学习Wireshark-1.1.1 / 安装及Edit功能

之前分享过几篇关于wireshark处理工作中故障的文章,有小伙伴问有没有wireshark入门的介绍。个人的感觉来看,wireshark仅仅是个工具,对不同工作内容的小伙伴来说,目的和使用功能侧重点也不同。从本次开始,我将会以网络工程师的角度,从安装-工具的功能-各种协议分析和-工作中的案例,来介绍我所了解的wireshark,如果可能,我也会出和文章配套的视频与大家交流。

1 下载安装(下载地址:https://www.wireshark.org/)

24083bb73b3140b28e5f0d502f2e75c7

wireshark下载界面

目前最新版本为3.4.0,对于使用wireshark的小伙伴来说,通常都是工程师或者从事IT相关工作,下载及安装过程就不做赘述,wireshark3.0以后会根据操作系统语言选择软件的语言,打开软件如下图:

23fcb41aacd6457d8627a4f63ee5c766

wireshark软件主界面


2 菜单栏介绍。工欲利其事必先利其器,在进行抓包前,先来了解下软件的菜单、工具和常用的设置。

2.1 编辑(Edit) 选择第一个介绍编辑,是因为有些小伙伴安装早期英文版本,又不擅长英语的,可以在此功能内切换中文。

  • 首选项(Preferences)点击Edit-Preferences进入单独的菜单页面。
4c069dc0f7cd49abadf5958c9b208db4

Wireshark-Edit

  • 外观(Appearance)
9260a083036349f8afa7a4da1d7b3004

Wireshark-Edit-Appearances

1. 保持与上次的用户习惯一致,例如窗口的大小、位置等等;

2. 主界面open选项的显示的文件内容。默认为最近打开的文件

9216b1c9bdd046028c2eb49790b7720a

wireshark最近打开文件

可以修改为保存pcap文件的文件夹,方便快速打开待分析的数据包,例如修改为存放pcap文件夹的目录;

5176d66ec12647c99d4c19ca61ed6ec6

修改Open路径

204d84d33c5747e3bff297bbbb6eb19d

修改open路径后的主界面

3.抓包主界面显示的最近打开文件数量以及显示的过滤规则数量,默认都是10个,全部修改为1后,对比一下效果:

e1a51306d34d4631bfd607cb086fd420

wireshark主界面展示最近打开文件-修改前

6df9a746fdf04b59ac5196e7d1101354

wireshark主界面展示最近打开文件-修改后

a03f4d4fff3440eea5cf58262faff50a

wireshark抓包界面过滤规则-修改前

7a166eecd50e4b6d94873ef0f8a0ef64

wireshak抓包界面过滤规则-修改后

4 确认保存和补全;

5 抓包分析界面的标题,对实际使用没有太大关系;

6 语言菜单,习惯中文的可以在此切换。

7f745b11a5494b009e980bc7684557f3

wireshark修改默认语言

· Columns

789e4f3a9d324a87accd847af8994ae4

wireshark抓包界面显示列表内容

在抓包分析界面的数据包列表展示的列,包括常用的:编号(No.)-时间(Tme)-源地址(Source)-目的地址(Destination)-协议(Protocol)-长度(Length)-信息(Info),如下图

c0217055214a450bb1b715160018049a

wireshark抓包默认界面-列表

有时为了方便,需要特殊的显示信息,例如增加Trunk接口的vlan-id的显示,也可以列表栏右键,修改显示内容及相关参数;

d66fe519e07340559d331de877e02e17

wireshark添加列表项

53d1a7990b0e40579fccbfd77c5ec548

wireshark添加列表后显示

· Font and Colors,修改默认窗口的字体及标注颜色等

b9228efe7a9c43f99e53cb2f8cd87b9b

wireshark默认窗口颜色和字体

· 布局(Layout)

c8b7683214d04f769c4c8e932f96469e

wireshark默认布局

1 数据展示布局,默认方式:数据包列表-数据包结构-数据包内容位,可以通过布局修改,比如默认的Phase2

f7bb8f6908c94a62b4d03164ef754dea

默认布局

fc6538ac9f12420ebdbb1e5df5371c06

Phase2布局

2 数据包类别的格式,可以修改的是显示数据包分割线(show packet separate),方便查看不同行的数据包内容,对比如下

ce0a627ccb714ab48bdc2d01e914e446

默认界面

03048712010b499a92e2eba875edea96

添加分割线

  • · 捕获,更习惯称为抓包(Capture)
0f7ccfe8bbd34e8f85e14ec35347b4e9

抓包设置项

1 默认接口,例如笔记本经常使用无线网卡抓包,可以将网卡选择为无线网卡,这样在打开wireshark后无需再手动选择网卡,尤其在本机装了虚拟机后,过多网卡选择提升效率;

2 使用混杂模式抓取数据包,类似VMware里设置网卡的模式;

3 使用pcap格式抓取和保存数据包;

4 实时更新数据包,在抓包同时观察异常时,保证数据包的实时更新;

