Ⅰ wireshark怎麼抓包分析網路故障實戰
【WireShark概覽】
1、Wireshark 是網路報文分析工具。網路報文分析工具的主要作用是嘗試捕獲網路報文, 並嘗試顯示報文盡可能詳細的內容。過去的此類工具要麼太貴,要麼是非公開的。 直到Wireshark(Ethereal)出現以後,這種情況才得以改變。Wireshark可以算得上是今天能使用的最好的開源網路分析軟體。2、WireShark簡史:1997年,Gerald Combs 需要一個工具追蹤網路問題,並且想學習網路知識。所以他開始開發Ethereal (Wireshark項目以前的名稱) 以解決自己的需求。1998年,Ethreal0.2.0版誕生了。此後不久,越來越多的人發現了它的潛力,並為其提供了底層分析。2006年Ethreal改名為Wireshark。2008年,在經過了十年的發展後,Wireshark發布了1.0版本。3、WireShark的主要作用,就是可以抓取各種埠的報文,包括有線網口、無線網口、USB口、LoopBack口等等,從而就可以很方便地進行協議學習、網路分析、系統排錯等後續任務。4、不同平台下的WireShark:目前WireShark支持幾乎所有主流報文文件,包括pcap,cap ,pkt,enc等等。但是不同平台下的WireShark卻有功能上的不同。總體來說,Linux版本WireShark的功能和特性比Windows版本的要豐富和強大。例如,Linux版本的WireShark可以直接抓取USB介面報文,而Windows版本就不行。
Figure 1,Linux下的WireShark
Figure 2,Windows下WireShark
Figure 3,各平台下的WireShark所支持的協議
各平台下的WireShark支持的協議如上圖所示。從圖中可以看到Linux下的版本功能最強大,由於平台本身特性,可以使WireShark幾乎支持所有協議。但由於我們平時工作中主要抓取乙太網報文,且絕大部分的操作系統都是Windows,所以本文還是以Windows平台下的WireShark為例來進行說明。
【如何正確使用WireShark抓取報文】
1、WireShark組網拓撲。為了抓到HostA與HostB之間的報文,下面介紹幾種WireShark組網。
i.在線抓取:如果WireShark本身就是組網中的一部分,那麼,很簡單,直接抓取報文就行了。
ii. 串聯抓取:串聯組網是在報文鏈路中間串聯一個設備,利用這個中間設備來抓取報文。這個中間設備可以是一個HUB,利用HUB會對域內報文進行廣播的特性,接在HUB上的WireShark也能收到報文。
若是WireShark有雙網卡,正確設置網路轉發,直接串接在鏈路上。
也可以利用Tap分路器對來去的報文進行分路,把報文引到WireShark上。
串聯組網的好處是報文都必須經過中間設備,所有包都能抓到。缺點是除非原本就已經規劃好,不然要把報文鏈路斷開,插入一個中間設備,會中斷流量,所以一般用於學習研究,不適用於實際業務網以及工業現場乙太網。
iii. 並聯抓取:並聯組網是將現有流量通過現網設備本身的特性將流量引出來。
若是網路本身通過HUB組網的,那麼將WireShark連上HUB就可以。
若是交換機組網,那直接連上也能抓取廣播報文。
當然,最常用的還是利用交換機的鏡像功能來抓包。
並聯組網的優點是不用破壞現有組網,適合有業務的在線網路以及工業現場乙太網。缺點是HUB組網已經不常見,而交換機組網的設備開啟鏡像後,對性能有非常大的影響。
2、 WireShark的安裝。WireShark是免費開源軟體,在網上可以很輕松獲取到。Windows版的WireShark分為32位而64位兩個版本,根據系統的情況來決定安裝哪一個版本,雖然64位系統裝32位軟體也能使用,但裝相應匹配的版本,兼容性及性能都會好一些。在Windows下,WireShark的底層抓包工具是Winpcap,一般來說WireShark安裝包內本身就包含了對應可用版本的Winpcap,在安裝的時候注意鉤選安裝就可以。安裝過程很簡單,不再贅述。
3、使用WireShark抓取網路報文。Step1. 選擇需要抓取的介面,點選Start就開始抓包。
4、使用WireShark抓取MPLS報文。對於mpls報文,wireshark可以直接抓取帶MPLS標簽的報文。
