Ⅰ wireshark怎么抓包分析网络故障实战
【WireShark概览】
1、Wireshark 是网络报文分析工具。网络报文分析工具的主要作用是尝试捕获网络报文, 并尝试显示报文尽可能详细的内容。过去的此类工具要么太贵,要么是非公开的。 直到Wireshark(Ethereal)出现以后,这种情况才得以改变。Wireshark可以算得上是今天能使用的最好的开源网络分析软件。2、WireShark简史:1997年,Gerald Combs 需要一个工具追踪网络问题,并且想学习网络知识。所以他开始开发Ethereal (Wireshark项目以前的名称) 以解决自己的需求。1998年,Ethreal0.2.0版诞生了。此后不久,越来越多的人发现了它的潜力,并为其提供了底层分析。2006年Ethreal改名为Wireshark。2008年,在经过了十年的发展后,Wireshark发布了1.0版本。3、WireShark的主要作用,就是可以抓取各种端口的报文,包括有线网口、无线网口、USB口、LoopBack口等等,从而就可以很方便地进行协议学习、网络分析、系统排错等后续任务。4、不同平台下的WireShark:目前WireShark支持几乎所有主流报文文件,包括pcap,cap ,pkt,enc等等。但是不同平台下的WireShark却有功能上的不同。总体来说,Linux版本WireShark的功能和特性比Windows版本的要丰富和强大。例如,Linux版本的WireShark可以直接抓取USB接口报文,而Windows版本就不行。
Figure 1,Linux下的WireShark
Figure 2,Windows下WireShark
Figure 3,各平台下的WireShark所支持的协议
各平台下的WireShark支持的协议如上图所示。从图中可以看到Linux下的版本功能最强大,由于平台本身特性,可以使WireShark几乎支持所有协议。但由于我们平时工作中主要抓取以太网报文,且绝大部分的操作系统都是Windows,所以本文还是以Windows平台下的WireShark为例来进行说明。
【如何正确使用WireShark抓取报文】
1、WireShark组网拓扑。为了抓到HostA与HostB之间的报文,下面介绍几种WireShark组网。
i.在线抓取:如果WireShark本身就是组网中的一部分,那么,很简单,直接抓取报文就行了。
ii. 串联抓取:串联组网是在报文链路中间串联一个设备,利用这个中间设备来抓取报文。这个中间设备可以是一个HUB,利用HUB会对域内报文进行广播的特性,接在HUB上的WireShark也能收到报文。
若是WireShark有双网卡,正确设置网络转发,直接串接在链路上。
也可以利用Tap分路器对来去的报文进行分路,把报文引到WireShark上。
串联组网的好处是报文都必须经过中间设备,所有包都能抓到。缺点是除非原本就已经规划好,不然要把报文链路断开,插入一个中间设备,会中断流量,所以一般用于学习研究,不适用于实际业务网以及工业现场以太网。
iii. 并联抓取:并联组网是将现有流量通过现网设备本身的特性将流量引出来。
若是网络本身通过HUB组网的,那么将WireShark连上HUB就可以。
若是交换机组网,那直接连上也能抓取广播报文。
当然,最常用的还是利用交换机的镜像功能来抓包。
并联组网的优点是不用破坏现有组网,适合有业务的在线网络以及工业现场以太网。缺点是HUB组网已经不常见,而交换机组网的设备开启镜像后,对性能有非常大的影响。
2、 WireShark的安装。WireShark是免费开源软件,在网上可以很轻松获取到。Windows版的WireShark分为32位而64位两个版本,根据系统的情况来决定安装哪一个版本,虽然64位系统装32位软件也能使用,但装相应匹配的版本,兼容性及性能都会好一些。在Windows下,WireShark的底层抓包工具是Winpcap,一般来说WireShark安装包内本身就包含了对应可用版本的Winpcap,在安装的时候注意钩选安装就可以。安装过程很简单,不再赘述。
3、使用WireShark抓取网络报文。Step1. 选择需要抓取的接口,点选Start就开始抓包。
4、使用WireShark抓取MPLS报文。对于mpls报文,wireshark可以直接抓取带MPLS标签的报文。
5、使用WireShark抓取带Vlan Tag的报文。早期网卡的驱动不会对VLAN TAG进行处理,而是直接送给上层处理,在这种环境下,WireShark可以正常抓到带VLAN TAG的报文。而Intel,broadcom,marvell的网卡则会对报文进行处理,去掉TAG后再送到上层处理,所以WireShark在这种情况下通常抓不到VLAN TAG。这时我们需要针对这些网卡做一些设置,WireShark才能够抓取带VLAN TAG的报文。1). 更新网卡的最新驱动。2). 