說(shuō)起Wireshark就不得不提Ethereal了����,Ethereal和在Windows系統(tǒng)中常用的sniffer pro并稱網(wǎng)絡(luò)嗅探工具雙雄,不過(guò)和sniffer pro不同的是Ethereal在Linux類系統(tǒng)中應(yīng)用更為廣泛�����。而Wireshark軟件則是Ethereal的后續(xù)版本�,他是2006年在Ethereal被收購(gòu)后推出的最新網(wǎng)絡(luò)嗅探軟件�,在功能上比前身更加強(qiáng)大����。官方主頁(yè): http://www./
Wireshark是功能強(qiáng)大的網(wǎng)絡(luò)數(shù)據(jù)捕獲工具,他可以幫助我們分析網(wǎng)絡(luò)數(shù)據(jù)流量����,在第一時(shí)間發(fā)現(xiàn)蠕蟲病毒,木馬程序以及ARP欺騙等問(wèn)題的根源��。
這個(gè)軟件是開源代碼的�����?����?梢栽趌inux和windows下使用�,在windows下編譯需要安裝cygwin���。
簡(jiǎn)單使用教程
使用Wireshark時(shí)最常見的問(wèn)題����,是當(dāng)您使用默認(rèn)設(shè)置時(shí),會(huì)得到大量冗余信息����,以至于很難找到自己需要的部分。
◆設(shè)置Wireshark的過(guò)濾規(guī)則
在用Wireshark截獲數(shù)據(jù)包之前�,應(yīng)該為其設(shè)置相應(yīng)的過(guò)濾規(guī)則,可以只捕獲感興趣的數(shù)據(jù)包���。Wireshark使用與Tcpdump相似的過(guò)濾規(guī)則�,并且可以很方便地存儲(chǔ)已經(jīng)設(shè)置好的過(guò)濾規(guī)則�����。要為Wireshark配置過(guò)濾規(guī)則���,首先單擊“Capture”選單����,然后選擇“Capture Filters...”菜單項(xiàng)�����,打開“Wireshark :Capture Filter”對(duì)話框�。因?yàn)榇藭r(shí)還沒有添加任何過(guò)濾規(guī)則��,因而該對(duì)話框右側(cè)的列表框是空的(如圖2所示)���。在Wireshark中添加過(guò)濾器時(shí),需要為該過(guò)濾器指定名字及規(guī)則��。
 |
| 圖 4 為Wireshark添加一個(gè)過(guò)濾器 |
例如�,要在主機(jī)192.168.0.3和192.168.0.11間創(chuàng)建過(guò)濾器,可以在“Filter name”編輯框內(nèi)輸入過(guò)濾器名字“cjh”��,在“Filter string”編輯框內(nèi)輸入過(guò)濾規(guī)則“host 192.168.0.3 and 192.168.0.11”�,然后單擊“新建”按鈕即可。
在 Wireshark中使用的過(guò)濾規(guī)則和Tcpdump幾乎完全一致��,這是因?yàn)閮烧叨蓟趐cap庫(kù)的緣故�。Wireshark能夠同時(shí)維護(hù)很多個(gè)過(guò)濾器���。網(wǎng)絡(luò)管理員可以根據(jù)實(shí)際需要選用不同的過(guò)濾器���,這在很多情況下是非常有用的。例如���,一個(gè)過(guò)濾器可能用于截獲兩個(gè)主機(jī)間的數(shù)據(jù)包����,而另一個(gè)則可能用于截獲 ICMP包來(lái)診斷網(wǎng)絡(luò)故障。單擊“保存”按鈕��,會(huì)到對(duì)話框�����。單擊“關(guān)閉”按鈕完成設(shè)置��。
1. 指定過(guò)濾器
要將過(guò)濾器應(yīng)用于嗅探過(guò)程�,需要在截獲數(shù)據(jù)包之前或之后指定過(guò)濾器。要為嗅探過(guò)程指定過(guò)濾器���,并開始截獲數(shù)據(jù)包�,可以單擊“Capture”選單�,選擇 “Start...”選單項(xiàng),打開“iterface”對(duì)話框�,單擊該對(duì)話框中的“Filter:”按鈕,然后選擇要使用的網(wǎng)絡(luò)接口����,如圖5所示。
 |
| 圖 5 為Wireshark指定網(wǎng)絡(luò)接口 |
l注意:在“Capture Options”對(duì)話框中��,“Update list of packets in real time”復(fù)選框被選中了。這樣可以使每個(gè)數(shù)據(jù)包在被截獲時(shí)就實(shí)時(shí)顯示出來(lái)�,而不是在嗅探過(guò)程結(jié)束之后才顯示所有截獲的數(shù)據(jù)包。
在選擇了所需要的過(guò)濾器后�,單擊“確定”按鈕,整個(gè)嗅探過(guò)程就開始了���。Wireshark可以實(shí)時(shí)顯示截獲的數(shù)據(jù)包�����,因此能夠幫助網(wǎng)絡(luò)管理員及時(shí)了解網(wǎng)絡(luò)的運(yùn)行狀況��,從而使其對(duì)網(wǎng)絡(luò)性能和流量能有一個(gè)比較準(zhǔn)確的把握��。如圖6 ����。
圖 6 Wireshark實(shí)時(shí)顯示截獲的數(shù)據(jù)包
Capture Options其他選項(xiàng):
Interface(接口)
這個(gè)字段指定在哪個(gè)接口進(jìn)行捕獲��。這是一個(gè)下拉字段��,只能從中選擇Wireshark 識(shí)別出來(lái)的接口��,默認(rèn)是第一塊支持捕獲的非loopback 接口卡�����。如果沒有接口卡����,那么第一個(gè)默認(rèn)就是第一塊loopback 接口卡。在某些系統(tǒng)中��,loopback 接口卡不能用來(lái)捕獲(loopback 接口卡在Windows平臺(tái)是不可用的)���。
lIP address(IP 地址)
所選接口卡的IP 地址���。如果不能解析出IP 地址,則顯示"unknown"
lLink-layer header type(鏈路層頭類型)
除非你在極個(gè)別的情況下可能用到這個(gè)字段�,大多數(shù)情況下保持默認(rèn)值。具體的描述��,見”
lBuffer size: n megabyte(s) (緩沖區(qū)大?���。簄 兆)
輸入捕獲時(shí)使用的buffer 的大小。這是核心buffer 的大小�,捕獲的數(shù)據(jù)首先保存在這里,直到寫入磁盤。如果遇到包丟失的情況�,增加這個(gè)值可能解決問(wèn)題。
lCapture packets in promiscuous mode (在混雜模式捕獲包)
這個(gè)選項(xiàng)允許設(shè)置是否將網(wǎng)卡設(shè)置在混雜模式�。如果不指定,Wireshark 僅僅捕獲那些進(jìn)入你的計(jì)算機(jī)的或送出你的計(jì)算機(jī)的包���。(而不是LAN 網(wǎng)段上的所有包).
