一、wireshark是干什么用的
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
网络封包[分析软件的功能可想像成"电工技师使用电表来量测电流、电压、电阻"的工作-只是将场景移植到网络上,并将电线替换成网络线。在过去,网络封包分析软件是非常昂贵,或是专门属于营利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下,使用者可以以免费的代价取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。Ethereal是目前全世界最广泛的网络封包分析软件之一。
工作流程:
(1)确定Wireshark的位置。如果没有一个正确的位置,启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。
(2)选择捕获接口。一般都是选择连接到Internet网络的接口,这样才可以捕获到与网络相关的数据。否则,捕获到的其它数据对自己也没有任何帮助。
(3)使用捕获过滤器。通过设置捕获过滤器,可以避免产生过大的捕获文件。这样用户在分析数据时,也不会受其它数据干扰。而且,还可以为用户节约大量的时间。
(4)使用显示过滤器。通常使用捕获过滤器过滤后的数据,往往还是很复杂。为了使过滤的数据包再更细致,此时使用显示过滤器进行过滤。
(5)使用着色规则。通常使用显示过滤器过滤后的数据,都是有用的数据包。如果想更加突出的显示某个会话,可以使用着色规则高亮显示。
(6)构建图表。如果用户想要更明显的看出一个网络中数据的变化情况,使用图表的形式可以很方便的展现数据分布情况。
(7)重组数据。Wireshark的重组功能,可以重组一个会话中不同数据包的信息,或者是一个重组一个完整的图片或文件。由于传输的文件往往较大,所以信息分布在多个数据包中。为了能够查看到整个图片或文件,这时候就需要使用重组数据的方法来实现。
二、wireshark的配置
除了官网,很少有文章来说wireshark的配置的,由于研究需要,我们需要了解wireshark的配置,所以把官网的一些资料翻译下。
说明本文主要翻译官网的内容,结合自己的理解可能有所更改,也许有些错误,请谅解。
也许是软件本身比较复杂的原因,导致wireshark的配置非常多,在不同的文件夹下面,导致理解起来非常麻烦。
配置文件/文件夹描述 unix/linux文件夹 windows下
1)preferences对话框的偏好设置/etc/wireshark.conf$HOME/.wireshark/preferences%WIRESHARK%\wireshark.conf,%APPDATA%\Wireshark\preferences
2)recent最近GUI设置(最近文件列表)$HOME/.wireshark/recent%APPDATA%\Wireshark\recent
3)cfilters抓包过滤$$HOME/.wireshark/cfilters%APPDATA%|%WIRESHARK%\Wireshark\cfilters
4)dfilters显示过滤器$HOME/.wireshark/dfilters%APPDATA%|%WIRESHARK%\Wireshark\dfilters
5) colorfilters颜色规则$HOME/.wireshark/colorfilters%APPDATA%|%WIRESHARK%\Wireshark\colorfilters
6) disabled_protos禁止协议$HOME/.wireshark/disabled_protos%APPDATA%|%WIRESHARK%\Wireshark\disabled_protos
7)ethers以太网名称解析/etc/ethers$HOME/.wireshark/ethers%APPDATA%|%WIRESHARK%\Wireshark\ethers
**8)manuf**以太网名称解析/etc/manuf$HOME/.wireshark/manuf%APPDATA%|%WIRESHARK%\Wireshark\manuf
9)主机 IPV4和IPV6名称解析/etc/hosts,$HOME/.wireshark/hosts%APPDATA%|%WIRESHARK%\Wireshark\hosts
10) subnets IPV4子网名称解析/etc/subnets$HOME/.wireshark/subnets%APPDATA%|%WIRESHARK%\Wireshark\subnets
11)ipxnets IPX名称解析/etc/ipxnet$HOME/.wireshark/ipxnets%APPDATA%|%WIRESHARK%\Wireshark\ipxnets
12)plugins插件目录/usr/share/wireshark/plugins/usr/local/share/wireshark/plugins$HOME/.wireshark/plugins%APPDATA%|%WIRESHARK%\Wireshark\plugins
