Wireshark使用教程.docx
《Wireshark使用教程.docx》由会员分享,可在线阅读,更多相关《Wireshark使用教程.docx(133页珍藏版)》请在冰豆网上搜索。
Wireshark使用教程
第 1 章 介绍
. 什么是Wireshark
Wireshark是网络包分析工具。
网络包分析工具的主要作用是尝试捕获网络包,并尝试显示包的尽可能详细的情况。
你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具,就好像使电工用来测量进入电信的电量的电度表一样。
(当然比那个更高级)
过去的此类工具要么是过于昂贵,要么是属于某人私有,或者是二者兼顾。
Wireshark出现以后,这种现状得以改变。
Wireshark可能算得上是今天能使用的最好的开元网络分析软件。
主要应用
下面是Wireshark一些应用的举例:
网络管理员用来解决网络问题
网络安全工程师用来检测安全隐患
开发人员用来测试协议执行情况
用来学习网络协议
除了上面提到的,Wireshark还可以用在其它许多场合。
特性
支持UNIX和Windows平台
在接口实时捕捉包
能详细显示包的详细协议信息
可以打开/保存捕捉的包
可以导入导出其他捕捉程序支持的包数据格式
可以通过多种方式过滤包
多种方式查找包
通过过滤以多种色彩显示包
创建多种统计分析
…还有许多
不管怎么说,要想真正了解它的强大,您还得使用它才行
图 . Wireshark捕捉包并允许您检视其内
捕捉多种网络接口
Wireshark可以捕捉多种网络接口类型的包,哪怕是无线局域网接口。
想了解支持的所有网络接口类型,可以在我们的网站上找到 支持多种其它程序捕捉的文件
Wireshark可以打开多种网络分析软件捕捉的包,详见
支持多格式输出
Wieshark可以将捕捉文件输出为多种其他捕捉软件支持的格式,详见
对多种协议解码提供支持
可以支持许多协议的解码(在Wireshark中可能被称为解剖)
开源软件
Wireshark是开源软件项目,用GPL协议发行。
您可以免费在任意数量的机器上使用它,不用担心授权和付费问题,所有的源代码在GPL框架下都可以免费使用。
因为以上原因,人们可以很容易在Wireshark上添加新的协议,或者将其作为插件整合到您的程序里,这种应用十分广泛。
Wireshark不能做的事
Wireshark不能提供如下功能
Wireshark不是入侵检测系统。
如果他/她在您的网络做了一些他/她们不被允许的奇怪的事情,Wireshark不会警告您。
但是如果发生了奇怪的事情,Wireshark可能对察看发生了什么会有所帮助。
[3]
Wireshark不会处理网络事务,它仅仅是“测量”(监视)网络。
Wireshark不会发送网络包或做其它交互性的事情(名称解析除外,但您也可以禁止解析)。
. 系通需求
想要安装运行Wireshark需要具备的软硬件条件...
一般说明
给出的值只是最小需求,在大多数网络中可以正常使用,但不排除某些情况下不能使用。
[4]
在繁忙的网络中捕捉包将很容塞满您的硬盘!
举个简单的例子:
在100MBIT/s全双工以太网中捕捉数据将会产生750MByties/min的数据!
