WireShark教程详解PPTPPT文档格式.ppt
《WireShark教程详解PPTPPT文档格式.ppt》由会员分享,可在线阅读,更多相关《WireShark教程详解PPTPPT文档格式.ppt(57页珍藏版)》请在冰豆网上搜索。
,软件简介,网络管理员使用Wireshark来检测网络问题,网络安全工程师使用Wireshark来检查资讯安全相关问题,开发者使用Wireshark来为新的通讯协定除错,普通使用者使用Wireshark来学习网络协定的相关知识当然,有的人也会“居心叵测”的用它来寻找一些敏感信息Wireshark不是入侵侦测软件(IntrusionDetectionSoftware,IDS)。
对于网络上的异常流量行为,Wireshark不会产生警示或是任何提示。
然而,仔细分析Wireshark截取的封包能够帮助使用者对于网络行为有更清楚的了解。
Wireshark不会对网络封包产生内容的修改,它只会反映出目前流通的封包资讯。
Wireshark本身也不会送出封包至网络上。
启动后的界面,功能界面介绍,MENUS(菜单),SHORTCUTS(快捷方式),DISPLAYFILTER(显示过滤器),PACKETLISTPANE(封包列表),PACKETDETAILSPANE(封包详细信息),DISSECTORPANE(16进制数据),MISCELLANOUS(杂项),File(文件)打开或保存捕获的信息。
Edit(编辑)查找或标记封包。
进行全局设置。
View(查看)设置Wireshark的视图。
Go(转到)跳转到捕获的数据。
Capture(捕获)设置捕捉过滤器并开始捕捉。
Analyze(分析)设置分析选项。
Statistics(统计)查看Wireshark的统计信息。
Help(帮助)查看本地或者在线支持。
Help帮助ContentsWireshark使用手册SupportedProtocolsWireshark支持的协议清单ManualPages使用手册(HTML网页)WiresharkOnlineWireshark在线AboutWireshark关于Wireshark,ANSI按照美国国家标准协会的ANSI协议分析FaxT38Analysis.按照T38传真规范进行分析GSM全球移动通信系统GSM的数据H.225H.225协议的数据MTP3MTP3协议的数据RTP实时传输协议RTP的数据SCTP数据流控制传输协议SCTP的数据SIP.会话初始化协议SIP的数据VoIPCalls互联网IP电话的数据WAP-WSP无线应用协议WAP和WSP的数据BOOTP-DHCP引导协议和动态主机配置协议的数据Destinations通信目的端FlowGraph网络通信流向图HTTP超文本传输协议的数据IPaddress互联网IP地址ISUPMessagesISUP协议的报文MulticastStreams多播数据流ONC-RPCProgramsPacketLength数据包的长度PortType传输层通信端口类型TCPStreamGraph传输控制协议TCP数据流波形图,Statistics对已捕获的网络数据进行统计分析Summary已捕获数据文件的总统计概况ProtocolHierarchy数据中的协议类型和层次结构Conversations会话Endpoints定义统计分析的结束点IOGraphs输入/输出数据流量图ConversationList会话列表EndpointList统计分析结束点的列表ServiceResponseTime从客户端发出请求至收到服务器响应的时间间隔,Analyze对已捕获的网络数据进行分析DisplayFilters选择显示过滤器ApplyasFilter将其应用为过滤器PrepareaFilter设计一个过滤器FirewallACLRules防火墙ACL规则EnabledProtocols已可以分析的协议列表DecodeAs将网络数据按某协议规则解码UserSpecifiedDecodes用户自定义的解码规则FollowTCPStream跟踪TCP传输控制协议的通信数据段,将分散传输的数据组装还原FollowSSLstream跟踪SSL安全套接层协议的通信数据流ExpertInfo专家分析信息ExpertInfoComposite构造专家分析信息,Capture捕获网络数据Interfaces选择本机的网络接口进行数据捕获Options捕获参数选择Start开始捕获网络数据Stop停止捕获网络数据Restart重新开始捕获CaptureFilters选择捕获过滤器,Go运行Back向后运行Forward向前运行Gotopacket转移到某数据包GotoCorrespondingPacket转到相应的数据包PreviousPacket前一个数据包NextPacket下一个数据包FirstPacket第一个数据包LastPacket最后一个数据包,View视图MainToolbar主工具栏FilterToolbar过滤器工具栏WirelessToolbar无线工具栏Statusbar运行状况工具栏PacketList数据包列表PacketDetails数据包细节PacketBytes数据包字节TimeDisplayFormat时间显示格式Nameresolution名字解析(转换:
域名/IP地址,厂商名/MAC地址,端口号/端口名)ColorizePacketList颜色标识的数据包列表AutoScrollinLiveCapture现场捕获时实时滚动ZoomIn放大显示ZoomOut缩小显示NormalSize正常大小ResizeAllColumns改变所有列大小ExpandSubtrees扩展开数据包内封装协议的子树结构ExpandAll全部扩展开CollapseAll全部折叠收缩ColoringRules对不同类型的数据包用不同颜色标识的规则ShowPacketinNewWindow将数据包显示在一个新的窗口Reload将数据文件重新加,Edit编辑FindPacket搜索数据包FindNext搜索下一个FindPrevious搜索前一个MarkPacket(toggle)对数据包做标记(标定)FindNextMark搜索下一个标记的包FindPreviousMark搜索前一个标记的包MarkAllPackets对所有包做标记UnmarkAllPackets去除所有包的标记SetTimeReference(toggle)设置参考时间(标定)FindNextReference搜索下一个参考点FindPreviousReference搜索前一个参考点Preferences参数选择,File打开文件Open打开文件OpenRecent打开近期访问过的文件Merge将几个文件合并为一个文件Close关闭此文件SaveAs保存为FileSet文件属性Export文件输出Print打印输出Quit关闭,在菜单下面,是一些常用的快捷按钮。
您可以将鼠标指针移动到某个图标上以获得其功能说明。
显示过滤器用于查找捕捉记录中的内容。
请不要将捕捉过滤器和显示过滤器的概念相混淆。
请参考Wireshark过滤器中的详细内容。
封包列表中显示所有已经捕获的封包。
在这里您可以看到发送或接收方的MAC/IP地址,TCP/UDP端口号,协议或者封包的内容。
如果捕获的是一个OSIlayer2的封包,在Source(来源)和Destination(目的地)列中看到的将是MAC地址,当然,此时Port(端口)列将会为空。
如果捕获的是一个OSIlayer3或者更高层的封包,在Source(来源)和Destination(目的地)列中看到的将是IP地址。
Port(端口)列仅会在这个封包属于第4或者更高层时才会显示。
在Editmenu-Preferences下可以添加/删除列或者改变各列的颜色:
这里显示的是在封包列表中被选中项目的详细信息。
信息按照不同的OSIlayer进行了分组,可以展开每个项目查看。
下面截图中展开的是HTTP信息。
“解析器”在Wireshark中也被叫做“16进制数据查看面板”。
这里显示的内容与“封包详细信息”中相同,只是改为以16进制的格式表述。
在上面的例子里,我们在“封包详细信息”中选择查看TCP端口(80),其对应的16进制数据将自动显示在下面的面板中(0050)。
-正在进行捕捉的网络设备。
-捕捉是否已经开始或已经停止。
-捕捉结果的保存位置。
-已捕捉的数据量。
-已捕捉封包的数量。
(P)-显示的封包数量。
(D)(经过显示过滤器过滤后仍然显示的封包)-被标记的封包数量。
(M)运行Wireshark并开始分析网络是非常简单的。
使用Wireshark时最常见的问题,是当您使用默认设置时,会得到大量冗余信息,以至于很难找到自己需要的部分。
这就是为什么过滤器会如此重要。
它们可以帮助我们在庞杂的结果中迅速找到我们需要的信息。
捕捉过滤器:
用于决定将什么样的信息记录在捕捉结果中。
需要在开始捕捉前设置。
显示过滤器:
在捕捉结果中进行详细查找。
他们可以在得到捕捉结果后随意修改。
两种过滤器的目的是不同的捕捉过滤器是数据经过的第一层过滤器,它用于控制捕捉数据的数量,以避免产生过大的日志文件。
显示过滤器是一种更为强大(复杂)的过滤器。
它允许您在日志文件中迅速准确地找到所需要的记录。
捕捉过滤器显示过滤器,点击showthecaptureoptions,一:
选择本地的网络适配器,二:
设置捕捉过滤,填写capturefilter栏或者点击capturefilter按钮为您的过滤器起一个名字并保存,以便在今后的捕捉中继续使用这个过滤器。
Protocol(协议):
可能的值:
ether,fddi,ip,arp,rarp,decnet,lat,sca,moprc,mopdl,tcpandudp.如果没有特别指明是什么协议,则默认使用所有支持的协议。
Direction(方向):
src,dst,srcanddst,srcordst如果没有特别指明来源或目的地,则默认使用srcordst作为关键字。
例如,host10.2.2.2与srcordsthost10.2.2.2是一样的。
Host(s):
可能的值:
net,port,host,portrange.如果没有指定此值,则默认使用host关键字。
例如,src10.1.1.1与srchost10.1.1.1相同。
LogicalOperations(逻辑运算):
not,and,or.否(“not”)具有最高的优先级。
或(“or”)和与(“and”)具有相同的优先级,运算时从左至右进行。
例如,nottcpport3128andtcpport23与(nottcpport3128)andtcpport23相同。
nottcpport3128andtcpport23与not(tcpport3128andtcpport23)不同。
例子,tcpdstport3128显示目的TCP端口为3128的封包。
ipsrchost10.1.1.1显示来源IP地址为10.1.1.1的封包。
host10
升级会员 