Wireshark 教程

什么是 Wireshark？

Wireshark 是一款开源的数据包分析器，用于教育、分析、软件开发、通信协议开发和网络故障排除。

它用于跟踪数据包，以便每个数据包都可以根据我们的具体需求进行过滤。它通常被称为嗅探器、网络协议分析器和网络分析器。网络安全工程师也使用它来检查安全问题。

Wireshark 是一款免费使用的应用程序，用于捕获双向数据。它通常被称为免费的数据包嗅探器计算机应用程序。它将网卡置于非选择性模式，即接收所有传入的数据包。

Wireshark 的用途

Wireshark 可用于以下方面：

1. 网络安全工程师使用它来检查安全问题。
2. 它允许用户查看网络上传输的所有流量。
3. 网络工程师使用它来排除网络故障。
4. 它还有助于排除网络中的延迟问题和恶意活动。
5. 它还可以分析丢弃的数据包。
6. 它帮助我们了解笔记本电脑、手机、台式机、交换机、路由器等设备如何在本地网络或世界各地进行通信。

什么是数据包？

数据包是数据单元，在网络上从源到目的地传输。网络数据包很小，例如以太网数据包最大为 1.5 千字节，IP 数据包最大为 64 千字节。Wireshark 中的数据包可以在线查看，也可以离线分析。

Wireshark 的历史

1990 年代后期，Gerald Combs，密苏里大学堪萨斯城分校的计算机科学毕业生，在一家小型 ISP（互联网服务提供商）工作。当时该协议未能满足主要需求。因此，他开始编写ethereal，并于 1998 年左右发布了第一个版本。Network Integration Services 拥有 Ethernet 商标。

Combs 仍然拥有 ethereal 大部分源代码的版权，其余源代码根据 GNU GPL 分发。他没有 Ethereal 的商标，因此他将名称更改为 Wireshark。他以 ethereal 的内容为基础。

Wireshark 多年来赢得了多个行业奖项，包括 eWeek、InfoWorld、PC Magazine，并被评为顶级数据包嗅探器。Combs 继续工作并发布了新版本。Wireshark 产品网站有大约 600 名贡献作者。

Wireshark 的功能

Wireshark 在网络方面与 tcpdump 类似。Tcpdump 是一款常用的数据包分析器，允许用户显示计算机正在传输和接收的其他数据包和 TCP/IP 数据包。它具有图形界面以及一些排序和过滤功能。Wireshark 用户可以看到所有通过网络传输的流量。

Wireshark 还可以监控未发送到网络 MAC 地址接口的单播流量。但是，交换机不会将所有流量传递到端口。因此，混杂模式不足以查看所有流量。各种网络 Tap 或端口镜像用于在任何点扩展捕获。

端口镜像是一种监视网络流量的方法。启用后，交换机会将一个端口的所有网络数据包的副本发送到另一个端口。

Wireshark 中的颜色编码是什么？

Wireshark 中的数据包以蓝色、黑色和绿色突出显示。这些颜色有助于用户识别流量类型。它也称为数据包着色。Wireshark 中的着色规则包括临时规则和永久规则。

• 临时规则在程序处于活动状态或我们退出程序之前有效。
• 永久颜色规则在 Wireshark 使用期间或下次运行 Wireshark 时可用。将在本主题后面讨论应用颜色过滤器的步骤。

Wireshark 的特点

• 它是多平台软件，即可以在 Linux、Windows、OS X、FreeBSD、NetBSD 等上运行。
• 它是一个标准的三个窗格的数据包浏览器。
• 它对数百种协议进行深度检查。
• 它通常涉及实时分析，即我们可以从以太网、回环等不同类型的网络读取实时数据。
• 它具有排序和过滤选项，方便用户查看数据。
• 它也对 VoIP 分析有用。
• 它还可以捕获原始 USB 流量。
• 可以使用各种设置，如计时器和过滤器，来过滤输出。
• 它只能在支持 PCAP（用于捕获网络的应用程序编程接口）的网络上捕获数据包。
• Wireshark 支持多种文档完善的捕获文件格式，如 PcapNg 和 Libpcap。这些格式用于存储捕获的数据。
• 它是同类软件中的第一名。它有无数的应用，从追踪、未经授权的流量、防火墙设置等。

