wireshark使用简介

wireshark使用简介

wireshark界面简介

• Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据，并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样，Wireshark也使用pcap network library来进行封包捕捉。可破解局域网内QQ、邮箱、msn、账号等的密码。

MENUS（菜单）

程序上方的8个菜单项用于对Wireshark进行配置：

• "File"（文件）打开或保存捕获的信息。
• "Edit" （编辑）查找或标记封包。进行全局设置。
• "View"（查看）设置Wireshark的视图。
• "Go" （转到）跳转到捕获的数据。
• "Capture"（捕获）设置捕捉过滤器并开始捕捉。
• "Analyze"（分析）设置分析选项。
• "Statistics" （统计）查看Wireshark的统计信息。
• "Help" （帮助）查看本地或者在线支持。

SHORTCUTS（快捷方式）

• wireshark shortcuts 在菜单下面，是一些常用的快捷按钮。可以将鼠标指针移动到某个图标上以获得其功能说明。

DISPLAY FILTER（显示过滤器）

wireshark display filter 显示过滤器用于查找捕捉记录中的内容。请不要将捕捉过滤器和显示过滤器的概念相混淆。

PACKET LIST PANE（封包列表）

• 封包列表中显示所有已经捕获的封包。在这里可以看到发送或接收方的MAC/IP地址，TCP/UDP端口号，协议或者封包的内容。
• 如果捕获的是一个OSI layer 2的封包，在Source（来源）和Destination（目的地）列中看到的将是MAC地址，当然，此时Port（端口）列将会为空。
• 如果捕获的是一个OSI layer 3或者更高层的封包，在Source（来源）和Destination（目的地）列中看到的将是IP地址。Port（端口）列仅会在这个封包属于第4或者更高层时才会显示。
• 可以在这里添加/删除列或者改变各列的颜色：Edit menu -> Preferences

PACKET DETAILS PANE（封包详细信息）

• 这里显示的是在封包列表中被选中项目的详细信息。

DISSECTOR PANE（16进制数据）

• “解析器”在Wireshark中也被叫做“16进制数据查看面板”。这里显示的内容与“封包详细信息”中相同，只是改为以16进制的格式表述。

** MISCELLANOUS（杂项）**

• 在程序的最下端，可以获得如下信息：
  • 正在进行捕捉的网络设备。
  • 捕捉是否已经开始或已经停止。
  • 捕捉结果的保存位置。
  • 已捕捉的数据量。
  • 已捕捉封包的数量。(P)
  • 显示的封包数量。(D) (经过显示过滤器过滤后仍然显示的封包)
  • 被标记的封包数量。(M)

过滤器

• 使用Wireshark时最常见的问题，是当使用默认设置时，会得到大量冗余信息，以至于很难找到自己需要的部分。这就是为什么过滤器会如此重要。它们可以帮助我们在庞杂的结果中迅速找到我们需要的信息。
• 捕捉过滤器：用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。在Capture -> Capture Filters 中设置。
• 显示过滤器：在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。

过滤表达式的规则

协议过滤

• 比如TCP，只显示TCP协议。

IP 过滤

• 比如

ip.src ==192.168.1.102 显示源地址为192.168.1.102，
ip.dst==192.168.1.102, 目标地址为192.168.1.102

• 端口过滤

tcp.port ==80,  端口为80的
tcp.srcport == 80,  只显示TCP协议的愿端口为80的。

Http模式过滤

• http.request.method=="GET", 只显示HTTP GET方法的。

逻辑运算符为 AND/ OR

• 常用的过滤表达式
  

封包详细信息

• 各行信息分别为

Frame:   物理层的数据帧概况
Ethernet II: 数据链路层以太网帧头部信息
Internet Protocol Version 4: 互联网层IP包头部信息
Transmission Control Protocol:  传输层T的数据段头部信息，此处是TCP
Hypertext Transfer Protocol:  应用层的信息，此处是HTTP协议

TCP包的具体内容

• 从下图可以看到wireshark捕获到的TCP包中的每个字段。
  

三次握手过程

• 打开wireshark, 然后随便打开一个网页，双击WLAN进行捕获。

• 在wireshark中输入tcp过滤， 然后会发现HTTP 525GET的那条记录，如下图所示
  

• 图中可以看到wireshark截获到了三次握手的三个数据包，第四个包是HTTP的，这说明HTTP的确是使用TCP建立连接的。

• 第一次握手
  

客户端发送一个TCP，标志位为SYN，序列号为0， 代表客户端请求建立连接。

-第二次握手

服务器发回确认包, 标志位为 SYN,ACK. 将确认序号设置为客户的I S N加1，即0+1=1

• 第三次握手
  

客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1。
就这样通过了TCP三次握手，建立了连接。

感想

wireshark可以帮助我们获得网络连接中的各项数据，以前对于上网、访问网页只是一个抽象的概念，并不知道我们到底是如何浏览那些网络信息的，利用wireshark可以将这些概念实体化，各项数据直观的展现了网络连接、网页访问的全过程。第一次安装使用这个软件可能很多同学并不熟练，只知道哪里点一下可以出来什么东西，wireshark窗口显示的信息有的也不知道是什么，希望这篇博客可以让同学们更好地了解这款软件，对以后的学习也能有所帮助。