按照以下说明修改注册表:a) Intel:HKEY_LOCAL_MACHINE\SYSTEM \ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318} \00xx(where xx is the instance of the network adapter that you need to see tags on. )PCI或者PCI-X网卡增加dword:MonitorModeEnabled,通常设置为1即可 0 - disabled (Do not store bad packets, Do not store CRCs, Strip 802.1Q vlan tags) 1 - enabled (Store bad packets. Store CRCs. Do not strip 802.1Q vlan tags) PCI-Express网卡增加dword:MonitorMode,通常设置为1即可 0 - disabled (Do not store bad packets, Do not store CRCs, Strip 802.1Q vlan tags) 1 - enabled (Store bad packets. Store CRCs. Do not strip 802.1Q vlan btag) 2 - enabled strip vlan (Store bad packets. Store CRCs. Strip 802.1Q vlan tag as normal);b) Broadcom:在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet下搜索,找到"TxCoalescingTicks"并确认这是唯一的,增加一个新的字符串值"PreserveVlanInfoInRxPacket",赋值1。c) Marvell Yukon 88E8055 PCI-E 千兆网卡:"HKLM\SYSTEM \CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318} \000"(where 000 is the number of the folder for the Marvel ethernet controller)增加DWORD:SkDisableVlanStrip:1;3). 以Intel网卡为例,对网卡进行配置。选择Intel网卡的本地连接,右键属性
点击“配置”按钮。
在VLAN选项卡中,加入任意一个VLAN,激活接口的VLAN TAG上送功能。此时可以把“本地连接”接口看成是一个Trunk接口。
配置完VLAN后,如果发现系统禁用了“本地连接”接口,则只要启用它,会看到网络连接中会出现一个新的子接口“本地连接2”。
在WireShark上查看抓取“本地连接”接口的报文。
可以看到已经可以抓到有VLAN TAG的报文了。
由于此时的子接口都是有VLAN属性的,所以无法当成正常的网卡来用。如果想要在抓VLAN包的同时,还能够与网络正常通信,只要再新建一个未标记的VLAN就行。
这时,会生成一个对应的子接口“本地连接3”,在这个接口上正确配置网络参数,就可以正常通信了。
Ⅱ 如何使用wireshark帮助网络升级
首先,在自己电脑上找到Wireshark快捷方式,或者在开始菜单出启动Wireshark抓包软件:
如果有新版本的话,会弹出一个提醒框:
如果你不小心关掉了,那么在哪里找到呢?在菜单的help->check Update 里面,点击打开,可以重新打开更新提醒界面:
点击“Install Updates”按钮,则会自动进行下载更新:
下载完成后,点击“Install Updates”按钮,会进行安装:
安装过程,一直点击next,需要设置的按照自己的需要进行选择,直到结束
Ⅲ 高分:Wireshark使用教程
网络文库有下载。
Ⅳ 网站漏洞扫描工具推荐,其中两款开源免费软件你知道吗
在如今互联网的时代,互联网的安危真真切切的影响到了我们的生活,在网络上,一直隐藏着许许多多的黑客,破坏网站的安防,挖漏洞来来找下一个金主,而网站则是不断的使用着网站漏洞扫描工具检查网站之中可能存在的隐患,防止有心人得逞,或者是造成网站的瘫痪,下面我们来介绍一下比较出名的网站漏洞扫描工具,在个人生活之中也可以使用的到。
这是一款开源的Web服务器扫描工具,对网页进行检测,其中有着3300种潜在威胁检测文件,包含625种服务器的版本号,230中的服务器问题的检测,不过这个软件的作者更新速度不稳定,对于新的网站的威胁可能检测不到。不过本身的功能还是很强大的,针对危险的检测和反侦测行为,躲避危险,并且隐藏自身的参数,将自己与危险隔离开来,并且检测访问的网站的问题。
Ⅳ 如何使用wireshark查看ssl内容
1,要查看ssl的内容,需要得到server的server rsa key
2, 打开wireshark, 找到如下路径, Edit -> Preferences -> protocols -> SSL
然后点击 RSA Keys List: Edit,
在新的RSA编辑界面创建一个新的RSA key
其中
IP address 是服务器的IP
Port 一般是443
protocol 一般填写http
key file 可以选择自己服务器上的rsa key。 这个RSA Key需要是一个解密了的 PKCS#8 PEM 格式的(RSA) key