安装 Wireshark 软件

以下是在计算机上安装 Wireshark 软件的步骤：

• 打开网络浏览器。
• 搜索“下载 Wireshark”。
• 根据您的系统配置选择 Windows 安装程序，无论是 32 位还是 64 位。保存程序并关闭浏览器。
• 现在，打开软件，并按照安装说明接受许可。
• Wireshark 已准备好使用。

在网络和 Internet 设置选项中，我们可以检查连接到我们计算机的接口。

如果您是 Linux 用户，则可以在其软件包存储库中找到 Wireshark。

通过选择当前接口，我们可以获取通过该接口的流量。这里使用的版本是3.0.3。此版本将打开为

上面显示了 Wireshark 软件窗口，网络中的所有进程都在此屏幕中进行。

列表中的选项是接口列表选项。将有多个接口选项。选择任何选项将确定所有流量。例如，从上面的图表中选择 Wi-Fi 选项。之后，会打开一个新窗口，显示网络中的所有当前流量。以下图片告诉我们实时捕获数据包的情况，我们的 Wireshark 将看起来像

上面的箭头显示了以十六进制或 ASCII 格式编写的数据包内容。而数据包内容上方的则是数据包头信息的详细信息。

它将继续监听所有数据包，您将获得大量数据。如果您想查看特定数据，可以单击红色按钮。流量将停止，您可以记下诸如时间、源、目的地、使用的协议、长度和信息等参数。要查看深入的详细信息，您可以单击该特定地址；下方将显示大量信息。

将有关于 HTTP 数据包、TCP 数据包等的详细信息。下方显示了红色按钮。

Wireshark 的屏幕/界面分为五个部分：

• 第一部分包含一个菜单栏和其下方的选项。此部分位于窗口顶部。Wireshark 中常用文件和捕获菜单选项。捕获菜单允许开始捕获过程。文件菜单用于打开和保存捕获文件。
• 第二部分是数据包列表窗口。它确定数据包流或流量中捕获的数据包。它包括数据包编号、时间、源、目的地、协议、长度和信息。我们可以通过单击列名对数据包列表进行排序。
• 接下来是数据包头部详细信息窗口。它包含有关数据包组成部分的详细信息。协议信息也可以根据所需信息进行展开或折叠。
• 底部的窗口称为数据包内容窗口，以 ASCII 和十六进制格式显示内容。
• 最后是显示顶部的过滤器字段。屏幕上的捕获数据包可以根据您的要求根据任何组件进行过滤。例如，如果我们只想查看带有 HTTP 协议的数据包，我们可以将过滤器应用于该选项。屏幕上只会显示所有以 HTTP 作为协议的数据包，如下所示。

您还可以选择计算机连接到的连接。例如，在此 PC 上，我们选择了当前网络，即 ETHERNET。

连接后，您可以在下方查看流量。

在菜单栏的“视图”选项中，我们还可以更改界面的视图。您可以在“视图”菜单中更改许多内容。您还可以根据需要启用或禁用任何选项。

菜单栏下方有一个过滤器块，可以从中过滤大量数据。例如，如果应用 HTTP 过滤器，则只会列出带有 HTTP 的接口。

如果要按源进行过滤，请右键单击要过滤的源，然后选择“应用为过滤器”，然后选择“...且过滤器”。

永久着色步骤：单击菜单栏上的“视图”选项，然后选择“着色规则”。将出现如下所示的表格。

对于网络管理员职位，Wireshark 的高级知识被视为一项要求。因此，理解该软件的概念至关重要。它包含这 20 条默认着色规则，可以根据需要添加或删除。

选择“视图”选项，然后选择“着色数据包列表”，用于切换着色开关。

注意：如果您不确定您的台式机或笔记本电脑的版本，您可以下载 32 位 Wireshark，它几乎可以在 99% 的计算机上运行。

现在让我们从基础开始——

网络流量的基本概念

IP 地址：它旨在让设备在本地网络或 Internet 上相互通信。它用于主机或网络接口标识。它提供了主机的地址以及在该网络中建立到该主机的路径的能力。Internet 协议是一组预定义的规则或术语，通信应在此规则或术语下进行。IP 地址的类型是IPv4 和 IPv6。

