实验二 Wireshark安装和使用

实验二Wireshark安装和使用
实验目的
1.安装Wireshark网络协议分析软件；
2.学习了解Wireshark软件功能；
实验内容
1.1Wireshark简介
Wireshark（前称Ethereal）是最好的开源网络封包分析软件之一。

网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料。

Wireshark使用WinPcap作为接口，直接与网卡进行数据报文交换。

1.Wireshark的主要应用
1）网络管理员用来解决网络问题；
2）网络安全工程师用来检测安全隐患；
3）开发人员用来测试协议执行情况；
4）网络初学者用来学习网络协议；
5）除了上面提到的，Wireshark还可以用在其它许多场合。

2.Wireshark的主要特性
1）支持UNIX和Windows平台；
2）在接口实时捕捉包；
3）能详细显示包的详细协议信息；
4）可以打开/保存捕捉的包；
5）可以导入/导出其他捕捉程序支持的包数据格式；
6）可以通过多种方式过滤包；
7）可以通过多种方式查找包；
8）可以通过过滤以多种色彩显示包；
9）创建多种统计分析。

1.2安装Wireshark
Wireshark软件可以通过官方网站（https:///download.html）进行下载，根据主机配置选择下载适合的版本，例如主机操作系统为windows 7 64位旗舰版，可以选择下载版本为Wireshark-win64-2.2.7.exe。

下载完成后，打开下载文件进行如下安装。

1）双击此下载的软件包，开始进行安装，该界面显示了Wireshark的基本信息，点击“Next”，如图2-1所示；
图2-1欢迎界面
2）该界面显示了使用Wireshark的许可证条款信息。

阅读许可证条款，如果同意接受此条款，点击“I Agree”，如图2-2所示：
图2- 1许可协议对话框
3）选择希望安装的Wireshark组件，这里接受默认选项即可，如图2-3所示；
图2-3 选择组件对话框
4）该界面用来设置创建快捷方式的位置和关联文件扩展名，如图2-4所示；
图2-4 Select Additional Tasks对话框
5）选择Wireshark安装路径，点击“Next”，如图2-5所示：
图2-5 安装位置对话框
6）该界面提示是否要安装WinPcap。

如果要使用Wireshark捕获数据，必须要安装WinPcap，因此这里将Install WinPcap 4.1.3复选框选中，单击“Install”，
Wireshark将开始安装，如图2-6所示；
图2-6 安装WinPcap对话框
7）Wireshark安装过程中弹出WinPcap安装欢迎界面，该界面显示了WinPcap 基本信息，点击“Next”，准备进行WinPcap安装，如图2-7所示；
图2-7 WinPcap欢迎界面
8）该界面显示WinPcap许可证条款信息，点击“I Agree”，如图2-8所示；
图2-8 WinPcap许可证条款对话框
9）该界面显示了安装WinPcap选项，点击“Install”，开始安装，如图2-9所示；
图2-9 安装选项
10）该界面显示WinPcap已安装完成，点击“Finish”按钮，将继续安装
Wireshark，如图2-10所示；
图2-10 安装WinPcap完成
11）该界面显示Wireshark已经安装完成，点击“Next”按钮，如图2-11所示：
图2-11 Wireshark安装完成
12）该界面显示Wireshark设置向导完成，此时如果想直接启动Wireshark，则选择“Run Wireshark 2.2.7(64-bit)”，然后单击“Finish”，如图2-12所示；
图2-12 完成界面
13）安装完成后，在Windows窗口程序中会出现Wireshark的两个图标。

启动Wireshark Legacy程序是英文版界面；启动Wireshark是中文版界面，如图2-13所示。

图2-13 Wireshark图标
1.3Wireshark功能介绍
1.3.1Wireshark主界面
Wireshark主界面中包括了菜单栏、工具栏、过滤栏、帮助窗口等功能，如图14所示。

