使用Wireshark进行网络分析

Wireshark 是目前世界上最受欢迎的协议分析软件，利用它可将捕获到的各种各样协议的网络二进制数据流翻译为人们容易读懂和理解的文字和图表等形式，极大地方便了对网络活动的监测分析和教学实验。Wireshark 有十分丰富和强大的统计分析功能，可在Windows、Linux 和UNIX 等操作系统上运行。此软件于1998年由美国Gerald Combs 首创研发，原名Ethereal，至今已有100 多位网络专家和软件人员共同参与此软件的升级完善和维护，每2 ～3个月就推出一个新的版本，且软件在升级后的主要功能和使用方法保持不变。它是一个开源代码的免费软件，任何人都可自由下载，也可参与共同开发。

Wireshark 网络协议分析软件可以十分方便直观地应用于计算机网络原理和网络安全的教学实验、网络的日常安全监测、网络性能参数测试、网络恶意代码的捕获分析、网络用户的行为监测、黑客活动的追踪等。因此，在世界范围的网络管理专家、信息安全专家、软件和硬件开发人员中，以及在美国的一些知名大学的网络原理和信息安全技术的教学、科研和实验工作中，它得到了广泛的应用。

对Wireshark 的学习和讨论可以访问网站http:/ /www.wireshark.org 和http:/ /wiki.wireshark.org)，那里提供广泛的与Wireshark 及捕捉包有关的信息。

接下来，介绍Wireshark 在Windows 操作系统中的使用方法。

1.安装

从网站http:/ /www.wireshark.org/download.html 下载最新版本的Wireshark，进行安装。

在Wireshark 软件安装包中，目前包含的网络数据采集软件是WinPcap 4.1，保存捕获数据时，可以用中文的文件名，文件扩展名默认为.pcap。WinPcap (Windows Packet capture)是Windows 平台下一个免费、公共的网络访问系统。

2.Wireshark 主界面

启动Wireshark 以后，登录主界面，如图2-2-3 所示。

图2-2-3　Wireshark 主界面

3.捕获实时数据包

在第一次捕获实时数据包时，需要执行“抓包”菜单中的“网络接口”和“抓包参数选择”命令，完成相关设置。“抓包”菜单有图2-2-4 所示的多个命令。

(1)执行“抓包”→“网络接口”命令，出现“Wireshark:抓包接口”对话框，如图2-2-5所示。如果有多个网卡，则可以在此窗口选择某一网卡为当前网卡。

(2)执行“抓包”→“抓包参数选择”命令，出现“Wireshark:抓包选项”对话框，如图2-2-6 所示。

图2-2-4　Wireshark “抓包”菜单的命令

图2-2-5　“Wireshark:抓包接口”对话框

图2-2-6　“Wireshark:抓包选项”对话框

①接口: 指定在哪个接口(网卡)上抓包。一般情况下都是单网卡，所以采用缺省设置即可。

②限制每一包: 限制每个数据包的大小，缺省情况不限制。

③在混乱模式下抓包: 是否打开混杂模式。如果打开，则抓取所有数据包。一般情况下，只需要监听本机收到(或发出)的数据包，因此应该关闭这个选项。

④抓包过滤: 过滤器。只抓取满足过滤规则的数据包。

⑤文件: 如果需要将抓到的数据包写入文件，则在此输入文件名称。

⑥选中“显示选项”选项组中的“实时更新包列表”和“抓包时自动滚动”复选框，可以实现实时观察捕获的数据包系列。

⑦选中“显示选项”选项组中的“隐藏抓包信息对话框”复选框，可以隐藏如图2-2-7所示的抓包信息对话框。

图2-2-7　不断更新统计数据的抓包信息对话框

(3)开始捕获数据包。

单击图2-2-6 所示对话框中的“开始”按钮，或者执行主界面的“抓包”→“开始”命令，或者单击主界面的“开始”按钮，即可实现数据包的实时捕获。

(4)切换到IE 浏览器，打开www.163.com 网页。然后切换回Wireshark 界面，即可观察到抓包信息对话框内的统计数据在不断更新，如图2-2-7 所示。

同时，Wireshark 主界面中出现实时捕获到的数据包记录条在不断滚动更新，如图2-2-8所示。(www.xing528.com)

(5)停止抓包。

单击图2-2-7 所示对话框中的“停止”按钮，或者执行主界面的“抓包”→“停止”命令，或者单击主界面的“停止”命令按钮，即可停止数据包的捕获工作。

(6)保存数据。

执行主界面的“文件”→“保存”命令，或者单击主界面的“保存”按钮，即可将抓到的数据包以文件形式存于本地磁盘。

4.Wireshark 的抓包过滤器

抓包过滤器用来筛选抓取感兴趣的数据包，在开始抓包前设置。抓包过滤器使用的是libcap 过滤器语言，在tcpdump 的手册中有详细的解释。基本结构:

[not] primitive [and｜or [not] primitive…]

抓包过滤规则举例:

图2-2-8　实时更新抓包记录的主界面

逻辑运算符可用于连接不同的过滤条件。逻辑运算符: and (＆＆)、or (‖)、not (!)。

设置方法: 执行主界面的“抓包”→“选择抓包过滤器”命令，弹出“抓包过滤器”对话框，可以选择过滤规则，也可以新建过滤规则后应用，如图2-2-9 所示。

图2-2-9　“抓包过滤器”对话框

5.Wireshark 的显示过滤器

在抓包完成以后，显示过滤器可以用来显示用户感兴趣的数据包，可以根据协议、是否存在某个域、域值、域值之间的比较来显示用户感兴趣的数据包。显示过滤器的语法规则与抓包过滤器不同，下面给出几个例子。

显示过滤规则举例:

如图2-2-10 所示，设置“显示过滤”。

图2-2-10　设置“显示过滤”

逻辑运算符可用于连接不同的过滤条件。逻辑运算符: and (＆＆)、or (‖)、not (!)。

6.分析截获的数据包

使用Wireshark 可以很方便地对截获的数据包进行分析，包括该数据包的源地址、目的地址、所属协议等。

Wireshark 主界面的窗口分成3 个部分: 上方为数据包列表；中间为协议树，用来显示选定的数据包所属的协议信息；下方是以十六进制数表示的数据包内容。

下面是Wireshark 对一个HTTP 数据进行分析时的情形。

图2-2-11 所示为Wireshark 窗口的上半部分，即数据包列表子窗口。在上方的数据包列表中，显示了被捕获的数据的基本信息。从图2-2-11 中可以看出，当前选中数据包的源地址是211.68.44.208，目的地址是115.25.210.11，该数据包所属的协议是超文本传送协议(HTTP)。更详细的信息表明，该数据包中有一个HTTP 的GET 命令，要求下载images文件到客户端的Web 浏览器。

图2-2-11　Wireshark 的数据包列表子窗口

Wireshark 的协议树及数据内容子窗口如图2-2-12 所示。在协议树中可以看到选定数据包的更多信息，如HTTP 协议的具体内容。其下方是以十六进制数表示的数据包内容，用于显示数据包在物理层上传输时的最终形式。

图2-2-12　Wireshark 的协议树及数据内容子窗口