WireShark使用说明

项目名称：网络协议分析工具的使用课程名称：网络安全技术

班级：网络081

教师：李向东

小组成员：

甘春泉 200800824126

杨建涛 200800824123

崔帅 200800824114

网络协议分析工具的使用

一、简介网络协议分析软件的功能和特点：

Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。网络封包分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作 - 只是将场景移植到网络上，并将电线替换成网络线。

在过去，网络封包分析软件是非常昂贵，或是专门属于营利用的软件。Ethereal 的出现改变了这一切。在GNUGPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。Ethereal是目前全世界最广泛的网络封包分析软件之一。

软件简介

网络管理员使用Wireshark来检测网络问题，网络安全工程师使用Wireshark 来检查资讯安全相关问题，开发者使用Wireshark来为新的通讯协定除错，普通使用者使用Wireshark来学习网络协定的相关知识当然，有的人也会“居心叵测”的用它来寻找一些敏感信息……

Wireshark不是入侵侦测软件（Intrusion DetectionSoftware,IDS）。对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。然而，仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改，它只会反映出目前流通的封包资讯。

二、Wireshark的使用方法

WireShark是一种可以运行在Windows, UNIX, Linux等操作系统上的网络协议分析器.用户界面如图1所示。最初，各窗口中并无数据显示。WireShark的界面主要有五个组成部分：

图1 WireShark的用户界面

命令菜单（command menus）：命令菜单位于窗口的最顶部，是标准的下拉式菜单。最常用菜单命令有两个：File、Capture。File菜单允许你保存捕获的分组数据或打开一个已被保存的捕获分组数据文件或退出WireShark程序。Capture 菜单允许你开始捕获分组。

捕获分组列表（listing of captured packets）：按行显示已被捕获的分组内容，其中包括：WireShark赋予的分组序号、捕获时间、分组的源地址和目的地址、协议类型、分组中所包含的协议说明信息。单击某一列的列名，可以使分组按指定列进行排序。在该列表中，所显示的协议类型是发送或接收分组的最高层协议的类型。

分组头部明细（details of selected packet header）：显示捕获分组列表窗口中被选中分组的头部详细信息。包括：与以太网帧有关的信息，与包含在该分组中的IP数据报有关的信息。单击以太网帧或IP数据报所在行左边的向右或向下的箭头可以展开或最小化相关信息。另外，如果利用TCP或UDP承载分组，WireShark也会显示TCP或UDP协议头部信息。最后，分组最高层协议的头部字段也会显示在此窗口中。

分组内容窗口（packet content）：以ASCII码和十六进制两种格式显示被捕获帧的完整内容。

显示筛选规则（display filter specification）：在该字段中，可以填写协议的名称或其他信息，根据此内容可以对分组列表窗口中的分组进行过滤。

软件具体操作步骤如下：

1. 启动主机上的web浏览器。

2. 启动WireShark。你会看到如图1所示的窗口，只是窗口中没有任何分组列表。

3. 开始分组捕获：选择“capture”下拉菜单中的“Optios”命令，会出现如图3所示的“WireShark: Capture Options”窗口，可以设置分组捕获的选项。

图2 Ethereal的Capture Option

4. 在实验中，可以使用窗口中显示的默认值。在“WireShark: Capture Options”窗口的最上面有一个“interface”下拉菜单，其中显示计算机中所安装的网络接口（即网卡）。当计算机具有多个活动网卡（装有多块网卡，并且均正常工作）时，需要选择其中一个用来发送或接收分组的网络接口（如某个有线接口）。

5. 随后，单击“Start”开始进行分组捕获，所有由选定网卡发送和接收的分组都将被捕获。

6. 开始分组捕获后，会出现分组捕获统计窗口。该窗口统计显示各类已捕获分组的数量。在该窗口中有一个“stop”按钮，可以停止分组的捕获。

7. 在运行分组捕获的同时，在浏览器地址栏中输入某网页的URL，如：。为显示该网页，浏览器需要连接的服务器，并与之交换HTTP消息，以下载该网页。包含这些HTTP消息的以太网帧(Frame)将被WireShark捕获。

8. 在显示筛选编辑框中输入“http”，单击“apply”，分组列表窗口将只显示HTTP消息。

9. 选择分组列表窗口中的第一条HTTP消息。它应该是你的计算机发向服务器的HTTP GET消息。当你选择该消息后，以太网帧、IP 数据报、TCP报文段、以及HTTP消息首部信息都将显示在分组首部子窗口中。单击分组首部详细信息子窗口中向右和向下箭头，可以最小化帧、以太网、IP、TCP信息显示量，可以最大化HTTP协议相关信息的显示量。

三、使用Wireshark分析网络协议

1、PING命令

在DOS下使用PING命令，发出四个包，收到四个包，丢失率为零。源ip地址：210.31.40.191 目的ip地址：210.31.40.190 ；TTL值为128，可判断目的主机操作系统为windows。