欢迎来到天天文库
浏览记录
ID:6133092
大小:2.92 MB
页数:39页
时间:2017-11-18
《wireshark使用说明》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、WireShark使用说明编写人员:黄泽忠培训目的通过本课程的学习,您将能够:了解WireShark的界面组成熟悉WireShark的基本操作适用对象:测试、开发、网络工程人员概述Wireshark是网络包分析工具。网络包分析工具的主要作用是在接口实时捕捉网络包,并详细显示包的详细协议信息。Wireshark可以捕捉多种网络接口类型的包,哪怕是无线局域网接口。Wireshark可以打开多种网络分析软件捕捉的包,可以支持许多协议的解码。我们可以用它来检测网络安全隐患、解决网络问题,也可以用它来学习网络协议、测试协议执行情况等。Wireshark不会处理网络事务,它仅仅是“
2、测量”(监视)网络。Wireshark不会发送网络包或做其它交互性的事情。安装注意事项安装文件获取:\172.16.0.2softtooltoolsLib抓包工具在安装组件时候选择所有组件,界面风格建议选择Wireshark(GTK2userinterface)安装注意事项勾选下图选项,以支持多种其他网络包分析工具支持的文件格式。安装注意事项Wireshark安装文件自带WinPcap最新版本,选择安装。Wireshark的使用1、Wireshark的主窗口Wireshark的使用2、网络数据流的监测接入点在被监测计算机上直接捕获;利用集线器将被检测端口的数据分
3、为多路进行捕获;利用交换机的端口数据映射功能进行捕获;Wireshark的使用3、实时捕获数据包使用按钮”CaptureOptions”开始捕获取对话框,选择正确的NIC进行捕获;注意:windows平台下不支持环回接口捕获,即接口列表中的第一个接口Wireshark的使用3、实时捕获数据包设置捕获缓存大小(Buffersize)设置写入数据到磁盘前保留在核心缓存中捕捉数据的大小。如果你发现丢包,可尝试增大该值。设置网卡是否为混杂捕获模式(Capturepacketsinpromiscuousmode)指定Wireshark捕捉包时,设置接口是否为混合接收模式。在非混杂
4、模式下,Wireshark捕获满足以下条件的包:含本网卡地址单播包、具有多播地址且与本网卡地址配置相吻合的数据包、广播包。而在混杂模式下,Wireshark除捕获上述类型的数据包外,与本网卡地址配置不吻合的组播包也会被捕获下来。设置捕获过滤规则Wireshark使用libpcap过滤语句进行捕捉过滤。过滤语句的形式为:[not]primitive[and
5、or[not]primitive...]Wireshark的使用常用的基本单元(primitive)类型:[src
6、dst]host过滤主机ip地址或名称。通过指定src
7、dst关键词来确定所关注的是源地址
8、还是目标地址。如果未指定,则指定的地址出现在源地址或目标地址中的包会被抓取。ether[src
9、dst]host过滤主机以太网地址。通过指定关键词src
10、dst来确定所关注的是源地址还是目标地址。如果未指定,则指定的地址出现在源地址或目标地址中的包会被抓取。[tcp
11、udp][src
12、dst]port13、dst和tcp14、udp关键词来确定来自源还是目标,tcp协议还是udp协议。tcp15、udp必须出现在src16、dst之前。ip17、etherproto选择在以太网层或是ip层的指定协议的包18、例1.捕捉来自特定主机的telnet协议:tcpport23andhost10.0.0.5例2.捕捉所有不是来自10.0.0.5的telnet通信:tcpport23andnotsrchost10.0.0.5Wireshark的使用设置多文件连续存储Usemultiplefiles如果指定条件达到临界值,Wireshark将会自动生成一个新文件。Nextfileeverynmegabyte(s)如果捕捉文件容量达到指定值,将会生成切换到新文件Nextfileeverynminutes(s)如果捕捉文件持续时间达到指定值,将会切换到新文件。Ringbufferwithnf19、iles仅生成制定数目的文件。Stopcaputureafternfile(s)当生成指定数目文件时,停止捕捉。Wireshark的使用设置停止捕获规则afternpacket(s)在捕捉到指定数目数据包后停止捕捉;afternmegabytes(s)在捕捉到指定容量的数据后停止捕捉。如果使用"usermultiplefiles",该选项将是灰色;afternminute(s)在达到指定时间后停止捕捉;选择开始按钮,进行捕获。选择停止按钮,停止捕获。Wireshark的使用4、处理已经捕获的包浏览已经捕获的包在已经捕捉完成之后,或者打开先
13、dst和tcp
14、udp关键词来确定来自源还是目标,tcp协议还是udp协议。tcp
15、udp必须出现在src
16、dst之前。ip
17、etherproto选择在以太网层或是ip层的指定协议的包
18、例1.捕捉来自特定主机的telnet协议:tcpport23andhost10.0.0.5例2.捕捉所有不是来自10.0.0.5的telnet通信:tcpport23andnotsrchost10.0.0.5Wireshark的使用设置多文件连续存储Usemultiplefiles如果指定条件达到临界值,Wireshark将会自动生成一个新文件。Nextfileeverynmegabyte(s)如果捕捉文件容量达到指定值,将会生成切换到新文件Nextfileeverynminutes(s)如果捕捉文件持续时间达到指定值,将会切换到新文件。Ringbufferwithnf
19、iles仅生成制定数目的文件。Stopcaputureafternfile(s)当生成指定数目文件时,停止捕捉。Wireshark的使用设置停止捕获规则afternpacket(s)在捕捉到指定数目数据包后停止捕捉;afternmegabytes(s)在捕捉到指定容量的数据后停止捕捉。如果使用"usermultiplefiles",该选项将是灰色;afternminute(s)在达到指定时间后停止捕捉;选择开始按钮,进行捕获。选择停止按钮,停止捕获。Wireshark的使用4、处理已经捕获的包浏览已经捕获的包在已经捕捉完成之后,或者打开先
此文档下载收益归作者所有