在此类网络中拥有高速的CPU,大量的内存和足够的磁盘空间是十分有必要的。
如果Wireshark运行时内存不足将会导致异常终止。
可以在察看详细介绍以及解决办法。
Wireshark作为对处理器时间敏感任务,在多处理器/多线程系统环境工作不会比单独处理器有更快的速度,例如过滤包就是在一个处理器下线程运行,除了以下情况例外:
在捕捉包时“实时更新包列表”,此时捕捉包将会运行在一个处理下,显示包将会运行在另一个处理器下。
此时多处理或许会有所帮助。
[5]
MicrosoftWindows
Windows2000,XPHome版,XPPro版,XPTabletPC,XPMediaCenter,Server2003orVista(推荐在XP下使用)
32-bit奔腾处理器或同等规格的处理器(建议频率:
400MHz或更高),64-bit处理器在WoW64仿真环境下-见一般说明
128MB系统内存(建议256Mbytes或更高)
75MB可用磁盘空间(如果想保存捕捉文件,需要更多空间)800*600(建议1280*1024或更高)分辨率最少65536(16bit)色,(256色旧设备安装时需要选择”legacyGTK1”)
网卡需求:
o以太网:
windows支持的任何以太网卡都可以
o无线局域网卡:
见MicroLogixsupportlist,不捕捉包头和无数据桢。
o其它接口见:
说明
基于以下三点原因,将不会对旧版Windows提供支持:
没有任何开发人员正在使用那些操作系统,这将使支持变得更加困难,Wireshark运行所依赖的库文件(如GTK,WinPCap等)也放弃对它们的支持。
同样,微软也放弃了对它们的技术支持。
Windows95,98和ME不能运行Wireshark。
已知的最后一个可以运行在以上平台的版本是需要安装,你依然可以使用从:
获得。
顺便提一下:
微软于2006年1月11日停止对98/ME支持。
WindowsNT今后将无法运行Wireshark.最有一个已知版本是需安装自带的,你依然可以从:
得到它。
顺便提一下:
微软于2005年12月31日停止对NT的支持。
WindowsCE及嵌入版windows(NT/XP)不被支持。
64-bit处理器运行Wireshark需要在32bit仿真环境下(称作WoW64),最低需要安装。
支持多显示(不知道是显示其还是监视器)安装,但会遇到一些不可预料的问题。
Unix/Linux
Wireshark目前可以运行在许多UNIX平台,系统可以对照上面Windows下的指标。
二进制包最少在以下平台可用:
APPleMacOSX
DebianGNU/Linux
FreeBSD
NetBSD
OpenPKG
RedHatFedora/EnterpriseLinux
rPathLinux
SunSolaris/i386
SunSolaris/Sparc
如果二进制包在您的平台无法使用,你可以下载源文件并尝试编译它。
希望您能发送邮件到wireshark-dev[AT].分享您的经验。
. 从哪里可以得到Wireshark
你可以从我们的网站下载最新版本的Wireshark网站上您可以选择适合您的镜像站点。
Wireshark通常在4-8周内发布一次新版本
如果您想获得Wireshark发布的消息通知,你可以订阅Wireshark-announce邮件列表。
详见第 节“邮件列表”
. Wiresahrk简史[6]
1997年以后,GeraldCombs需要一个工具追踪网络问题并想学习网络知识。
所以他开始开发Ethereal(Wireshark项目以前的名称)以解决以上的两个需要。
Ethereal是第一版,经过数次开发,停顿,1998年,经过这么长的时间,补丁,Bug报告,以及许多的鼓励,版诞生了。
Ethereal就是以这种方式成功的。
此后不久,GilbertRamirez发现它的潜力,并为其提供了底层分析
1998年10月,GuyHarris正寻找一种比TcpView更好的工具,他开始为Ethereal进行改进,并提供分析。
998年以后,正在进行TCP/IP教学的RichardSharpe关注了它在这些课程中的作用。
并开始研究该软件是否他所需要的协议。
如果不行,新协议支持应该很方便被添加。
所以他开始从事Ethereal的分析及改进。
从那以后,帮助Ethereal的人越来越多,他们的开始几乎都是由于一些尚不被Ethereal支持的协议。
所以他们拷贝了已有的解析器,并为团队提供了改进回馈。
2006年项目MovedHouse(这句不知道怎么翻译)并重新命名为:
Wireshark.
. Wireshark开发维护
Wireshark最初由GeraldCombs开发。
目前由Wiresharkteam进行进一步开发和维护。
Wiresharkteam是一个由修补bug提高Wireshark功能的独立成员组成的松散组织。
有大量的成员为Wireshark提供协议分析。
同时我们也希望这些活动能持续机芯。
通过查看Wireshark帮助菜单下的About,你可以找到为Wireshark提供代码的人员名单,或者你也可以通过Wireshark网站的authors页面找到。
Wireshark是开源软件项目,发布遵循GNUGeneralPublicLicence(GPL协议),所有源代码可以在GPL框架下免费使用。
欢迎您修改Wireshark以便适合您的需要,如果您可以提供您的改进给Wiresharkteam,我们将不胜感激。
为WiresharkTeam提供您的改进建议,有以下益处:
如果其他人发现您提供的改进十分有用会肯定它们的价值,您将会得知你曾像Wiresharkteam一样帮助过他人
ThedevelopersofWiresharkmightimproveyourchangesevenmore,asthere'salwaysroomforimprovement.Ortheymayimplementsomeadvancedthingsontopofyourcode,whichcanbeusefulforyourselftoo.
