您当前的位置：首页 > 淘宝百科

基于wireshark的网络数据包分析实验总结_网络数据包分析软件wireshark的基本使用

时间：2023-02-07 14:08:45

Wireshark(以前称为Ethereal)是一款网络数据包分析软件。网络包分析软件的作用就是拦截网络包，尽可能的显示最详细的网络包数据。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

网络管理员使用Wireshark检测网络问题，网络安全工程师使用Wireshark检查信息安全相关问题，开发人员使用Wireshark调试新的通信协议，普通用户使用Wireshark了解网络协议。当然，有些人会用它来查找一些敏感信息。与tcpdump相比，Wireshark的界面更加友好，功能更加强大。

基本用途

以下介绍基于mac下的Wireshark 1 . 12 . 2版本。

认知界面

描述：

常见按钮的功能从左至右依次为：

1、列出了可用的接口。

2、抓取行李时要设置的一些选项。通常会保留最后的设置结果。

3、启动新的抓袋器。

4、暂停抓取袋子。

5、继续抓包。

6、打开箱包捕获文件。可以打开之前抓取包后保存的文件。您不仅可以打开wireshark软件保存的文件，还可以使用-w参数打开tcpdump保存的文件。

7、保存文件。保存此行李捕获或分析的结果。

8、关闭打开的文件。文件关闭后，会切换到初始界面。

9、使包捕获文件过载。

设置数据捕获选项

点击常用按钮中的设置按钮，会弹出设置选项对话框。在这个对话框中，我们可以选择要监控的接口，设置混杂模式，设置抓取数据包的过滤条件。如下图：

首先，选择需要监听数据包的接口。接口列表区域列出了所有可以使用的接口。如果接口前面的复选框被选中，则意味着接口被监控以捕获数据包。

第二，设置混杂模式。设置混杂模式的功能是将网卡设置为混杂模式。如果您没有设置混杂模式，您的电脑只能获取发送到您的电脑或从您的电脑接收的数据包。如果设置了混杂模式，您可以捕获局域网中的所有数据包。如果选中窗口中“在所有接口上使用混杂模式”前面的复选框，则意味着混杂模式用于所有接口。如果想单独设置，可以双击接口列表中的接口，会弹出如下对话框。然后选中或取消选中“以混杂模式捕获数据包”前的复选框。然后单击确定按钮。

第三，设置捕获过滤条件。点击设置按钮弹出的主设置对话框和双击接口列表弹出的对话框中会有“捕捉过滤器”项。在文本框中，我们可以设置捕获过滤条件。例如，如果我们只捕获http相关的数据包，我们可以将捕获条件设置为“端口80”。因为http使用端口80。

最后，所有设置完成后，点击设置主窗口中的“开始”按钮，开始采集数据。数据捕获后，您可以点击常用按钮中的“保存”按钮来保存数据。

使用显示过滤器

显示过滤器用于捕获文件，告诉wireshark只显示符合过滤条件的数据包。显示过滤器比捕获过滤器更常用。它可以用来过滤不需要的数据包，但不会删除数据。如果你想恢复原来的状态，只需删除过滤条件。

wireshark的过滤表达式对话框，可以很容易地设置过滤表达式。单击“表达式”按钮打开此对话框。如下图：

对话框分为左、中、右三部分。左侧是所有可用的协议域。右边是与协议域相关的条件值。中间是协议域和条件值的关系。过滤表达式对初学者很有用。如上图所示，我们创建的表达式的作用是只显示http协议包中包含关键字“bo56.com”的所有数据包。

字段名描述：

该列表显示了所有支持的协议。点击前面的三角形符号后，您可以列出此协议的可过滤字段。如果选择“字段名”列表中的任意一项，只需要输入想要的协议域，它就会自动定位对应的协议域选项。

关系描述：

如果所选协议域存在，将显示相关数据包。

包含确定协议、字段或片段包含值。

Matches确定协议或字符串与给定的Perl表达式匹配。

值(协议)描述：

在此输入适当的值。如果所选协议域和该值满足关系中指定的关系，将显示相关数据包。

预定义值描述：

一些协议域包含预定义的值，这有点类似于C语言中的枚举类型。如果您选择的协议域包含这样的值，您可以从该列表中选择它。

功能功能描述：

过滤器的语言还具有以下功能：

Upper(字符串字段)-将字符串转换为大写。

Lower(字符串字段)-将字符串转换为小写。

Upper((和lower()在处理区分大小写的字符串比较时很有用。

例如：

upper(ncp.nds_stream_name)包含“BO56 . com”lower(mount . dump . hostname)==' BO56。' COM '

如果您熟悉这个规则，您会发现手动输入表达式更有效。那时，当你在过滤器文本框中手动输入表达式时，如果输入的语法有问题，文本框的背景色就会变成红色。此时可以继续输入或修改，在知道文本框中的表达式正确后，文本框的背景色会再次变绿。

使用着色规则

您经常会在数据包列表区域看到不同的颜色。这是wireshark人性的一面。它允许您指定条件并以指定的颜色显示合格的数据包。你找数据包会更方便。下面说说如何设置颜色规则。

点击“查看”菜单，然后选择“颜色规则”选项，弹出颜色规则设置对话框。您也可以通过单击颜色规则设置的快捷按钮来打开颜色设置对话框。如下图：

默认情况下打开的对话框中已经有一些规则。我们经常会在抓取的数据包中看到一些不同的颜色，这是默认应用的规则。单击“新建”按钮添加规则。如下图：

在名称字段中填写规则的名称，以便于记忆。

在字符串字段中填写过滤规则。这里的语法与显示规则表达式一致。点击上图中的“表达式”按钮，就会看到熟悉的正则表达式对话。

前景色按钮用于选择前景色。

背景颜色按钮用于选择背景颜色。

“禁用”按钮用于指示是否禁用此规则。

单击“确定”按钮后，该规则将自动添加到规则列表的前面。

注意：wireshark以自上而下的顺序应用规则。因此，将首先应用刚刚添加的规则。如果要调整顺序，可以选择要调整顺序的规则，然后点击右边的“向上”或“向下”按钮。

设置颜色规则后，只需单击“应用”按钮即可应用规则。规则效果应用如下：

使用图表

图形分析是数据分析的重要组成部分。也是wireshark的一大亮点。Wireshark有不同的图形显示功能来帮助您理解捕获的数据包。下面介绍一下常用的IO图和双向时序图。

IO图

Wireshark的IO图允许您绘制网络上的吞吐量。让你知道网络数据传输的峰值和波动。您可以通过“统计”菜单中的“IO图形”选项打开此IO图对话框。如下图：

您可以看到IO图表对话框分为三个区域。

过滤区：设置过滤条件，用于图形化显示与过滤条件相关的数据包的变化。您可以为每个不同的条件指定不同的颜色。过滤条件的语法与前面介绍的显示过滤器的语法相同。过滤条件为空，此图显示所有流量。

坐标区：这里可以设置图表的X轴和Y轴。x轴是时间，y轴是包裹数量。如图，我们将Y轴的单位设置为字节/节拍。

趋势图区域：根据过滤器设置的条件和坐标区域的设置，分析后的数据将以图形方式显示在该区域。点击图中的一点，对应的数据包就会自动定位。点击趋势图中的低点，会发现大量的包重传。

IO图表也可以通过函数聚合数据。

在Y轴的单位选项中单击高级，计算选项将被添加到过滤区域中。如下图：