lLimit each packet to n bytes (限制每一個(gè)包為n 字節(jié))
這個(gè)字段設(shè)置每一個(gè)數(shù)據(jù)包的最大捕獲的數(shù)據(jù)量����。有時(shí)稱作snaplen ���。如果disable 這個(gè)選項(xiàng)默認(rèn)是65535, 對(duì)于大多數(shù)協(xié)議來(lái)講中夠了���。
lCapture Filter(捕獲過(guò)濾)
這個(gè)字段指定一個(gè)捕獲過(guò)濾。 “在捕獲時(shí)進(jìn)行過(guò)濾”部分進(jìn)行討論��。默認(rèn)是空的�,即沒過(guò)過(guò)濾。也可以點(diǎn)擊標(biāo)為Capture Filter 的按鈕, Wireshark 將彈出Capture Filters(捕獲過(guò)濾)對(duì)話框����,來(lái)建立或者選擇一個(gè)過(guò)濾���。
四��、用Wireshark分析互聯(lián)網(wǎng)數(shù)據(jù)包實(shí)例
上面基本是以局域網(wǎng)為例的�。下面看看Wireshark對(duì)于互聯(lián)網(wǎng)數(shù)據(jù)的分析。Wireshark和其它的圖形化嗅探器使用基本類似的界面�����,整個(gè)窗口被分成三個(gè)部分:最上面為數(shù)據(jù)包列表���,用來(lái)顯示截獲的每個(gè)數(shù)據(jù)包的總結(jié)性信息�����;中間為協(xié)議樹�,用來(lái)顯示選定的數(shù)據(jù)包所屬的協(xié)議信息�����;最下邊是以十六進(jìn)制形式表示的數(shù)據(jù)包內(nèi)容�����,用來(lái)顯示數(shù)據(jù)包在物理層上傳輸時(shí)的最終形式�����。使用Wireshark可以很方便地對(duì)截獲的數(shù)據(jù)包進(jìn)行分析,包括該數(shù)據(jù)包的源地址����、目的地址、所屬協(xié)議等���。圖7是在Wireshark中對(duì)一個(gè)HTTP數(shù)據(jù)包進(jìn)行分析時(shí)的情形�。在圖最上邊的數(shù)據(jù)包列表中���,顯示了被截獲的數(shù)據(jù)包的基本信息�����。
 |
| 圖 7 用Wireshark分析互聯(lián)網(wǎng)數(shù)據(jù)包內(nèi)容 |
圖 7中間是協(xié)議樹��,通過(guò)協(xié)議樹可以得到被截獲的數(shù)據(jù)包的更多信息�����,如主機(jī)的MAC地址(Ethernet II)�����、IP地址(Internet Protocol)����、TCP端口號(hào)(Transmission Control Protocol)��,以及HTTP協(xié)議的具體內(nèi)容(Hypertext Trnasfer Protocol)����。通過(guò)擴(kuò)展協(xié)議樹中的相應(yīng)節(jié)點(diǎn),可以得到該數(shù)據(jù)包中攜帶的更詳盡的信息��。
 |
| 圖 8 使用Follow TCP stearm 查看詳細(xì)信息 |
圖 8最下邊是以十六制顯示的數(shù)據(jù)包的具體內(nèi)容����,這是被截獲的數(shù)據(jù)包在物理媒體上傳輸時(shí)的最終形式,當(dāng)在協(xié)議樹中選中某行時(shí)���,與其對(duì)應(yīng)的十六進(jìn)制代碼同樣會(huì)被選中�,這樣就可以很方便地對(duì)各種協(xié)議的數(shù)據(jù)包進(jìn)行分析����。圖6 是一個(gè)詳細(xì)封包分析。是點(diǎn)擊該封包選擇“Mark Pactet”�。從圖中可以看出����,當(dāng)前選中數(shù)據(jù)包的源地址是221.217.132.33��,目的地址為202.106.124.50�����,該數(shù)據(jù)包所屬的協(xié)議是超文本傳輸協(xié)議(HTTP)�。要獲取更加詳細(xì)信息可以是點(diǎn)擊該封包選擇“Follow TCP stearm ”。