ThemaintainersanddevelopersofWiresharkwillmaintainyourcodeaswell,fixingitwhenAPIchangesorotherchangesaremade,andgenerallykeepingitintunewithwhatishappeningwithWireshark.SoifWiresharkisupdated(whichisdoneoften),youcangetanewWiresharkversionfromthewebsiteandyourchangeswillalreadybeincludedwithoutanyeffortforyou.
Wireshar源代码和二进制kits(二进制工具包)可以根据自己的平台对应下载,网站是:
. 汇报问题和获得帮助
如果您在使用中碰到了问题,或者您需要Wireshark的帮助,有以下几种可能让您有兴趣的方法(当然,还包括这本书)。
网站
通过访问你将会发现关于Wireshark许多有用的信息。
百科全书
WiresharkWiki(提供广泛的跟Wireshark以及捕捉包有关信息。
你将会发现一些没有被包括在本书内信息,例如:
wiki上有解释如何在交换网络捕捉包,同时我们正努力建立协议参考,等等。
最好的事情是,如果对某些知识有独到见解(比如您精通某种协议),您可以通过浏览器编辑它。
FAQ
最经常被问到的问题“FrequentlyAskedQuestions”提供一个经常被问到的问题以及答案的列表。
ReadTheFAQ
在您发送任何邮件到邮件列表之前,确信您已经阅读了FAQ,因为这里面很可能已经提供了您想问的问题,答案。
这将大大节约您的时间(记住,有很多人提交了大量的邮件)。
邮件列表
下面的几个几个邮件列表,分别属于不同的主题:
Wireshark-users
这是一个Wireshark用户的列表,大家提交关于安装和使用Wireshark的问题,其它人(非常有用)提供的答案。
(译者注:
其他人当然也是指用户)
wireshark-announce
这是一个关于程序发布信息的列表,通常每4-8周出现一次。
wireshark-dev
这是一个关于Wireshark开发的邮件列表,如果开始开发协议分析,可以从加入该列表
你可以通过网站订阅每个邮件列表.简单点击网站左手边的邮件列表链接就可以。
邮件同样在网站上可以看到存档。
提示
你可以搜索存档看看有没有人问过跟你一样的问题,或许您的问题已经有了答案。
这样您就不必提交邮件以等待别人答复您了。
报告问题
注意
在您提交任何问题之前,请确定您安装的是最新版本的Wireshark。
当您提交问题的时候,如果您提供如下信息将会对解决问题很有帮助。
1.Wireshark的版本,及其依赖的库的版本,如GTK+,等等。
你可以通过Wireshark–v命令获得版本号。
(估计是UNIX/Linux平台)。
2.运行Wireshark的平台信息。
3.关于问题的详细描述。
4.如果您得到错误或者警告信息,拷贝错误信息的文本(以及在此之前或之后的文本,如果有的话),这样其他人可能会发现发生问题的地方。
请不要发送诸如:
“Igotawarningwhiledoingx”[7],因为这样看起来不是个好主意。
不要发送大文件
不要发送过大的文件(>100KB)到邮件列表,在邮件中附加一个能提供足够数据的记事本就可以。
大文件会让很多邮件列表里的那些对您的问题不感兴趣的用户感到恼怒。
如果需要,你可以单独发送那些数据给对您问题真正感兴趣,要求您发送数据的人。
不要发送机密信息!