5、使用WireShark抓取帶Vlan Tag的報文。早期網卡的驅動不會對VLAN TAG進行處理,而是直接送給上層處理,在這種環境下,WireShark可以正常抓到帶VLAN TAG的報文。而Intel,broadcom,marvell的網卡則會對報文進行處理,去掉TAG後再送到上層處理,所以WireShark在這種情況下通常抓不到VLAN TAG。這時我們需要針對這些網卡做一些設置,WireShark才能夠抓取帶VLAN TAG的報文。1). 更新網卡的最新驅動。2). 按照以下說明修改注冊表:a) Intel:HKEY_LOCAL_MACHINE\SYSTEM \ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318} \00xx(where xx is the instance of the network adapter that you need to see tags on. )PCI或者PCI-X網卡增加dword:MonitorModeEnabled,通常設置為1即可 0 - disabled (Do not store bad packets, Do not store CRCs, Strip 802.1Q vlan tags) 1 - enabled (Store bad packets. Store CRCs. Do not strip 802.1Q vlan tags) PCI-Express網卡增加dword:MonitorMode,通常設置為1即可 0 - disabled (Do not store bad packets, Do not store CRCs, Strip 802.1Q vlan tags) 1 - enabled (Store bad packets. Store CRCs. Do not strip 802.1Q vlan btag) 2 - enabled strip vlan (Store bad packets. Store CRCs. Strip 802.1Q vlan tag as normal);b) Broadcom:在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet下搜索,找到"TxCoalescingTicks"並確認這是唯一的,增加一個新的字元串值"PreserveVlanInfoInRxPacket",賦值1。c) Marvell Yukon 88E8055 PCI-E 千兆網卡:"HKLM\SYSTEM \CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318} \000"(where 000 is the number of the folder for the Marvel ethernet controller)增加DWORD:SkDisableVlanStrip:1;3). 以Intel網卡為例,對網卡進行配置。選擇Intel網卡的本地連接,右鍵屬性
點擊「配置」按鈕。
在VLAN選項卡中,加入任意一個VLAN,激活介面的VLAN TAG上送功能。此時可以把「本地連接」介面看成是一個Trunk介面。
配置完VLAN後,如果發現系統禁用了「本地連接」介面,則只要啟用它,會看到網路連接中會出現一個新的子介面「本地連接2」。
在WireShark上查看抓取「本地連接」介面的報文。
可以看到已經可以抓到有VLAN TAG的報文了。
由於此時的子介面都是有VLAN屬性的,所以無法當成正常的網卡來用。如果想要在抓VLAN包的同時,還能夠與網路正常通信,只要再新建一個未標記的VLAN就行。
這時,會生成一個對應的子介面「本地連接3」,在這個介面上正確配置網路參數,就可以正常通信了。
Ⅱ 如何使用wireshark幫助網路升級
首先,在自己電腦上找到Wireshark快捷方式,或者在開始菜單出啟動Wireshark抓包軟體:
如果有新版本的話,會彈出一個提醒框:
如果你不小心關掉了,那麼在哪裡找到呢?在菜單的help->check Update 裡面,點擊打開,可以重新打開更新提醒界面:
點擊「Install Updates」按鈕,則會自動進行下載更新:
下載完成後,點擊「Install Updates」按鈕,會進行安裝:
安裝過程,一直點擊next,需要設置的按照自己的需要進行選擇,直到結束