5 实时滚屏,当抓取的数据包list满屏时,实施翻页;

6 启动软件时不加载网卡列表,建议加载;

7 禁用外部抓包接口,建议开启外部抓包接口。当需要抓取外部主机的数据包,并且不方便在远端安装wireshark或无法使用tcpdump时,可以通过使用外部接口抓取数据包,我们在后面介绍抓取接口时,详细介绍。

· 过滤器按钮(Filter Buttons) 可以自定义过滤规则,在抓包过程中快速的过滤,例如要过滤80端口(test2)等,如下图

3dd0807648054272a4e63a21ee68d1c0

修改过滤键

在抓包界面添加新定义的过滤规则,然后可以在过滤条的右侧出现,方便快速的过滤数据包,如下图:

d7df7a587e824d64a39b63dcc4b66623

添加过滤规则

1704b248349e4dbc924d67adfdc5f534

过滤规则快捷界面

· 名称解析(Name resolution) 将抓到的数据包,解析到相应的名称,建议保留默认,开启过多的解析会影响抓包效率和系统资源的消耗。

0a1ff6fa72fa4b889bfd84095975adc7

wireshark名称解析

1 基于抓取到的MAC地址解析为厂商名称,如下图:

7b7fadadd1114e569c10cea4be63a41e

wireshark解析MAC

2 解析传输层协议,例如基于23解析telnet,基于80解析HTTP,如下图:

7b7cb28520bf4a84aa7193285ad66af6

wireshak解析L4协议

3 通过IP地址解析,例如ping ,开启ip解析后,直接在ip显示,如下图

a02133f377114cfdab9e7555cf69181e

wireshark解析L3协议

4 我理解为使用抓包机器解析地址

5 使用外部的DNS服务器解析

6 自定义DNS服务器

7 通过和8配合,导入mib库后,在抓到的数据包时同时解析相应的OID,例如在ZABBIX监控设备时,可以通过抓包判断监控的内容。

· 协议(Protocols)是针对各种协议参数的更精细设定,因为工作性质的问题多数协议并未涉及,更多的还是在IP、TCP、UDP、DHCP、DNS等网络协议,下面以IPv4为例看一下相关内容。

b4e85a8221d943968e8297d9f9c458bd

wireshark Protocols

· RSA Keys,导入私钥,以便做TSL/SSL的认证,有关TSL/SSL的相关知识可以参考之前写的文章(连接)

· Statistics,主要编辑数据包的大小范围,主要为static里的统计数据进行分类(Statistics-Packet Length),以便判断和处理故障,例如网络中存在大量小包:

e04f5430f7f649c896ef1a06c13e5afc

Wireshark数据包大小规则

· Advanced,包含协议的bool值,设置的保存方式,颜色的扩展方案等等,本人很少修改。

· 模板(Profile),Edit-Configration Profiles,可以在wireshark主界面的右下角看到当前模板,右键可以进行快速的切换(默认使用Deafult模板),目的是在不同的环境和诊断要求下,快速的切换过滤规则,颜色方案等。

例如之前配置都在Default模板下,我们做过几条测试Filter规则,在新建一个模板,起名test,对一下界面:

d965f696c2434feeacddc006601e78cf

wireshark修改模板

dcfe08b513df4bba9c23726bbb6ec096

不同模板显示对比

· 注释及取消注释(Packet Comments/Delete All Packet Comments),可以对抓取的数据包进行标注,以便在多人共同分析时,能快速获取之前诊断的注释。注释在Statistics-capture File Properties里面查看,如下图添加和查看注释

2cd6d4ff66ed4ecfbc2dcdc51ee7756d

wireshark注释

b51d207433b646db84bc13ef886df65a

wireshark查看注释

· Time Reference(相对时间),通常在一条数据流对其中一个数据包进行标记,而后的相同数据流以该标记的数据包显示相对时间。例如一条TCP流,或者2次ping的时间差,以此来判断数据传输过程中的相对时延,如下图icmp的时间间隔,在默认以及标记了相对时间后的截图:

f7fb22a68e6f4d8d9cc073d6fbd818b6

wireshark默认time显示

c33e411bc21c4651a5520cda3f22b6d0

wireshark相对时间显示

· Ignore(忽略数据包),选择忽略的数据包,通常和File-Save配合使用,以便过滤掉无需关注的数据包并且保存,方便之后诊断的工程师忽略无关信息。

· Mark(标记),对关键的数据包进行标记,也可以和File-Save进行结合使用,方便后续快速找到关键数据包。

文章版权声明

 1 原创文章作者:汇维网,如若转载,请注明出处: http://www.52hwl.com/1601.html

 2 温馨提示:软件侵权请联系469472785#qq.com(三天内删除相关链接)资源失效请留言反馈

 3 下载提示:如遇蓝奏云无法访问,请修改lanzous(把s修改成x)

 免责声明:本站为个人博客,所有软件信息均来自网络 修改版软件,加群广告提示为修改者自留,非本站信息,注意鉴别

发表评论

登录后才能评论