1.5 对Wireshark的简单介绍
Wireshark是什么?
图1.9. Wireshark的logo
Wireshark是一个免费的、开源的包分析器,用于对包轨迹的嗅探、抓取和分析。
包轨迹是网络中某个地方的传输记录,就像对传输在一个特殊电线中的比特流拍了一张快照。包轨迹记录了每个包的时间戳,以及由从底层头到更高层内容组成的包的比特位。
Wireshark可以运行在大多数操作系统上,包括Windows,MAC和Linux。它提供了一个图形化的用户接口来显示包的顺序,以及显示当比特位被解释为协议头和数据时的比特位意义。为了更清楚表达相关意义,包以颜色编码的方式显示。为了便于你研究分析行为的不同方面,Wireshark提供了很多方法来过滤和分析包。Wireshark被广泛应用于解决网络故障问题。
Wireshard的一个最通用场景是一个人想去调试解决网络问题或者想看一个网络协议的内部工作。比如,当一个用户打开网页或者设置一个无线传感器网络时,他/她可以通过Wireshark看到底发生了什么。Wireshark也可用于过滤和查找一个已知的包属性,便于调试。
更多的信息以及安装指令请访问Wireshark官网[1]。
图1.10. Wireshark屏幕截图
当你打开Wireshark时,能看到四个主区域,从上到下依次是:菜单、过滤器、已抓取到包的列表、关于所选择的包的详细信息(包括十六进制和ASCII的完整内容)。到Wireshark官网,你可以找到Wireshark的用户手册和安全相关的信息。在文件菜单下,有Open选项(让你打开先前已经抓取了包的文件和包的样例文件)。你可以通过官网下载到所有的包的样例文件并学习研究它。这将有助于你理解Wireshark可以抓取什么包。
抓取区域让你从有效的接口中选取其中一个,它也告诉你哪些是有效的。点击信息信息将告诉你一些关于这个接口通用信息。
在抓取菜单下,一个你可以选择需要抓取或多个接口。抓取很多选项允许你自定义在抓取期间显示哪些信息。你可以选择一个滤波器,一个抓取文件,或更多。在抓取帮助菜单下,你可以通过阅读指导Wireshark是如何抓取的,可以知道在某一平台某一接口上的网络媒介知识。
我们选择一个接口并点击开始。可以通过点击工具栏下的红色方框按钮可以停止抓取。如果你想开始一个新的抓取,点击旁边的看起来像鲨鱼的绿色三角形按钮。完成抓取后,你可以点击文件,并选择保存、打开或者合并其它抓取文件。你可以打印它,你可以脱离程序,你可以以多种方式导出采集包。
你可以找到一个确定的包,拷贝报,标记(高亮)任何指定的包或者所有包。在编辑菜单下的一间有趣的事是重置时间值。需要注意,时间是以秒递增的。点击一个包后,你可以重置它。你可以给一个包添加注释、配置属性和个人偏好。
当你从抓取的包列表里选定一个包时,Wireshark将根据该包的协议显示详细的消息,如以太网包:
图1.11 以太网包
或者IPv6包(我们可以在之前提及过的域中看到版本、通信类别、流标签、有效程度、写一个头等等):
图1.12. IPv6包
这里有两种对抓取的包的列表进行过滤的方法:
- 在一个指定的方框内写一个表达式并应用它(Apply it)。你可以指定协议类型(ip,ipv6, icmp, icmpv6),协议的域(ipv6.dst, ipv6.src),甚至使用符号与(&&)、或(||)、非(|)创建更复杂的表达式。
图1.13. Wireshark过滤器
- 另一个创建滤波器的方法是鼠标右击一个抓取到的包。此时将出现一个菜单
应用滤波器,并在其下级菜单有更多的选项。
图1.14. Wireshark抓取的包
Wireshark还提供的另一个有用且有趣的功能——你可以看采集到的包的统计状态。如果我们应用过滤波器,这个统计结果将只显示被过滤的流量。
图1.15. Wireshark统计图
其它有趣的选项:
- 会话列表→ IPv6
- 统计→终端点列表→ IPv6
- 统计→ IO图形化
上面最后一个选项允许使用不同的曲线和不同的流量类型创建一个图形化界面,并将其图形保存:
图1.16 Wireshark图表