Wireshark入门培训.ppt

* * * * * * * Grandstream 全系列产品 * 内容简介 Wireshark的发展应用 应用场景： 网络管理员用来解决网络问题 网络安全工程师用来检测安全隐患 开发人员/测试人员用来测试协议执行情况 用来学习网络协议 除了上面提到的，Wireshark 还可以用在其它许多场合。 Wireshark简史 1997年 Gerald Combs 需要一个工具追踪网络问题并想学习网络知识,开始开发Ethereal。 1998年07月 Ethereal终于面世。Gilbert Ramirez 发现它的潜力，并为其提供了底层分析。同年10月份，Guy Harris 正寻找一种比TcpView 更好的工具，他开始为Ethereal 进行改进，并提供分析。 2006年 因商标问题，Ethereal正式改名为Wireshark。 Wireshark 安装/更新/卸载  官方网站：/ 官方下载页面：/download.html 必威体育精装版版本1.12.5 目前WinCap下载页面/install/default.htm 必威体育精装版版本4.1.2 国内Wireshark相关资源网站/csna-33-1.html Wireshark 安装/更新/卸载 开始 选择组件 选择附加任务 安装wincap 接口列表 Device:接口名字 Description：接口描述一般由OS提供也可自定义 IP:接口的第一个IP Packets:打开对话框后所捕捉的包的数量 Packets/s:当前的捕捉速度 Details:对应接口的详细信息 Options:Capture Options捕捉选项 Wireshark界面与菜单—接口列表 Wireshark登陆界面共有以下7大块： 1.菜单栏 2.主工具栏 3.过滤工具栏 4.捕捉设置 5.帮助文档 6.文件 7.在线 Tips：如帮助/样本/用户手册等提供的链接需翻墙，推荐天行浏览器 Promiscuous Mode:混杂模式捕捉包。开启则能抓到局域网内所有,关闭则只能捕捉广播包以及发给该网卡的包。 Manage Interfaces:可以增加删除管道;隐藏显示本地接口;增加删除远程接口 Use multiple files:多文件保存,勾选后可以更进一步指定每隔多少时间/大小就存为一个文件。Ring buffer with 是指定了最多X个文件，当第X个文件写满了，就重新覆盖第一个文件。 Stop Capture Automatically After:指满足后续条件后自动暂停抓包。 Update list of packets in real time:实时更新数据包到主显示窗口,关闭选项则停止抓包时才显示数据包。 Automatic scrolling in live capture:展示窗口滚动到必威体育精装版一行 Hide capture info dialog:隐藏当前抓包信息窗口 Enable MAC name resolution:转换MAC地址 Enable network name resolution:转换网络地址,如域名,主机名 Wireshark界面与菜单—捕捉选项 实时地解析并展示，会消耗CPU资源，对捕获性能产生不小的影响，丢包率可能会因此而增大 Enable transport name resolution:将传输层地址（一般就是端口号）解析成其对应的应用层服务,80/8080-http 53-dns File(文件):打开或保存捕获的信息。 Edit(编辑):查找或标记封包。进行全局设置。 View(查看):菜单工具展示定制/窗口大小调整/数据包展示属性定制/颜色标记规则。 Go(转到):跳转到捕获的数据。 Capture(捕获):设置捕捉过滤器并开始捕捉。 Analyze(分析):设置分析选项,包括过滤器应用/解码/流跟随 Statistics(统计):设置分析选项。从概要/协议层次/会话/终端等不同角度提供统计信息;IO图。 Telephony:RTP/VoipCall/SIP Help(帮助):查看本地或者在线支持。 Wireshark界面与菜单—主工作区 封包详细列表： Frame: 物理层的数据帧概况 Ethernet II: 数据链路层以太网帧头部信息 Internet Protocol Version 4: 互联网层IP包头部信息 Transmission Control Protocol: 传输层的数据段头部信息，此处是UDP Hypertext Transfer Protocol: 应用层的信息，此处是SIP协议 创建规则流程： 1.打开View-ColoringRules 2.新建 3.新建会弹出右上图 4.给本条颜