如果您发送捕捉数据到邮件列表,请确定它们不包含敏感或者机密信息,比如密码或者诸如此类的。
在UNIX/Linux平台追踪软件错误
如果您发送捕捉数据到邮件列表,请确定它们不包含敏感或者机密信息,比如密码或者诸如此类的。
你可以通过如下命令获得追踪信息:
$gdb`whereiswireshark|cut-f2-d:
|cut-d''-f2`core>&
backtrace
^D
$
注意
在逐字输入第一行的字符!
[8]
注意
追踪是一个GDB命令。
你可以在输完第一上以后输入它,但是会没有相应,^D命令(CTL+D)将会退出GDB命令。
以上命令让你在当前目录得到一个名为的文本文件,它包含您的bug报告。
注意
如果您缺少GDB,您必须检查您的操作系统的调试器。
你可以发送追踪邮件到wireshark-dev[AT]邮件列表
在Windows平台追踪软件错误
Windows下无法包含符号文件(.pdb),它们非常大。
因此不太可能创建十分有意义的追踪文件。
你将汇报软件错误就像前面描述的其他问题一样。
(这句不尽人意)
[3]译者注:
因为不是入侵检测之用,所以不会将入侵检测和普通通信区别对待,但是都会体现在网络包里面,如果您有足够的经验,或许能通过监视网络包发现入侵检测
[4]译者注:
原文“Thevaluesbelowaretheminimumrequirementsandonly"rulesofthumb"foruseonamoderatelyusednetwork”,其中”rulesofthumb”中译名应该是拇指规则,但网上关于拇指规则解释莫衷一是,大致意思是说:
大多数情况下适用,但并非所有情况。
这里翻译的有点别扭
[5]译者注:
我对这句话的理解是,正如播放电影一样,高性能的处理器只会增强显示效果,您并不需要将原来30分钟的影片10分钟之内看完。
当然,对减少延时还是有作用的。
但是感觉这句有点阅读困难,可能翻译的有点问题.
[6]本段因为有很多协议,程序开发方面的术语,翻译得比较糟糕
[7]译者注:
那句话的意思是,我在XX时碰到一个警告信息
[8]译者注:
原文是:
"Typethecharactersinthefirstlineverbatim!
Thoseareback-ticsthere!
",Thoseareback-ticsthere!
不知道是什么意思,back-tics=后勤抽搐熟悉Linux的或许知道
第 2 章 编译/安装Wireshark
. 须知
万事皆有开头,Wireshark也同样如此。
要想使用Wireshark,你必须:
获得一个适合您操作系统的二进制包,或者
获得源文件为您的操作系统编译。
目前,只有两到三种Linux发行版可以传送Wireshark,而且通常传输的都是过时的版本。
至今尚未有UNIX版本可以传输Wireshark.Windows的任何版本都不能传输Wireshark.基于以上原因,你需要知道从哪能得到最新版本的Wireshark以及如何安装它。
本章节向您展示如何获得源文件和二进制包,如何根据你的需要编译Wireshark源文件。
以下是通常的步骤:
1.下载需要的相关包,例如:
源文件或者二进制发行版。
2.将源文件编译成二进制包(如果您下载的是源文件的话)。
这样做做可以整合编译和/或安装其他需要的包。
3.安装二进制包到最终目标位置。
. 获得源
你可以从Wireshark网站同时获取源文件和二进制发行版。
选择您需要下载的链接,然后选择源文件或二进制发行包所在的镜像站点(尽可能离你近一点的站点)。
下载所有需要的文件!
一般来说,除非您已经下载Wireshark,如果您想编译Wireshark源文件,您可能需要下载多个包。
这些在后面章节会提到。
注意
当你发现在网站上有多个二进制发行版可用,您应该选择适合您平台的版本,他们同时通常会有多个版本紧跟在当前版本后面,那些通常时拥有那些平台的用户编译的。
基于以上原因,您可能想自己下载源文件自己编译,因为这样相对方便一点。
. 在UNIX下安装之前
在编译或者安装二进制发行版之前,您必须确定已经安装如下包:
1.GTK+,TheGIMPToolKit.
