Wireshark教程

什么是Wireshark?

Wireshark是一款开源的包分析工具，主要用于教育、分析、软件开发、通信协议开发和网络故障排除．

它用于跟踪数据包，以便每个数据包都被过滤以满足我们的特定需求。它通常被称为a嗅探器、网络协议分析器和网络分析器．它也被网络安全工程师用来检查安全问题。

Wireshark是一个免费使用的应用程序，用于来回捕获数据。它通常被称为一个免费的包嗅探计算机应用程序。它将网卡置于非选择模式，即接受它接收到的所有数据包。

Wireshark的用途:

Wireshark可以通过以下方式使用:

它被网络安全工程师用来检查安全问题。
它允许用户监视所有通过网络的流量。
网络工程师使用它来排除网络问题。
它还有助于排除网络上的延迟问题和恶意活动。
它还可以分析丢弃的数据包。
它帮助我们了解所有设备，如笔记本电脑、移动电话、台式机、交换机、路由器等，如何在本地网络或世界其他地方进行通信。

什么是包?

包是在源点和目的点之间通过网络传输的数据单位。网络包小，即最大以太网数据包为1.5 Kilobytes, IP数据包为64kilobytes．Wireshark中的数据包可以在线查看，也可以离线分析。

Wireshark的使用历史:

在20世纪90年代末杰拉尔德·库姆斯他毕业于密苏里大学堪萨斯城分校的计算机科学专业，为一家小型ISP(互联网服务提供商)工作。当时的协议还没有完成主要的要求。于是，他开始写作飘渺的并在1998年左右发布了第一个版本。网络集成服务拥有以太网商标。

Combos仍然拥有大部分ethereal源代码的版权，其余的源代码在GNU GPL下重新分发。他并不拥有Ethereal商标，所以他把名字改成了Wireshark。他以空灵的内容为基础。

多年来，Wireshark已经赢得了几个行业奖励，包括eWeek, InfoWorld, PC杂志，也是一个顶级数据包嗅探器。Combos继续工作，并发布了软件的新版本。Wireshark产品网站大约有600位贡献者。

Wireshark的功能:

Wireshark在组网方面类似于tcpdump。Tcpdump是一个普通的包分析器，它允许用户显示通过连接到计算机的网络传输和接收的其他包和TCP/IP包。它具有图形端和一些排序和过滤功能。Wireshark用户可以看到所有通过网络的流量。

Wireshark还可以监控未发送到网络MAC地址接口的单播流量。但是，交换机不会将所有流量都传递到端口。因此，混杂模式不足以看到所有的流量。各种各样的网络监听或者端口镜像用于在任何点扩展捕获。

端口镜像是一种监控网络流量的方法。启用该功能时，交换机将一个端口上的所有网络数据包的副本发送到另一个端口。

什么是Wireshark中的颜色编码?

Wireshark中的报文以高亮显示蓝色的，黑色的,绿色．这些颜色可以帮助用户识别流量的类型。它也被称为包着彩色．Wireshark中着色规则的种类有临时的规则而且永久的规则．

临时规则一直存在，直到程序处于活动模式或直到我们退出程序为止。
永久颜色规则在使用Wireshark或下次运行Wireshark之前都是可用的。应用颜色滤镜的步骤将在本主题的后面讨论。

Wireshark特性

它是多平台软件，也就是说，它可以运行在Linux, Windows, OS X, FreeBSD, NetBSD等。
它是一个标准的三窗格包浏览器。
它对数百个协议进行深入检查。
它通常涉及实时分析，即从不同类型的网络如以太网、环回等，我们可以读取实时数据。
它有排序和筛选选项，使用户更容易查看数据。
它在VoIP分析中也很有用。
它还可以捕获原始USB流量。
可以使用各种设置(如计时器和过滤器)来过滤输出。
它只能在PCAP(一种用于捕获网络的应用程序编程接口)支持的网络上捕获数据包。
Wireshark支持多种文档完备的捕获文件格式，如PcapNg和Libpcap。这些格式用于存储捕获的数据。
这是no。一个软件的目的。它有无数的应用，从追踪，未经授权的流量，防火墙设置等．