Ⅲ 高分:Wireshark使用教程
網路文庫有下載。
Ⅳ 網站漏洞掃描工具推薦,其中兩款開源免費軟體你知道嗎
在如今互聯網的時代,互聯網的安危真真切切的影響到了我們的生活,在網路上,一直隱藏著許許多多的黑客,破壞網站的安防,挖漏洞來來找下一個金主,而網站則是不斷的使用著網站漏洞掃描工具檢查網站之中可能存在的隱患,防止有心人得逞,或者是造成網站的癱瘓,下面我們來介紹一下比較出名的網站漏洞掃描工具,在個人生活之中也可以使用的到。
這是一款開源的Web伺服器掃描工具,對網頁進行檢測,其中有著3300種潛在威脅檢測文件,包含625種伺服器的版本號,230中的伺服器問題的檢測,不過這個軟體的作者更新速度不穩定,對於新的網站的威脅可能檢測不到。不過本身的功能還是很強大的,針對危險的檢測和反偵測行為,躲避危險,並且隱藏自身的參數,將自己與危險隔離開來,並且檢測訪問的網站的問題。
Ⅳ 如何使用wireshark查看ssl內容
1,要查看ssl的內容,需要得到server的server rsa key
2, 打開wireshark, 找到如下路徑, Edit -> Preferences -> protocols -> SSL
然後點擊 RSA Keys List: Edit,
在新的RSA編輯界面創建一個新的RSA key
其中
IP address 是伺服器的IP
Port 一般是443
protocol 一般填寫http
key file 可以選擇自己伺服器上的rsa key。 這個RSA Key需要是一個解密了的 PKCS#8 PEM 格式的(RSA) key
password 一般不填寫,如果key file需要一個密碼,可以在這里填寫。
3,由於wireshark低版本(低於或者是1.10)不支持session ticket, 所以如果伺服器配置的ssl是TLSv1,同時在mac的safari上面訪問,需要session ticket。 這是就要升級wireshark版本到1.12以上。
如果是ubuntu 14.04, 可以通過如下命令升級
[plain] view plain
sudo apt-add-repository 'deb http://ppa.launchpad.net/wireshark-dev/stable/ubuntu trusty main'
sudo apt-get update<pre name="code" class="plain"><span style="font-family: Arial, Helvetica, sans-serif;">sudo apt-get upgrade</span>
sudo apt-get upgrade wiresharksudo apt-get install wireshark
這就可以在wireshark解密https,查看http的內容了。
4,注意點
1, 有時候Diffie-Hellman 的CipherSuite不能解密,所以可以嘗試如下的CipherSuite。
SSLCipherSuite RC4-SHA
2, 有時候session cache會有影響,可以在mods-available/ssl.conf修改SSLSessionCache如下
[plain] view plain
SSLSessionCache none
#SSLSessionCacheTimeout 300
[plain] view plain
3,restart the apache using
[plain] view plain
sudo service apache2 restart
Ⅵ 跪求能在windows server 2008 r2 Enterprise 64位系統下正常運行的wireshark軟體
今天經過無數次嘗試,終於找到最佳方案
到官網 /download/win64/all-versions/ 下載 2.2.17 版本直接使用
系統打上所有補丁,並升級到sp1,這是個痛苦的過程... 然後安裝2.9.0版本,再升級最新版本,升級時不要升級驅動程序
Ⅶ wireshark快速指南
學過網路的同學都知道,互聯網信息的傳遞都是通過網路數據包來完成的。那麼抓取網路數據包對於我們學習網路知識,查找網路問題甚至逆向工程都是至關重要的。
現在本文以Linux 下版本號為1.10.14的wireshark向大家介紹。