password 一般不填写,如果key file需要一个密码,可以在这里填写。
3,由于wireshark低版本(低于或者是1.10)不支持session ticket, 所以如果服务器配置的ssl是TLSv1,同时在mac的safari上面访问,需要session ticket。 这是就要升级wireshark版本到1.12以上。
如果是ubuntu 14.04, 可以通过如下命令升级
[plain] view plain
sudo apt-add-repository 'deb http://ppa.launchpad.net/wireshark-dev/stable/ubuntu trusty main'
sudo apt-get update<pre name="code" class="plain"><span style="font-family: Arial, Helvetica, sans-serif;">sudo apt-get upgrade</span>
sudo apt-get upgrade wiresharksudo apt-get install wireshark
这就可以在wireshark解密https,查看http的内容了。
4,注意点
1, 有时候Diffie-Hellman 的CipherSuite不能解密,所以可以尝试如下的CipherSuite。
SSLCipherSuite RC4-SHA
2, 有时候session cache会有影响,可以在mods-available/ssl.conf修改SSLSessionCache如下
[plain] view plain
SSLSessionCache none
#SSLSessionCacheTimeout 300
[plain] view plain
3,restart the apache using
[plain] view plain
sudo service apache2 restart
Ⅵ 跪求能在windows server 2008 r2 Enterprise 64位系统下正常运行的wireshark软件
今天经过无数次尝试,终于找到最佳方案
到官网 /download/win64/all-versions/ 下载 2.2.17 版本直接使用
系统打上所有补丁,并升级到sp1,这是个痛苦的过程... 然后安装2.9.0版本,再升级最新版本,升级时不要升级驱动程序
Ⅶ wireshark快速指南
学过网络的同学都知道,互联网信息的传递都是通过网络数据包来完成的。那么抓取网络数据包对于我们学习网络知识,查找网络问题甚至逆向工程都是至关重要的。
现在本文以Linux 下版本号为1.10.14的wireshark向大家介绍。
wireshark是一款开源的,支持多种操作系统,多种网络协议的抓包工具。它简单容易上手,并且说明文档齐全(官网有详尽的guide book)。
下面跟其他常见的抓包工具进行对比:
注意:只要将手机网络连接到安装了wireshark的主机上(比如开热点wifi),就可以抓到手机上的数据包,而不一定要在手机上安装抓包工具
主要介绍两个页面,一个是起始页,一个是包列表页。起始页展示了接口列表(网卡,蓝牙,USB等数据端口),捕获选项以及一些帮助信息。点击开始捕获包后就会进入包列表页,包列表页展示捕获到的包,选中包对应的协议信息及其原始十六进制数据
起始页展示了可供抓包的接口列表,选中想要捕获的接口开始抓包。捕获选项里可以设置捕获过滤规则以及捕获停止条件。
进行捕获后,会出现三个栏目:数据包列表栏目,包协议信息栏目,包字节信息栏目。我们可以通过数据包列表找到想要的某个数据包,鼠标选中后,在包协议信息栏目分析该包的协议信息,如果想要知道某个字节的含义则在包字节信息栏目分析。注意在数据包列表栏目上方有个Filter 输入框,这里我们可以输入显示过滤表达式,过滤掉数据包列表中一些不需要展示的数据包。
3.1.1 从文件导入
数据包已经被抓取并导出到文件,此时我们只需用wireshark导入此捕获文件即可获取之前捕获的数据包。文件的格式有很多种,可以导入tcpmp导出的捕获文件。有趣的是,也可以导入png,jpg等格式的图片以及mp4等格式的视频文件,导入后可以看到图片和视频也是一个个数据包组成的,图片渐近式展示以及视频不需完全加载就可播放等特性估计跟这有关。
3.1.1 实时抓取
选择特定接口,点击start按钮后,即开始实时抓取。
一般地,接口的数据包数量庞大并且各个包之间的关联性不强。我们想要得到特定的数据包就必须过滤无关的数据包,从而快速的进行分析。wireshark过滤方式有两种,第一种是捕获过滤,这种过滤是捕获阶段进行,它只捕获未被过滤的数据包,这样可以减少抓取数据包的数量。第二种是显示过滤,这种过滤在分析阶段进行,它在捕获的数据包基础上进行过滤。
3.2.1 捕获过滤
过滤语法
一般格式: [not] primitive [and|or [not] primitive ...]
primitive 一般由type,dir,proto这三类限定符组成
3.2.2 显示过滤
过滤语法
一般格式: (过滤字段 比较操作符 value) 组合表达式 (过滤字段 比较操作符 value)...