• IPv4 是一个32 位地址，其中每个组代表 8 位，范围从 0 到 255。
• IPv6 是一个 128 位地址。

IP 地址动态或静态分配给主机。大多数私人用户拥有动态 IP 地址，而企业用户或服务器拥有静态 IP 地址。动态地址在设备连接到 Internet 时会更改。

计算机端口：计算机端口与 IP 地址结合使用，将所有传出和传入的数据包定向到其正确的位置。有一些广为人知的端口，例如FTP（文件传输协议），端口号为 21 等。所有端口都有将所有数据包定向到预定方向的用途。

协议：协议是一组预定义的规则。它们被认为是标准的通信方式。最常用的协议之一是TCP/IP。它代表传输控制协议/Internet 协议。

OSI 模型：OSI 模型代表开放系统互连。OSI 模型有七层，即应用层、表示层、会话层、传输层、网络层、数据链路层和物理层。OSI 模型详细表示和解释了数据在各层中的传输和接收。OSI 模型支持网络层上的无连接和面向连接的通信模式。OSI 模型由 ISO（国际标准化组织）开发。

Wireshark 中最常用的过滤器

每当我们键入过滤器命令框中的任何命令时，如果命令正确，它会变成绿色。如果命令不正确或 Wireshark 不识别您的命令，它会变成红色。

以下是 Wireshark 中使用的过滤器列表：

Wireshark 数据包嗅探

Wireshark 是一款数据包嗅探程序，管理员可以使用它来隔离和解决网络问题。它还可以用于捕获用户名和密码等敏感数据。它也可以被误用（黑客攻击）进行窃听。

数据包嗅探定义为捕获在计算机网络上传输的数据包的过程。数据包嗅探器是用于嗅探过程的设备或软件。

以下是数据包嗅探的步骤：

• 打开 Wireshark 应用程序。
• 选择当前接口。在此示例中，我们使用的接口是 Ethernet。
• 网络流量将显示在下方，并且会持续不断。要停止或查看任何特定数据包，您可以按菜单栏下方的红色按钮。

按名称“http”应用过滤器。应用过滤器后，屏幕将如下所示：

上面的屏幕是空白的，即目前没有网络流量。

打开浏览器。在此示例中，我们打开了“Internet Explorer”。您可以选择任何浏览器。

一旦我们打开浏览器并输入任何网站地址，流量就会开始显示，数据包的交换也会开始。图像如下所示：

上面解释的过程称为数据包嗅探。

用户名和密码嗅探

这是用于了解特定网站的密码和用户名的过程。让我们以 gmail.com 为例。以下是步骤：

• 打开 Wireshark 并选择合适的接口。
• 打开浏览器并输入网址。这里我们输入了高度安全的 gmail.com。输入您的电子邮件地址和密码。图像如下所示：

• 现在，转到 Wireshark，在过滤器块中输入“frame contains gmail.com”。然后您可以看到一些流量。

• 右键单击特定网络，选择“跟随”，然后选择“TCP 流”。您可以看到所有数据都以加密形式安全地存储。

上面显示的箭头中的“显示和保存数据为”有许多选择。这些选项包括ASCII、C 数组、EBCDIC（扩展二进码十进制交换码）等。EBCDIC 用于大型机和中型 IBM 计算机操作系统。