您将会同样需要Glib.它们都可以从获得。
2.Libpcap,Wireshark用来捕捉包的工具
您可以从获得。
根据您操作系统的不同,您或许能够安装二进制包,如RPMs.或许您需要获得源文件并编译它。
如果您已经下载了GTK+源文件,例 “从源文件编译GTK+”提供的指令对您编译有所帮助。
例 . 从源文件编译GTK+
gzip-dcgtk+|tarxvf-
./configure
makeinstall
注意
您可能需要修改例 “从源文件编译GTK+”中提供的版本号成对应您下载的GTK+版本。
如果GTK的目录发生变更,您同样需要修改它。
,tarxvf显示您需要修改的目录。
注意
如果您使用Linux,或者安装了GUNtar,您可以使用tarzxvfgtk+命令。
同样也可能使用gunzip–c或者gzcat而不是许多UNIX中的gzip–dc
注意
如果您在windows中下载了gtk+或者其他文件。
您的文件可能名称为:
gtk+
如果在执行例 “从源文件编译GTK+”中的指令时有错误发生的话,你可以咨询GTK+网站。
如果您已经下载了libpcap源,一般指令如例 “编译、安装libpcap”显示的那样会帮您完成编译。
同样,如果您的操作系统不支持tcpdump,您可以从tcpdump网站下载安装它。
例 . 编译、安装libpcap
gzip-dc|tarxvf-
cdoutputremoved>
make
makeinstall
注意
Libpcap的目录需要根据您的版本进行修改。
tarxvf命令显示您解压缩的目录。
RedHat及其以上版本环境下(包括基于它的发行版,如Mandrake),您可以直接运行RPM安装所有的包。
大多数情况下的Linux需要安装GTK+和Glib.反过来说,你可能需要安装所有包的定制版。
安装命令可以参考例 “在RedHatLinux或者基于该版本得发行版下安装需要的RPM包”。
如果您还没有安装,您可能需要安装需要的RPMs。
例 . 在RedHatLinux或者基于该版本得发行版下安装需要的RPM包
cd/mnt/cdrom/RedHat/RPMS
rpm-ivh-ivh-ivhgtk+-ivhgtk+-ivh
注意
如果您使用RedHat之后的版本,需要的RMPs包可能已经变化。
您需要使用正确的RMPs包。
在Debian下您可以使用apt-ge命令。
apt-get将会为您完成所有的操作。
参见例 “在Deban下安装Deb”
例 . 在Deban下安装Deb
apt-getinstallwireshark-dev
. 在UNIX下编译Wireshark
如果在Unix操作系统下可以用如下步骤编译Wireshark源代码:
1.如果使用Linux则解压gzip'dtar文件,如果您使用UNIX,则解压GUNtar文件。
对于Linux命令如下:
tarzxvf对于UNIX版本,命令如下
gzip-dxvf
注意
使用管道命令行gzip–dcxvf同样可以[9]
注意
如果您在Windows下下载了Wireshark,你会发现文件名中的那些点变成了下划线。
2.将当前目录设置成源文件的目录。
3.配置您的源文件以编译成适合您的Unix的版本。
命令如下:
./configure
如果找个步骤提示错误,您需要修正错误,然后重新configure.解决编译错误可以参考第 节“解决UNIX下安装过程中的问题”
4.使用make命令将源文件编译成二进制包,例如:
make
5.安装您编译好的二进制包到最终目标,使用如下命令:
makeinstall
一旦您使用makeinstall安装了Wireshark,您就可以通过输入Wireshark命令来运行它了。
. 在UNIX下安装二进制包
一般来说,在您的UNIX下安装二进制发行包使用的方式根据您的UNIX的版本类型而各有不同。
例如AIX下,您可以使用smit安装,Tru64UNIX您可以使用setld命令。
在Linux或类似环境下安装RPM包
使用如下命令安装WiresharkRPM包
rpm-ivh如果因为缺少Wireshark依赖的软件而导致安装错误,请先安装依赖的软件,然后再尝试安装。
REDHAT下依赖的软件请参考例 “在RedHatLinux或者基于该版本得发行版下安装需要的RPM包”
在Debian环境下安装Deb包
使用下列命令在Debian下安装Wireshark
apt-getinstallWireshark
apt-get会为您完成所有的相关操作
在GentooLinux环境下安装Portage
使用如下
升级会员 