的主机传送报文，必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址，这组协议就是ARP协议。让我们来看一下数据包的传送过程：