实验四wireshark教程

Wireshark教程

当前，互联网已经越来越成为人们生活中必不可少的组成部分。面对日益复杂的网络环境，网络管理员必须花费更很多的时间和精力，来了解网络设备的运作情况，以维持系统的正常运行。当网络趋于复杂，就必须借助于专业的工具了。因此，作为一个网络管理人员和网络从业者，熟练掌握和运用一套网络管理软件来对整个网络进行协议分析，是一个必不可少的技能。

当前较为流行的网络协议嗅探和分析软件—Wireshark 。通过使用抓包工具，来准确而快速地判断网络问题的所在，大大缩短寻找问题的时间。

网络管理人员的私人秘书—Wireshark

网络流量分析是指捕捉网络中流动的数据包，并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题，它是网络和系统管理人员进行网络故障和性能诊断的有效工具。通常，人们把网络分析总结为四种方式：基于流量镜像协议分析，基于 SNMP 的流量监测技术，基于网络探针（ Probe ）技术和基于流（ flow ）的流量分析。而我们下面要向大家介绍的 Wireshark 就是基于流量镜像协议分析。

流量镜像协议分析方式是把网络设备的某个端口（链路）流量镜像给协议分析仪，通过 7 层协议解码对网络流量进行监测。但该方法主要侧重于协议分析，而非用户流量访问统计和趋势分析，仅能在短时间内对流经接口的数据包进行分析，无法满足大流量、长期的抓包和趋势分析的要求。

Wireshark 的前身是著名的 Ethereal 。 Wireshark 是一款免费的网络协议检测程序。它具有设计完美的 GUI 和众多分类信息及过滤选项。下面是 Wireshark 的界面。

用户通过 Wireshark ，同时将网卡插入混合模式，可以用来监测所有在网络上被传送的包，并分析其内容。通过查看每一封包流向及其内容，用来检查网络的工作情况，或是用来发现网络程序的 bugs 。 Wireshark 是一个开放源码的网络分析系统，也是是目前最好的开放源码的网络协议分析器，支持 Unix Linux 和 Windows 平台。由于 Wireshark 是 Open Source ，更新快，支持的协议多，特别是数据包过滤功能灵活强大。 Wireshark 提供了对 TCP 、 UDP 、 SMB 、 telnet 和 ftp 等常用协议的支持。它在很多情况下可以代替价格昂贵的 Sniffer 。

安装好后，双击桌面上的 Wireshark 图标，运行软件。再捕捉数据包之前，首先要对捕获的条件进行设置。点击工具栏里的“Capture à Options”，（图一）或者直接点击快捷按钮（图二），打开选项设置页面（图三）。

首先，我们要在 Interface 里选择正确的捕获接口，即要进行报文捕获的网卡。Wireshark 支持无线 WLAN 的相关协议，具体设置如下：

下面是一些常用设置项的解释：

Interface ：选择捕获接口

Capture packets in promiscuous mode ：表示是否打开混杂模式，打开即捕获所有的报文Limit each packet ：表示限制每个报文的大小，缺省情况不限制。

Capture Filter ：过滤器，只抓取满足过滤规则的包。（可暂时略过）

Capture files ：即捕获数据包的保存的文件名以及保存位置。

其他的选项按照图三的设置即可。 Capture Option 确认选择后，点击 ok 就开始进行抓包。

下面的界面会以协议的不同，统计捕获到报文各占的百分比，此时，点击 stop 即可以停止抓包。

当然，如果不想每次打开 Wireshark 都重复上述 Capture Option 的设置，我们也有很好的办法。在“Edit à Preferences à Capture 和 Name Resolution”里预先做好网卡和其他选项的设置

做好预设之后，在每次打开 Wireshark ，直接点击工具栏的开始按钮，就可以开始抓包了。

本期向大家介绍了 Wireshark 的简单原理，软件特色， Wireshark 的安装和使用设置。通过本期的介绍，大家已经可以使用 Wireshark 捕获数据包了。在下期，我们将向大家介绍 Wireshark 最有特色并且强大的数据包过滤功能，通过过滤，从而有的放矢的得到我们希望得到的数据包.

Wireshark下面的语句

首先打开软件开始抓包，步骤都不多说了，菜单栏里面有一个Statistics，下拉菜单里面有个Summary和一个IOGraphs，如图：

图一（Statistics菜单--Wireshark）

Summary里面用数据说明抓到的平均流量是多少，而IOGraphs用图形表示了你抓数据的流量：

图二（Summary--Wireshark）

图三（IOGraphs--Wireshark）

Summary里面有两个filter，一个是捕捉的，一个是显示的，建议你在查看流量的时候先定义capture Filter，这样显示出来的就是你需要抓的流量的汇总信息。需要注意的是，这个地方无法实时更新，也就是说，如果你抓包没停下的话，每次打开Summary得到的数据都不一样。

IO Graphs里面可以实时显示你抓的流量的图形，你也可以自己定义一些参数，用这个的话，可以不定义capture Filter，而直接在图形里面选择Filter，或者直接将过滤表达式写到Filter后面那一栏里面，也可以显示你需要的流量。不过缺点是，只有图，鼠标放上去没有数字显示，也就是说，你没有办法知道具体某个时间点的流量。

图四（file定义窗口--Wireshark）

用WireShark观察网络流量

Capture Option对话框

1、Interface（接口）和Link-layer header type（链路层头部）类型选项

2、Limit each packet to N bytes(将每个分组限制在N个字节以内)

3、Capture packets in promiscuous mode（在混杂模式下捕获分组）

4、Filter（过滤器）

5、Capture files（捕获文件）

6、Display Options（显示选项）

7、Stop Capture（停止捕获）

8、Name resolution（名字解析）

帧层（Frame）

在帧层（Frame），Wireshark记录真实的捕获时间、第一个分组与前一个分组的相对时间增量、帧序号、分组长度以及捕获长度。

以太网帧层

以太网的首部占用14字节，6字节目的地址和6字节源地址，2字节表示类型。

例如：以太网的类型为（08 00）。

IP层

传输层

TCP头部是20个字节。2个字节源端口和目的端口。4字节的序列号，4字节确认号。1个字节的数据偏移和标记。2个字节的窗口大小，2个字节的校验和，2个字节的紧急指针。