wireshark是一款開源的,支持多種操作系統,多種網路協議的抓包工具。它簡單容易上手,並且說明文檔齊全(官網有詳盡的guide book)。
下面跟其他常見的抓包工具進行對比:
注意:只要將手機網路連接到安裝了wireshark的主機上(比如開熱點wifi),就可以抓到手機上的數據包,而不一定要在手機上安裝抓包工具
主要介紹兩個頁面,一個是起始頁,一個是包列表頁。起始頁展示了介面列表(網卡,藍牙,USB等數據埠),捕獲選項以及一些幫助信息。點擊開始捕獲包後就會進入包列表頁,包列表頁展示捕獲到的包,選中包對應的協議信息及其原始十六進制數據
起始頁展示了可供抓包的介面列表,選中想要捕獲的介面開始抓包。捕獲選項里可以設置捕獲過濾規則以及捕獲停止條件。
進行捕獲後,會出現三個欄目:數據包列表欄目,包協議信息欄目,包位元組信息欄目。我們可以通過數據包列表找到想要的某個數據包,滑鼠選中後,在包協議信息欄目分析該包的協議信息,如果想要知道某個位元組的含義則在包位元組信息欄目分析。注意在數據包列表欄目上方有個Filter 輸入框,這里我們可以輸入顯示過濾表達式,過濾掉數據包列表中一些不需要展示的數據包。
3.1.1 從文件導入
數據包已經被抓取並導出到文件,此時我們只需用wireshark導入此捕獲文件即可獲取之前捕獲的數據包。文件的格式有很多種,可以導入tcpmp導出的捕獲文件。有趣的是,也可以導入png,jpg等格式的圖片以及mp4等格式的視頻文件,導入後可以看到圖片和視頻也是一個個數據包組成的,圖片漸近式展示以及視頻不需完全載入就可播放等特性估計跟這有關。
3.1.1 實時抓取
選擇特定介面,點擊start按鈕後,即開始實時抓取。
一般地,介面的數據包數量龐大並且各個包之間的關聯性不強。我們想要得到特定的數據包就必須過濾無關的數據包,從而快速的進行分析。wireshark過濾方式有兩種,第一種是捕獲過濾,這種過濾是捕獲階段進行,它只捕獲未被過濾的數據包,這樣可以減少抓取數據包的數量。第二種是顯示過濾,這種過濾在分析階段進行,它在捕獲的數據包基礎上進行過濾。
3.2.1 捕獲過濾
過濾語法
一般格式: [not] primitive [and|or [not] primitive ...]
primitive 一般由type,dir,proto這三類限定符組成
3.2.2 顯示過濾
過濾語法
一般格式: (過濾欄位 比較操作符 value) 組合表達式 (過濾欄位 比較操作符 value)...
3.3.1 追蹤數據流
將數據包進行關聯,可通過某個數據包即可關聯到該數據包傳輸鏈的所有數據包,比如可以通過一個tcp數據包可關聯到這個tcp會話的所有數據包。
操作:滑鼠點擊數據包列表欄的某個數據包->右鍵->Follow TCP Stream(Follow UDP Stream,Follow SSL Stream)
3.3.2 端點
端點在不同的協議層有不同的含義,在網路層,特定IPv4,IPv6地址為一個端點,在數據運輸層,特定TCP埠,UDP埠為一個端點。端點這個頁面為我們展示每個端點的數據包發送和接收情況。
操作:Statistics->Endpoints
3.3.3 對話
對話頁面展示兩個端點之間的包傳輸情況。端點在不同協議層有不同含義,對話也一樣。在網路層,對話是兩個IP之間進行,在數據傳輸層,對話在兩個埠之間進行。
操作:Statistics->Conversations
3.3.4 流量圖
流量圖使用圖形化展示了數據包的抓取情況。
操作:Statistics->IO Graphs
3.3.5 協議分層
協議分層頁面將抓取到數據包按網路協議進行了分類,我們可以看到每個網路層抓取包的情況。
操作:Statistics->Protocol Hierarchy Statistics
3.3.6 專家信息
wireshark 幫我們分析了數據包情況,通過專家信息頁面提示網路中出現的問題,它將數據包分為4個等級(Error,Warnings,Notes,Chats),從左至右問題嚴重程度依次減少,Chats是正常的數據包。Error表示可能導致問題的數據包。
操作:Analyze->Expert Infos
一般地,如果不設置靜態MAC-->IP對應表,機器都會發送arp請求來獲得其他機器的mac地址。
如此,我們只需要在顯示過濾器輸入 arp 即可獲得apr數據包。捕獲信息見下圖:
wireshark官方文檔
Ⅷ 誰能教教我怎麼通過wireshark無線抓包
首先大家可以去官網上下載最新的而且穩定的版本:Wireshark 1.12.0
安裝完成之後, 將進入如圖所示的wireshark 運行界面
如果您的電腦上有多塊網卡, 您可以首先點擊「capture」 -- 「interface」,查看有哪些網卡網卡可以獲取流量
確定好用來抓取流量的網卡後, 您可以點擊「capture」--「options」,注意網卡一定要選中混雜模式「use promiscuous mode on all interfaces",否則你是無法獲取內網的其他信息。
如果您要獲取內網的所有信息,在」capture filter「 可以為空。如果您要獲取到網關:192.168.0.1的信息,可以在」capture fileter「這里設置:host 192.168.0.1
點擊」start「 , 就可以看到內網的實時數據了, 如圖所示:
如果您需要查看的是arp 協議的數據包, 一段時間後,點擊」stop「,然後在」filter「選項那裡, 輸入arp , 點擊」apply「 , 就可以查到本次所有抓獲的arp 數據包了。
Ⅸ wireshark win64軟體怎麼用
什麼是wireshark
Wireshark 是世界上最流行的網路分析工具。這個強大的工具可以捕捉網路
中的數據,並為用戶提供關於網路和上層協議的各種信息。與很多其他網路工具
一樣,wireshark 也使用pcap network library 來進行封包捕捉。
下載wireshark
網路搜索wireshark 的官方主頁,我們可以下載wireshark 的安裝文件,在這里我們既可以下載到最新的發布版本軟體安裝文件,
也可以下載到以前發布的舊版本軟體安裝文件。
Wireshark 支持多個操作系統,在下載安裝文件的時候注意選擇與自己PC
的操作系統匹配的安裝文件。下面的介紹我們都是以windows XP 系統為例。
選擇組件(Choose Components)
Wireshark——GUI 網路分析工具
TSshark-TShark ——命令行的網路分析工具
插件/擴展(Wireshark,TShark 分析引擎):
Dissector Plugins——分析插件:帶有擴展分析的插件
Tree Statistics Plugins——樹狀統計插件:統計工具擴展
Mate - Meta Analysis and Tracing Engine (experimental)——可配置的
顯示過濾引擎。
SNMP MIBs——SNMP,MIBS 的詳細分析。
Tools/工具(處理捕捉文件的附加命令行工具)。
Editcap 是一個讀取捕捉文件的程序,還可以將一個捕捉文件力的部分或
所有信息寫入另一個捕捉文件。
Tex2pcap 是一個讀取ASCII hex,寫入數據到libpcap 個文件的程序。
Mergecap 是一個可以將多個播捉文件合並為一個的程序。
Capinfos 是一個顯示捕捉文件信息的程序。
User』s Guide 用戶手冊——本地安裝的用戶手冊。如果不安裝用戶手冊,幫
助菜單的大部分按鈕的結果可能就是訪問internet。
選擇附加任務(Select Additional Tasks)
Start Menu Item——增加一些快捷方式到開始菜單
Desktop Icon——增加Wireshark 圖標到桌面
Quick Launch Icon——增加一個Wireshark 圖標到快速啟動工具欄
Associate file extensions to Wireshark-Wireshark——將捕捉包默認打開方式關
聯到Wireshark
5
選擇安裝目錄(Choose Install Location)
安裝路徑默認為C 盤,用戶可以根據自己的需求更改默認安裝路徑。
步驟閱讀
6
安裝WinPcap(Install WinPcap)
Wireshark 安裝包里包含了最新版的WinPcap 安裝包。如果您沒有安裝
WinPcap 。您將無法捕捉網路流量。但是您還是可以打開以保存的捕捉包文件。
當一切都選擇完成後,點擊安裝按鈕等待完成安裝即可。
Ⅹ 聽說最新版Wireshark有中文了,安裝後怎麼設置
我的更神奇,第一天使用得英文的。第二天打開,自動變成中文的了。
估計應該是自動更新的結果。自動下載與操作系統一致的語言包。