3.3.1 追踪数据流
将数据包进行关联,可通过某个数据包即可关联到该数据包传输链的所有数据包,比如可以通过一个tcp数据包可关联到这个tcp会话的所有数据包。
操作:鼠标点击数据包列表栏的某个数据包->右键->Follow TCP Stream(Follow UDP Stream,Follow SSL Stream)
3.3.2 端点
端点在不同的协议层有不同的含义,在网络层,特定IPv4,IPv6地址为一个端点,在数据运输层,特定TCP端口,UDP端口为一个端点。端点这个页面为我们展示每个端点的数据包发送和接收情况。
操作:Statistics->Endpoints
3.3.3 对话
对话页面展示两个端点之间的包传输情况。端点在不同协议层有不同含义,对话也一样。在网络层,对话是两个IP之间进行,在数据传输层,对话在两个端口之间进行。
操作:Statistics->Conversations
3.3.4 流量图
流量图使用图形化展示了数据包的抓取情况。
操作:Statistics->IO Graphs
3.3.5 协议分层
协议分层页面将抓取到数据包按网络协议进行了分类,我们可以看到每个网络层抓取包的情况。
操作:Statistics->Protocol Hierarchy Statistics
3.3.6 专家信息
wireshark 帮我们分析了数据包情况,通过专家信息页面提示网络中出现的问题,它将数据包分为4个等级(Error,Warnings,Notes,Chats),从左至右问题严重程度依次减少,Chats是正常的数据包。Error表示可能导致问题的数据包。
操作:Analyze->Expert Infos
一般地,如果不设置静态MAC-->IP对应表,机器都会发送arp请求来获得其他机器的mac地址。
如此,我们只需要在显示过滤器输入 arp 即可获得apr数据包。捕获信息见下图:
wireshark官方文档
Ⅷ 谁能教教我怎么通过wireshark无线抓包
首先大家可以去官网上下载最新的而且稳定的版本:Wireshark 1.12.0
安装完成之后, 将进入如图所示的wireshark 运行界面
如果您的电脑上有多块网卡, 您可以首先点击“capture” -- “interface”,查看有哪些网卡网卡可以获取流量
确定好用来抓取流量的网卡后, 您可以点击“capture”--“options”,注意网卡一定要选中混杂模式“use promiscuous mode on all interfaces",否则你是无法获取内网的其他信息。
如果您要获取内网的所有信息,在”capture filter“ 可以为空。如果您要获取到网关:192.168.0.1的信息,可以在”capture fileter“这里设置:host 192.168.0.1
点击”start“ , 就可以看到内网的实时数据了, 如图所示:
如果您需要查看的是arp 协议的数据包, 一段时间后,点击”stop“,然后在”filter“选项那里, 输入arp , 点击”apply“ , 就可以查到本次所有抓获的arp 数据包了。
Ⅸ wireshark win64软件怎么用
什么是wireshark
Wireshark 是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络
中的数据,并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具
一样,wireshark 也使用pcap network library 来进行封包捕捉。
下载wireshark
网络搜索wireshark 的官方主页,我们可以下载wireshark 的安装文件,在这里我们既可以下载到最新的发布版本软件安装文件,
也可以下载到以前发布的旧版本软件安装文件。
Wireshark 支持多个操作系统,在下载安装文件的时候注意选择与自己PC
的操作系统匹配的安装文件。下面的介绍我们都是以windows XP 系统为例。
选择组件(Choose Components)
Wireshark——GUI 网络分析工具
TSshark-TShark ——命令行的网络分析工具
插件/扩展(Wireshark,TShark 分析引擎):
Dissector Plugins——分析插件:带有扩展分析的插件
Tree Statistics Plugins——树状统计插件:统计工具扩展
Mate - Meta Analysis and Tracing Engine (experimental)——可配置的
显示过滤引擎。
SNMP MIBs——SNMP,MIBS 的详细分析。
Tools/工具(处理捕捉文件的附加命令行工具)。
Editcap 是一个读取捕捉文件的程序,还可以将一个捕捉文件力的部分或
所有信息写入另一个捕捉文件。
Tex2pcap 是一个读取ASCII hex,写入数据到libpcap 个文件的程序。
Mergecap 是一个可以将多个播捉文件合并为一个的程序。
Capinfos 是一个显示捕捉文件信息的程序。
User’s Guide 用户手册——本地安装的用户手册。如果不安装用户手册,帮
助菜单的大部分按钮的结果可能就是访问internet。
选择附加任务(Select Additional Tasks)
Start Menu Item——增加一些快捷方式到开始菜单
Desktop Icon——增加Wireshark 图标到桌面
Quick Launch Icon——增加一个Wireshark 图标到快速启动工具栏
Associate file extensions to Wireshark-Wireshark——将捕捉包默认打开方式关
联到Wireshark
5
选择安装目录(Choose Install Location)
安装路径默认为C 盘,用户可以根据自己的需求更改默认安装路径。
步骤阅读
6
安装WinPcap(Install WinPcap)
Wireshark 安装包里包含了最新版的WinPcap 安装包。如果您没有安装
WinPcap 。您将无法捕捉网络流量。但是您还是可以打开以保存的捕捉包文件。
当一切都选择完成后,点击安装按钮等待完成安装即可。
Ⅹ 听说最新版Wireshark有中文了,安装后怎么设置
我的更神奇,第一天使用得英文的。第二天打开,自动变成中文的了。
估计应该是自动更新的结果。自动下载与操作系统一致的语言包。