Wireshark 统计信息

Wireshark 提供广泛的统计信息。它们列在下面：

以下是 Wireshark 统计信息的列表及其描述：

捕获文件属性	它包括文件、时间、捕获、接口（当前使用的接口）和统计信息（测量）。
已解析的地址	此选项包括您数据包捕获中解析的所有类型的顶级 IP 地址和 DNS。它提供了在数据包捕获过程中访问过的不同资源的思路。如图 b 所示。
协议层次结构	它被命名为捕获过程中列出的所有协议的树。图像如上图 c 所示。
对话	列表的每一行都提供了特定对话的统计值。
端点	它被定义为指定协议层的单独协议流量的逻辑端点。 例如，IP 地址将发送和接收所有类型的到特定 IP 地址的数据包。
数据包长度	它简单地显示了网络中确定的不同数据包长度的特征。
I/O 图	这是用于显示捕获数据包的图的术语。在此过程中您也可以应用过滤器。 下面将详细解释该过程。
服务响应时间	这是许多协议可用的信息类型。它定义了请求和响应之间所需的时间。此服务可用的协议包括： AFP (Apple Filing Protocol) CAMEL DCE-RPC DIAMETER FC (Fiber Channel) GTP (GPRS 隧道协议) H.225 RAS LDAP (Lightweight Directory Access Protocol) MEGACO MGCP (Media Gateway Control Protocol) NCP (NetWare Core Protocol) ONC-RPC RADIUS SCSI SMB (Server Message Block Protocol) SMB2 (Server Message Block Protocol version 2)
DHCP (BOOTP) 统计信息	它作为 BOOTP 的选项实现。DHCP 是客户端/服务器协议，用于动态分配 IP 地址给 DHCP 客户端。如果 DHCP 不起作用，则某些计算机系统使用 APIPA（自动专用 IP 地址）分配 IP 地址。
ONC-RPC 程序	它代表开放网络计算-远程过程调用。它可以将 TCP 和 UDP 作为其传输协议。ONC-RPC 不能直接应用于捕获过程中的过滤器，但您可以使用 TCP 或 UDP 来过滤它。如图 d 所示。
29West	它被定义为 ULLM 技术。它代表超低延迟消息。
ANCP	它代表接入节点控制协议。它是一种 L2CP（二层控制协议）和基于 TCP 的协议。它具有自己的邻接层，该层使用“能力”来决定 ANCP 端点之间的消息交换。
BACnet	它专门设计用于满足控制系统和楼宇自动化的通信需求。它用于火灾探测系统、灯光控制等应用。它提供了信息交换的结构，尽管它执行特定的楼宇服务。
Collectd	它用于监视特定 TCP 端口上的流量。
DNS	它代表域名服务器，提供 DNS 流量的详细分析。它提供了 DNS 中返回的代码列表。您还可以通过流量查看错误。
流图	这是一种检查客户端和服务器之间连接的方法。它是验证两个端点之间连接的有效方式。它还可以协助我们进行故障排除。
HART-IP	它提供了响应、请求、发布和错误数据包的详细信息。它代表 Highway Addressable Remote Transducer over IP 统计信息。
HPFEEDS	它确定“每个通道的有效负载大小和操作码”。
HTTP	它有四个选项： 数据包计数器（请求类型和响应代码） 请求（基于 URL 和主机） 负载分配（基于服务器地址和主机） 请求序列（将 HTTP 的捕获请求组织成树形结构）
HTTP2	这是 HTTP 版本 2。
Sametime	当服务器和客户端有相同时间时，它用于分析缓慢的网络流量。
TCP 流图	下面将详细解释。
UDP 组播流	通过此命令，可以设置流参数和突发参数。它包括 OSPF、IGMP 和视频流。
F5	它包括虚拟服务器分布和 tmm 分布。它指定了 tcpdump 命令。
IPv4 统计信息 IPv6 统计信息	这些选项确定所有地址、目的地和端口、IP 协议类型以及源和目的地地址。

I/O 图

它显示了网络流量的图。图表看起来相似，但会根据涉及的流量而变化。图下方有一个表格，其中包含一些过滤器。使用“+”号，您可以添加更多过滤器，使用“-”号可以删除现有过滤器。您还可以更改颜色。对于每个特定的过滤器，您可以添加彩色图层，这会增加图表的可见性。