菜单栏中主要功能包括：
（1）File：包括打开文件，合并捕捉文件，保存，打印，导出捕捉文件，退出等功能。

（2）Edit：包括查找包，时间参考，标记一个或多个包，设置预设参数。

（3）View：控制捕捉数据的显示方式，包括颜色，字体缩放，将包显示在
分离的窗口，展开或收缩详情面板的树状节点。

（4）GO：包含到指定包的功能。

（5）Capture：允许开始或停止捕捉、编辑过滤器。

（6）Analyze：包含处理显示过滤，允许或禁止分析协议，配置用户指定解码和追踪TCP流等功能。

（7）Statistics：显示多个统计窗口，包括关于捕捉包的摘要，协议层次统计等。

（8）Help：包含一些辅助用户的参考内容，如访问一些基本的帮助文件，支持的协议列表，用户手册，在线访问一些网站等。

图2-14 Wireshark主界面
1.3.2Capture Options 选项
要开始数据捕获，首先需要选择Capture（捕获）菜单栏中的Options（选项），该对话框显示了多项设置和过滤器，用于确定捕获的数据通信类型及其数量，如图2-15所示：
图2-15 Wireshark数据捕和选项
（1）Interface：指定在哪个接口（网卡）上抓包。

单网卡下使用默认即可，如果同时拥有多个以太网接口和无线网络接口，必须选择一个进行监测。

（2）Use promiscuous mode on all interfaces：是否打开混杂模式。

如果打开，抓取所有的数据包。

一般情况下只需监听本机收到或者发出的包，因此应该关闭这个选项。

（3）Capture Filter：抓包过滤器。

只抓取满足过滤规则的包，用在抓包过程中限制捕获的数据量。

抓包过滤器使用的是libcap过滤器语言，在Wireshark help 中有详细解释。

（4）File：如果需要将抓到的包写到文件中，在这里输入文件名称或者点击“Browse...”，选择已经存在的文件。

（5）Use multiple files：是否使用循环缓冲。

注意，循环缓冲只有在写文件时才有效。

如果使用了循环缓冲，还需要设置文件的数目，以及文件回卷大小。

（6）Display option：显示选项。

默认情况下，分组显示与它们被捕获时的状态不一样；可以选择观察实时更新的分组项，也可选择让显示屏自动滚动最后捕获的分组。

（7）Name Resolution：名字解析。

把分组中的数字转化成名字，默认情况下是MAC地址解析和传输名字解析。

（8）Stop Capture Automatically After...：控制在一定数量的分组、跟踪记录到达一定的大小或者一个特定的时间后停止跟踪。

（9）Start：点击“Start”，Wireshark就开始捕获分组并显示捕获统计窗口。

1.3.3包分析
图2-16展示了Wireshark捕获包进行分析的主窗口界面，主要包含列表框、协议层框和原始框三个部分。

图2-16 Wireshark主窗口
1）列表框：显示捕获的每个数据包的摘要信息，包括编号、时间、源IP、目的IP、最高层协议、分组长度、信息。

单击此窗格中数据包可控制另外两个窗格中的显示信息。

图2-17 列表框
2）协议层框：显示所选分组的各层分层协议，链路层帧（frame）、网络层数据报（datagram）、运输层的报文段（segment）、应用层的报文（message）。

图2-18 协议层框
3）原始框：显示了分组中包含的数据的每个字节。

方框的左边以十六进制的形式表示实际的二进制，右边显示的是ASCII码，突出显示在协议层框所选的字段。

图2-19 原始框
1.3.4Filter
使用Filter，得到所需的特定包，过滤器包含两种类型。

1）一种是显示过滤器，位于主界面工具栏下方，如图2-20所示，用来在捕获的记录中找到所需要的记录。

图2-20 显示过滤器
在Filter栏上，填好所要过滤的表达式后，点击“Save”按钮，给表达式取名，例如“Filter 1010”，如图2-21所示，点击“OK”。

图2-21 保存过滤
在Filter栏上会出现一个“Filter 1010”的按钮。

图2-22 过滤保存成功
过滤表达式的规则如下：
（1）协议过滤：保留指定协议，例如输入“TCP”，则结果中只显示TCP协议。

（2）IP过滤：保留所捕获的指定IP地址的数据包，例如“ip.src==61.6.192.100”，显示源地址为61.6.192.100的数据包；“ip.dst==61.6.192.100”，显示目的地址为61.6.192.100的数据包。

（3）端口过滤：显示指定端口的数据包，例如“tcp.port==80 ”，只显示TCP 协议源端口为80的数据包。

（4）Http模式过滤：“http.request.method=="GET"”，只显示HTTP GET方法的获得的数据包。

2）另一种是捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录。

在Capture在的Capture Filters中设置。

可新建或者删除过滤条件，如图2-23所示。

图2-23捕获过滤器
1.根据上面所述，自己动手安装Wireshark软件，并将成功安装完成后的软件界面进行截图；
2.根据上文介绍，了解并熟悉Wireshark软件相关功能。