安装Wireshark软件

在计算机上安装Wireshark软件的步骤如下:

打开网络浏览器。
搜索'Wireshark下载．'
根据您的系统配置选择Windows安装程序，可以是32-bt或64-bit。保存程序并关闭浏览器。
现在，打开软件，并通过接受许可证来遵循安装说明。
Wireshark工具已经准备好。

在网络和Internet设置选项中，我们可以检查连接到计算机的接口。

如果你是Linux用户，那么你会在它的包库中找到Wireshark。

通过选择当前接口，我们可以获得通过该接口的流量。这里使用的版本是3.0.3．此版本将以以下方式打开:

Wireshark软件界面如图所示，网络上的所有进程都在此界面中运行。

列表中给出的选项是接口列表选项。界面选项的数量将会显示出来。选择任何选项将决定所有流量。例如,从上图中选择Wi-Fi选项。在此之后，将打开一个新窗口，其中将显示网络上的所有当前流量。下面的图像告诉我们数据包的实时捕获，我们的Wireshark将会是这样的:

上面的箭头表示以十六进制或ASCII格式写入的报文内容。而包内容上面的信息，是包头的详细信息。

它会继续监听所有数据包，你会得到很多数据。如果您想查看特定的数据，那么您可以单击红色按钮。流量将是静止的，您可以注意时间、源、目的地、使用的协议、长度和信息等参数。要查看深入的详细信息，您可以单击该特定地址;很多信息将显示在下面。

将会有关于HTTP数据包，TCP数据包等的详细信息。红色按钮如下图所示:

Wireshark的界面分为五个部分:

第一部分包含一个菜单栏和下面显示的选项。这部分在窗户的顶部。文件和捕获菜单选项是Wireshark中常用的。捕获菜单允许启动捕获过程。File菜单用于打开和保存捕获文件。
第二部分是包列表窗口。它决定了流量中的包流或抓包。包括报文号、时间、源、目的、协议、长度和信息。我们可以通过单击列名对包列表进行排序。
接下来是数据包头-详细窗口。它包含关于数据包组成部分的详细信息。协议信息还可以根据所需信息进行扩展或最小化。
底部窗口称为数据包内容窗口，它以ASCII和十六进制格式显示内容。
最后是显示顶部的筛选字段。屏幕上的抓包信息可以根据您的需求进行任意组件的过滤。例如，如果我们只想看到带有HTTP协议的数据包，我们可以对该选项应用过滤器。所有协议为HTTP的报文只会显示在屏幕上，如下图所示:

您还可以选择计算机所连接的连接。例如，在这台PC中，我们选择了当前的网络，即以太网。

连接后，你可以看到下面的流量:

在菜单栏的视图选项中，还可以更改界面的视图。您可以更改视图菜单中的内容数量。您还可以根据需求启用或禁用任何选项。

菜单栏下方有一个过滤块，可以从这里过滤大量的数据。例如，如果我们对HTTP应用筛选器，则只会列出带有HTTP的接口。

如果你想要根据源进行过滤，右键单击你想要过滤的源，选择“应用为过滤器”，然后选择“…”和过滤。

永久着色的步骤是:点击菜单栏上的“查看”选项，并选择“着色规则”。该表将如下图所示:

对于网络管理员的工作，可以考虑具备Wireshark的高级知识。因此，理解软件的概念是至关重要的。它包含这20个默认的着色规则，可以根据需要添加或删除。

选择选项'视图然后选择包列表着色’，这是习惯用语切换颜色打开和关闭．

注意:如果你不确定你的台式机或笔记本电脑的版本，那么你可以下载32位的Wireshark，它几乎可以在所有类型的计算机上运行99%

现在让我们从这个基础开始

网络流量的基本概念

IP地址:它是为设备在本地网络或Internet上相互通信而设计的。它用于主机或网络接口识别。它提供了主机的位置以及在该网络中建立到主机的路径的能力。互联网协议是一组预定义的规则或术语，在这些规则或术语下进行通信。IP地址类型为IPv4和IPv6．