“启用”下的勾选项根据您的要求显示图层。

例如，我们应用了“TCP 错误”过滤器，可以轻松查看更改。图像如下所示：

如果您单击图表上的特定点，您可以看到相应的包将在网络流量屏幕上显示。您也可以按特定端口应用过滤器。

另一类图表属于“TCP 流图”选项。

它提供了 TCP 序列号与时间的视觉化。

以下是理解TCP 流图的步骤：

• 打开 Wireshark。单击接口以查看网络流量。
• 应用过滤器为“tcp”。
• 单击菜单栏上的“统计信息”选项，然后选择“TCP 流图”，然后选择“时间序列 (tcptrace)”。您还可以根据需要选择“TCP 流图”类别中的其他选项。现在屏幕将如下所示：

现在，当您放大图表时，您会看到详细的点的显示。显示的线是数据包。Y 轴上的长度表示数据包的大小。您还可以看到绿线向上然后回到同一水平。这意味着数据已被 ACK（确认）。这里的向上表示正在发送更多数据。

数据正在发送然后 ACK，这是 TCP 的正确用法。这里的平坦线表示什么都没有发生。

上面的绿线称为“接收窗口”。接收窗口和数据包之间的差距定义了接收缓冲区中的空间大小。

关于 WIRESHARK 的事实/重要步骤/最常用

以下是实际实现的要点或观点：

添加 delta 列：要添加任何列，请执行以下步骤：

• 在任何列菜单上，右键单击并选择“列首选项”，然后选择“列”。
• 单击“+”号，然后添加名为 delta-time 的列，并在“类型”类别下选择 delta time 或 delta time displayed。

屏幕将如下所示：



在捕获的数据包下方，您在方括号中看到的数据是数据包本身中不存在的信息。它是 Wireshark 为您显示的某些内容。如果您想从此屏幕中的任何内容添加到列区域，您可以右键单击并选择“应用为列”。该选项将被添加到捕获屏幕。

最重要的是：

三次握手

• 当您捕获数据时，分析问题，您将获得三次握手。
• 它包含 TCP 选项等良好选项。
• 通过此，您可以确定移位时间，并找出您是在客户端还是服务器端捕获的数据包。在服务器端，SYN 和 SYN-ACK 数据包之间有很小的延迟，而在客户端，SYN 和 SYN-ACK 之间有较大的延迟。服务器端仅在 SYN-ACK 和 ACK 之间有延迟。SYN 必须到达客户端。三次握手后，数据必须到达服务器。
Y
• 您还可以注意到 SYN 和 SYN-ACK 数据包之间 TCP 选项的差异。窗口缩放因子也很重要，如下所示：


没有三次握手，您将看不到窗口缩放因子。

• 一个序列号表示 1 字节的数据。它还具有上面已解释的 TCP 流图的重要性。
• 在 TCP 选项下的捕获窗口中，您可以看到关于“PSH 字节”和“飞行中的字节”的信息。右键单击它并选择“应用为列”。您可以看到列和对应的数据。图像如下所示：

• 在 TCP 头部，三次握手 MSS（最大头部大小）表示它可以接收的 TCP 有效载荷的最大数据量。图像如下所示：

• MSS 1460 意味着每包数据量。此大小因数据包而异。路由器、防火墙等会进行 MSS 钳位，因为它知道前方的通信内容。它会检查大于 8000 字节的值并将其降低到适当的水平，以便它可以转发而不会被分片或丢弃。
• 带有 0 的数据是在捕获窗口中返回的 ACK。您可以注意到数据和 ACK 在每个点都不同。如果我们处于确认方，我们知道我们必须在两个数据包后发送 ACK。发送方可以发送 X 数量的数据包，具体取决于其拥塞窗口。发送方也可以一次发送所有数据包。在 ACK 到达之前，数据包将发送。如果缓冲区剩余空间很少，则发送方必须根据空间发送数据包。ACK 及时到达，如果 ACK 延迟，同步将延迟。所以上面只是一个示例。