13)temp临时文件环境变量:TMPDIR环境变量:TMPDIR或TEMP
windows下的目录说明:
%APPDATA%指向个人配置文件夹,例如:( C:\Documents and Settings\<username>\Application Data详细信息请参见:第A.3.1节“Windows配置文件”),
%WIRESHARK%指向Wireshark程序文件夹,例如: C:\Program Files\Wireshark
preferences/wireshark.conf
这个文件包括wireshark的偏好配置,包括默认的抓包和显示包等,简单的text语句显示格式如下:
variable:value
在程序启动的时候读取这个配置,在你更改“首选项”的时候将数据写入到文件。
可以看下界面,内容是相当丰富。
最近配置,此文件包含各种GUI相关设置,如主窗口位置和大小,最近的文件列表等。它是一个包含以下形式语句的简单文本文件:
variable:value
此文件包含已经定义和保存的所有捕获过滤器。它由一行或多行组成,每行包括以下格式:
"<filter name>"<filter string>
在捕获过滤器对话框中按“保存”按钮时保存到文件,程序启动时候读取配置
此文件包含已经定义和保存的所有显示过滤器,它由一行或多行组成,每行包含以下格式:
"<filter name>"<filter string>
此文件包含已经定义和保存的所有滤色器,它由一行或多行组成,每行包括以下格式:
程序启动时候读取,在颜色规则对话框中设置保存按钮的时候保存。
每行表示一个禁止的协议名,下面给出一些列子:
当Wireshark尝试将以太网硬件地址转换为名称时,它会查询表A.1“配置文件和文件夹概述”中列出的文件。如果在/etc/ethers中找不到地址,Wireshark将查找$ HOME/.wireshark/ethers
这些文件中的每一行由一个硬件地址和由空格分隔的名称组成。硬件地址的数字由冒号(:),短划线(-)或句点(。)分隔。以下是一些例子:
启动时候读取,但是不会写。
Wireshark使用表A.1“配置文件和文件夹概述”中列出的文件将以太网地址的前三个字节转换为制造商名称。此文件具有与ethers文件相同的格式,但地址长度为三个字节。
一个例子是:
启动时候读入,但是不写。
Wireshark使用表A.1“配置文件和文件夹概述”中列出的文件将IPv4和IPv6地址转换为名称。
此文件的格式与Unix系统上通常的/ etc/ hosts文件相同。
一个例子是:
只加载,但是不写入。
Wireshark使用表A.1“配置文件和文件夹概述”中列出的文件将 IPv4地址转换为子网名称。如果未找到来自hosts文件或DNS的完全匹配,Wireshark将尝试部分匹配该地址的子网。
此文件的每一行都包含一个IPv4地址,一个仅由'/'分隔的子网掩码长度和一个用空格分隔的名称。虽然地址必须是完整的IPv4地址,但随后会忽略超出掩码长度的任何值。
一个例子是:
部分匹配的名称将打印为“subnet-name.remaining-address”。例如,上面子网下的“192.168.0.1”将打印为“ws_test_network.1”;如果上面的掩码长度是16而不是24,则打印的地址将是“ws_test_network.0.1”。
此文件中的设置在程序启动时读入,并且从不由Wireshark写入。
Wireshark使用表A.1“配置文件和文件夹概述”中列出的文件将IPX网络号转换为名称。
一个例子是:
此文件中的设置在程序启动时读入,并且从不由Wireshark写入。
Wireshark在表A.1“配置文件和文件夹概述”中列出的目录中搜索插件。按列出的顺序搜索它们。
如果你开始一个新的捕获并且没有为它指定文件名,Wireshark使用这个目录来存储该文件;请参见第4.7节“捕获文件和文件模式”。
如果你开始一个新的捕获并且没有为它指定文件名,Wireshark使用这个目录来存储该文件;请参见第4.7节“捕获文件和文件模式”。
三、wireshark怎么抓包
wireshark怎么抓包的方法如下:
工具:戴尔K665、Win11、wireshark12.3版本。
1、直接打开wireshark的主界面,需要选择本地连接开始抓包。
2、下一步如果没问题,就点击停止按钮进行跳转。
3、这个时候等完成上述操作以后,继续确定查看相关对象。
4、这样一来会得到图示的结果,即可达到目的了。
报文样本:
比如说你在家安装了Wireshark,但家用LAN环境下没有感兴趣的报文可供观察,那么可以去Wiresharkwiki下载报文样本文件。
打开一个抓取文件相当简单,在主界面上点击Open并浏览文件即可。也可以在Wireshark里保存自己的抓包文件并稍后打开。
如果正在尝试分析问题,比如打电话的时候某一程序发送的报文,可以关闭所有其他使用网络的应用来减少流量。但还是可能有大批报文需要筛选,这时要用到Wireshark过滤器。
最基本的方式就是在窗口顶端过滤栏输入并点击Apply(或按下回车)。例如,输入逗dns地就会只看到DNS报文。输入的时候,Wireshark会帮助自动完成过滤条件。