IPv4是32位地址每组代表8位，从0到255。
IPv6是一个128位地址。

IP地址是动态或静态分配给主机的IP地址。大多数私网用户拥有动态IP地址，而企业用户或服务器拥有静态IP地址。当设备连接到Internet时，动态地址会发生变化。

计算机端口:计算机端口与IP地址结合工作，将所有传出和传入的数据包引导到适当的位置。有一些知名的端口可以使用FTP(文件传输协议)，端口为。21日,等等。所有端口的目的都是将所有数据包引导到预定义的方向。

协议:协议是一组预定义的规则。它们被认为是标准化的交流方式。最常用的协议之一是TCP / IP．它代表传输控制协议/因特网协议．

OSI模型:OSI模型代表开放系统互连．OSI模型有七层，即应用层、表示层、会话层、传输层、网络层、数据链路层和物理层．OSI模型对数据在各层之间的传输和接收给出了详细的表示和解释。OSI模型在网络层上支持无连接和面向连接的通信方式。OSI模型是由ISO(国际标准组织)开发的。

Wireshark中最常用的过滤器

每当我们在过滤器命令框中输入任何命令时，它就会转动绿色如果你的命令是正确的．结果红色的如果是的话不正确的或者Wireshark不识别您的命令。

下面是Wireshark中使用的过滤器列表:

过滤器	描述
ip.addr ——ip.addr = = 10.0.10.142示例 ip.src ip.dst	用于指定源IP地址或目的IP地址。本例将基于此IP地址作为源和目标进行筛选。如果我们想要一个特定的源头或目的地，它用于源过滤器。它用于目的地。
协议示例- dns或http 'Dns and http'从不使用。	该命令基于协议进行过滤。它要求报文是dns协议或http协议，并将基于此显示流量。我们不会使用'dns and http'命令，因为它要求数据包既是dns又是http，这是不可能的。
tcp.port 例如:tcp.port = = 443	它根据特定的端口号设置过滤器。它将过滤所有带有此端口号的数据包。
4.udp.port	与tcp.port相同。相反，使用udp。
tcp.analysis.flags 示例见图(5)．	Wireshark可以标记TCP问题。这个命令将只显示Wireshark识别的问题。例如，丢包，tcp段未捕获等是一些问题。它能快速识别问题并得到广泛应用。
6 . ! () 例如，!(arp或dns或icmp) 这在图(6)．	它用于过滤我们不感兴趣的协议或应用程序列表。它将删除arp, dns和icmp，只剩下剩下的，或者清除可能没有帮助的东西。
选择任意一个数据包。右键单击它，选择“关注”，然后选择“TCP流”。如图(7)所示。	如果您想处理TCP会话上的单个连接，则使用它。与单个TCP连接相关的任何内容都将显示在屏幕上。
TCP包含过滤器例如- tcp包含Facebook 或 udp包含Facebook	它用来显示包含这些字的数据包。在这个跟踪文件中，Facebook对任何数据包进行了查找，也就是找到了与Facebook通信的设备。如果您正在查找用户名、单词等，此命令非常有用。
http.request 对于响应或响应代码，您可以键入 http.response.code = = 200	它将显示跟踪文件中的所有http请求。你可以看到所有的服务器，客户端都参与其中。
tcp.flags.syn = = 1 如图(10)所示。 tcp.flags.reset	这将显示所有sync内置tcp报头设置为1的数据包。这将显示tcp重置的所有数据包。

Wireshark包嗅探

Wireshark是一个包嗅探程序，管理员可以使用它来隔离和排除网络上的问题。它还可以用来捕捉用户名和密码等敏感数据。它也可以以错误的方式使用(黑客)来减轻掉落。

包嗅探被定义为捕获流经计算机网络的数据包的过程。包嗅探器是一种用于嗅探过程的设备或软件。

嗅探包的步骤如下:

打开Wireshark应用程序。
选择当前接口。在这个例子中，接口是我们将要使用的以太网。
网络流量将在下面显示，这将是连续的。要停止或观看任何特定的数据包，您可以按下菜单栏下面的红色按钮。

应用名称为“http”的过滤器。应用滤镜后，屏幕看起来是这样的:

以上画面为空白，即;目前没有网络流量。

打开浏览器。在这个例子中，我们打开了“Internet Explorer”。您可以选择任何浏览器。

只要我们打开浏览器，输入网站的任何地址，流量就会开始显示，数据包的交换也会开始。如下图所示:

上面解释的过程称为包嗅探．

用户名和密码嗅探

它是用来知道特定网站的密码和用户名的过程。让我们以gmail.com为例。以下是步骤:

打开Wireshark，选择合适的接口。
打开浏览器，输入网址。在这里，我们进入了高度安全的gmail.com。输入您的电子邮件地址和密码。如下图所示:

现在，打开Wireshark，在filters块中输入“frame contains gmail.com”，然后你就可以看到一些流量了。

右键单击特定网络，选择“关注”，然后选择“TCP流”。您可以看到，所有数据都以加密形式进行了保护。

在上面所示的箭头中，“显示并另存数据为”有很多选择。这些选项是-扩展二进制编码十进制交换码等。EBCDIC用于大型机和中档IBM计算机操作系统。

Wireshark的统计数据

Wireshark提供了一个广泛的统计领域。它们列在下面:

下面是Wireshark的统计数据列表和描述:

捕获文件属性	它包括文件、时间、捕获、接口(当前正在使用的接口)和统计信息(测量值)。
解决地址	此选项包括在数据包捕获中解析的Top IP地址和DNS的所有类型。它给出了在包捕获过程中访问的不同资源的概念。如图(b)所示。
协议层次结构	它被命名为捕获过程中列出的所有协议的树。如图(c)所示。
对话	列表中的每一行都给出了特定对话的统计值。
端点	它被定义为指定协议层的独立协议流量的逻辑端点。例如，IP地址将发送和接收所有类型的数据包到特定的IP地址。
数据包长度	它只是显示网络中确定的不同数据包长度的特征。
I / O图	它是用来显示捕获数据包的图形的术语。您还可以在此过程中应用过滤器。下面将详细解释这个过程。
服务响应时间	它是许多协议可用的信息类型。它被定义为请求和响应时间之间所花费的时间。提供此服务的协议有: AFP(苹果归档协议) 骆驼 dce rpc 直径 FC (Fiber Channel) GTP (GPRS隧道协议) H.225拉轻量级目录访问协议 MEGACO 媒体网关控制协议 NCP (NetWare核心协议) onc rpc 半径 SCSI SMB(服务器消息块协议) SMB2(服务器消息块协议版本2)
DHCP (BOOTP)统计信息	它被实现为BOOTP的选项。DHCP是client/server协议，用于动态地为DHCP client分配IP地址。如果DHCP不工作，那么一些计算机系统使用APIPA(自动私有IP地址)分配IP地址。
onc rpc程序	它代表开放网络计算-远程过程调用。它可以使用TCP和UDP作为传输协议。ONC-RPC不能直接应用于捕获过程中的过滤，但您可以使用TCP或UDP对该过程进行过滤。如图(d)所示。
29日西	它被定义为ULLM技术。它代表超低延迟消息。
ANCP	它代表接入节点控制协议．它是一种L2CP (Layer 2 Control Protocol)协议，基于TCP协议。它有它的邻接层，它使用“能力”来决定ANCP端点之间的消息交换。
BACnet	它是专门为满足控制系统和楼宇自动化的通信需求而设计的。它被用于火灾探测系统、灯光控制等应用。它提供了交换信息的结构，尽管它执行特定的建筑服务。
Collectd	用于监控特定TCP端口上的流量。
DNS	它代表域名服务器，它提供了DNS流量的详细分析。它提供了在DNS中返回的代码列表。您还可以通过流量查看错误。
流图	它是一种检查客户端和服务器之间连接的方法。这是验证两个端点之间连接的有效方法。它还帮助我们进行故障排除。
HART-IP	它给出了响应、请求、发布和错误包的详细信息。它代表高速公路可寻址远程传感器在IP统计。
HPFEEDS	它决定了“每个通道和操作码的有效载荷大小”。
HTTP	它有四个选项: 包计数器(请求类型和响应代码) 请求(基于URL和主机) 负载分配(基于服务器地址和主机) 请求序列(将HTTP捕获请求按树状排列)
HTTP2	HTTP版本2。
Sametime	它用于分析服务器和客户端有sametime时的慢速网络流量。
TCP流图	具体解释如下:
UDP组播流	通过该命令可以设置stream参数和burst参数。包括OSPF协议、IGMP协议和视频流协议。
F5	它包括虚拟服务器发行版和tmm发行版。tcpdump命令。
IPv4统计 IPv6的统计数据	这些选项确定所有地址、目的和端口、IP协议类型以及源和目的地址。