关于 Wireshark 的一些事实

• 我们建议不要禁用 TCP 和 Wireshark 的默认设置，除非您知道自己在做什么。
• 如果页面空白且加载缓慢，则表示不可用。
• 最好从两端捕获数据包。
• 拥有数据后，可以依赖您的提供商。
• 这是一个广泛使用的实时捕获软件。
• 它还可以从一组捕获的数据包中捕获数据包。
• 有许多协议解析器。
• 常用端点或 IP 端点列表包括：蓝牙（MAC 48 位地址）、以太网、光纤通道、USB、UDP、FDDI、IPv4、IPv6、JXTA、NCP、TCP 等。
• 名称解析用于将数值转换为人类可读的格式。有两种方法：网络服务解析和从 Wireshark 配置文件解析。仅在未进行捕获时才可能。添加数据包到列表后即可解析。要使用正确的解析名称重建列表，您可以使用视图->重新加载。
• 在 ARP 中，Wireshark 请求操作系统将以太网地址转换为 IP 地址。
• 由于这是一个实时捕获过程，因此设置计算机上的正确时间和时区非常重要。

电话

“电话”是菜单栏上的选项。图像如下所示：



选项说明如下：

VoIP 呼叫	它代表 IP 语音。它列出了捕获流量中检测到的所有 VoIP 呼叫。它显示开始时间、停止时间、初始说话人、协议、持续时间、数据包、状态。
ANSI	它代表美国国家标准协会。ANSI 标准由其授权的组织制定。
GSM	它代表全球移动系统。它有各种选项。它有多个选项，用于查看流量中的消息计数。为此，您需要通过 USB-TTL 转换器将手机连接到计算机，验证层。然后您需要将 Layer 1 固件加载到 osmocon 中。运行 mobile 并指定用于发送 GSM TAP 的接口，以便通过 Wireshark 监听该接口。
IAX2 流分析	它显示了正向和反向流的图。
ISUP 消息	它代表ISDN 用户部分。它用于在电话交换机之间建立和释放呼叫。它按计数和方向显示消息。
LTE	它代表长期演进。它使用 RRC（无线资源控制）协议，该协议控制 LTE 接口中的 MAC 和 RLC 层。它显示捕获的 LTE MAC 和 LTE RLC 流量的统计信息。
MTP3	它在 SS7 网络中的信令点之间提供消息路由。它显示其统计信息和摘要。它代表消息传输部分。
Osmux	它是一种多路复用协议，通过替换语音和信令流量来减少带宽。如果未检测到，Wireshark 将在 UDP 数据包或流上显示此 Osmux 信息。
RTP	它被称为 RTP 流。它以序列号、数据包号开头，并根据抖动、数据包大小、到达时间和延迟创建进一步的统计信息。它代表实时传输协议。
RTSP	它代表实时流协议。它提供有关响应数据包和请求数据包的数据包计数器的信息。
SCTP	它代表流控制传输协议。它旨在通过 IP 网络传输 PSTN 信令消息。它仅适用于更广泛的应用。
SMPP 操作	它代表短消息点对点。它确定 SMPP 的响应、请求和操作。
UCP 消息	它用于确定捕获的数据包是 UCP 还是 Nacks。
H.225	它是一种用于分组多媒体通信系统的流式数据包化和信令协议。
SIP 流	它代表会话发起协议。它不需要常规连接或多条线路。相反，它安装在您当前的 Internet 连接上。它与 VoIP 一起工作。
SIP 统计信息	它提供了关于请求方法以及连接上所有 SIP 请求的信息。
WAP-WSP 数据包计数器	WSP 代表无线会话协议。它指示所有扩展的 POST 方法、状态码和 PDU 类型的报文计数。WAP 使用短消息作为载体。

WIRESHARK 解密

解密过程用于使数据可读。以下是解密步骤：

• 打开 Wireshark，然后选择特定的接口，如上所述。
• 转到“编辑”选项，然后选择“首选项”选项。
• 将出现一个对话框，如下所示：

• 在左侧列中选择“协议”选项。
• 从下拉列表中选择“IEEE 802.11”选项。勾选解密框，然后单击其下的“编辑”选项。
• 将出现一个框。单击下方显示的选项：

• 选择wpa-pwd选项，并相应地设置密码。
• 数据将被解密。
• 但上述解密过程只有在存在正确握手的情况下才可能。

---