I / O图

它显示了网络流量的图形。图表将看起来类似，但根据所涉及的流量而变化。在图下面有一个表，其中有一些过滤器。使用“+”号可以添加更多的过滤器，使用“-”号可以删除现有的过滤器。你也可以改变颜色。对于每个特定的过滤器，您可以添加一个彩色层，这将增加图形的可见性。

“启用”下的勾选项，根据您的要求显示该层。

例如,我们已经应用了过滤器“TCP错误”，更改可以很容易地查看。如下图所示:

如果点击图上的特定点，就可以看到相应数据包将显示在屏幕上的网络流量。还可以对特定端口应用筛选器。

图表的另一个类别是选项"TCP流图．'

它提供了TCP序列号随时间变化的可视化。

下面是理解的步骤TCP流图：

打开Wireshark。在接口上点击查看网络流量。
将过滤器应用为“tcp”。
点击菜单栏上的“统计数据”选项，然后选择“TCP流图，并选择“时间序列(tcptrace)”。您还可以根据自己的需求在“TCP流图”类别中选择其他选项。现在屏幕看起来是这样的:

现在，当你放大图表时，你会注意到这些点的细节。所示的行是数据包。y轴上的长度表示包的大小。你还可以看到绿线上升，然后在同一水平线上。这意味着数据已被ACK(已确认)。这里向上表示有更多的数据被发送。

数据正在发送，然后是ACK，这是TCP的正确使用。这里的平线表示什么都没有发生。

上面的绿线叫做'接收窗口接收到的窗口和数据包之间的间隔，定义了接收到的缓冲区中有多少空间。

关于wireshark的事实/重要步骤/最常用

以下是在现实生活中实现的事实或要点:

添加增量列:要添加任何列，步骤如下:

在任意一个列菜单上，右键单击“列首选项”，然后选择“列”。
单击“+”符号，并按名称添加列，如delta-time，并在“Type”类别下，选择显示的delta时间或delta时间。

屏幕将会是这样的:

在捕获的数据包下面，您在方括号是包本身中不可用的信息。这是Wireshark为你的利益而显示的东西。如果您想从该屏幕向列区域添加任何内容，可以右键单击并选择“应用为列”。该选项将被添加到捕获屏幕。

最重要的是:

3 Way-Handshake

当您捕获数据并分析问题时，您将得到三次握手。
它包含像TCP选项这样的好选项。
由此，您可以确定移位时间，并确定您是在客户端还是服务器端捕获了数据包。在服务器端，SYN和SYN-ACK报文之间存在一定的时延，而在客户端，SYN和SYN-ACK报文之间存在较大的时延。只有在服务器端，SYN-ACK和ACK之间有延迟。SYN必须到达客户端。在三次握手之后，数据必须到达服务器。
你还可以注意到SYN和SYN- ack报文之间TCP选项的差异。窗口缩放因子也很重要，如下图所示:

如果没有三次握手，则无法查看窗口缩放因子。

一个序号表示1个字节的数据。上面已经解释了TCP流图的重要性。
在TCP选项下，捕获窗口，您可以看到关于“PSH字节”和“正在传输的字节”的信息。右键单击并选择“应用为列”。您可以根据它看到列和数据。如下图所示:

在TCP报头中，三次握手MSS (Maximum Header Size)是指它可以接收TCP有效负载的最大数据量。如下图所示:

MSS 1460表示这是每个数据包的数据量。大小因包而异。路由器、防火墙等会进行MSS夹紧，因为它知道接下来会发生什么。它检查大于8000字节的值，并将其降低到适当的级别，以便它可以通过而不产生碎片或被删除。
带0的数据是返回捕获窗口的ax。您可以注意到数据和ACK在每个点上都是不同的。如果我们在确认端，我们知道我们必须在两个包之后发送ACK。一个发送方可以根据自己的拥塞窗口发送X数量的数据包。发送方也可以一次发送包。之后，数据包将到达接收方，然后确认返回。发送方可以在ACK到达之前发送所有数据包。如果缓冲区剩余空间较少，则发送方必须根据空间发送数据包。ACK按时到达，如果ACK有延迟，同步将被延迟。上面只是一个透视的例子。

关于Wireshark的一些事实:

我们不建议禁用TCP和Wireshark的默认设置，除非您知道您需要做什么?重新做的。
如果有空白页和缓慢加载，那么它是不可用的。
从两端抓包比较好。
当你有数据时，依靠你的供应商。
这是一个现场捕捉软件使用广泛。
它还可以从一组已捕获的数据包中捕获数据包。
有许多协议解剖。
常用的端点或IP端点的列表是:蓝牙(MAC 48位地址)，以太网，光纤通道，USB, UDP, FDDI, IPv4, IPv6, JXTA, NCP, TCP等。
名称解析用于将数值转换为人类可读的格式。有两种方式:网络服务解析和从Wireshark配置文件进行解析。只有在捕获未进行时才有可能。将报文加入列表后，可以解决此问题。要使用正确的已解析名称重新构建列表，您可以使用视图- >重新加载．
在ARP协议中，Wireshark要求操作系统将以太网地址转换为IP地址。
由于这是一个实时捕获过程，所以在您的计算机上设置正确的时间和区域非常重要。

电话

“电话”是菜单栏上的选项。如下图所示:

备选方案说明如下:

网络电话	它代表互联网协议语音。它给出了捕获流量中所有检测到的VoIP呼叫的列表。它展示了开始时间，停止时间，初始扬声器，协议，持续时间，数据包，状态．
ANSI	它代表美国国家标准协会。ANSI标准是由ANSI授权的组织制定的。
GSM	它代表全球移动系统。它有多种选择。它有多个选项，用于查看流量中的消息计数。为此，您必须通过USB-TTL转换器将手机连接到计算机，验证该层。在你必须将第一层固件加载到渗透系统之后。2 .运行mobile命令，指定发送GSM TAP的接口，通过Wireshark监听接口。
IAX2流分析	它显示了正向流和反向流的图形。
ISUP消息	它代表ISDN用户部件．它用于在电话交换机之间建立和释放呼叫。它按计数和方向显示消息。
LTE	它代表长期进化．它使用RRC (Radio Resource Control)协议，控制LTE接口中的MAC层和RLC层。它显示了捕获的LTE MAC和LTE RLC流量的统计信息。
MTP3	它提供SS7网络信令点之间的消息路由。它显示了它的统计数据和摘要。它代表消息传递部分．
Osmux	它是一种多路复用协议，通过替代语音和信令流量来降低带宽。如果未检测到，则Wireshark会在UDP报文或流上显示Osmux的此信息。
RTP	它被称为RTP流。它从序列号、包号开始，并根据抖动、包大小、到达时间和延迟创建进一步的统计信息。它代表实时传输协议．
RTSP	它代表实时流协议。提供响应报文和请求报文的报文计数器信息。
SCTP	它代表流控制传输协议。它的设计目的是在IP网络上传输PSTN信令消息。它只适用于更广泛的应用。
SMPP操作	它代表的是短消息点对点。它决定SMPP的响应、请求和操作。
跟单信用证的信息	用于判断抓包是UCP还是Nacks。
H.225	它是一种流分组和信令协议，用于基于分组的多媒体通信系统。
SIP流	它代表会话发起协议。不需要任何常规连接或多条线路。相反，它被安装在你当前的互联网连接上。它与VoIP一起工作。
SIP统计	它提供了关于请求方法和连接上的所有SIP请求的信息。
WAP-WSP报文计数器	WSP代表无线会话协议．表示所有Extended post方法、状态码和PDU类型的报文计数。WAP使用短消息作为载体。