Wireshark網路分析例項集錦

試讀文件下載

前  言

由於網路廣泛廣泛，與網路相關的安全問題也就變的非常重要。為了更好的分析整個網路的情況，人們開始使用各種專業的資料包分析工具。Wireshark是一款最知名的開源網路封包分析軟體。它可以抓取網路封包，並以最為詳細的方式，顯示封包的資料。

Wireshark應用非常廣泛。例如，網路管理員使用Wireshark來檢測網路問題；網路安全工程師使用Wireshark檢查資料傳輸的安全問題；開發者使用它為新的通訊協議排錯；普通人使用Wireshark來學習網路協議的相關知識。

由於Wireshark工具的廣泛使用及市場的需求，筆者編寫了這本書。本書按照網路分析專業流程，一步步地介紹了Wireshark各項功能的使用。本書還介紹了命令列下資料捕獲的方法，以滿足了喜歡在命令列下操作的使用者。希望各位讀者能在本書的帶領下熟練地掌握Wireshark，並且成為資料包的分析高手。

學習所需的系統和裝置

本書所講解的內容基於Windows 7和Red Hat Enterprise Linux 6.4。讀者在學習的時候，也可以採用其他作業系統。如果為了方便抓取各種資料，建議讀者安裝VM ware，以虛擬各種其他系統或者服務。

目  錄

第1章  Wireshark的基礎知識… 1

1.1  Wireshark的功能… 1

1.1.1  Wireshark主視窗介面… 1

1.1.2  Wireshark的作用… 2

1.2  安裝Wireshark. 3

1.2.1  獲取Wireshark. 3

1.2.2  安裝Wireshark. 5

1.3  Wireshark捕獲資料… 11

1.5  認識資料包… 12

1.6  捕獲HTTP包… 14

1.7  訪問Wireshark資源… 18

1.8  Wireshark快速入門… 21

1.9  分析網路資料… 28

1.9.1  分析Web瀏覽資料… 28

1.9.2  分析後臺資料… 30

1.10  開啟其它工具捕獲的檔案… 31

第2章  設定Wireshark檢視… 33

2.1  設定Packet List面板列… 33

2.1.1  新增列… 33

2.1.2  隱藏、刪除、重新排序及編輯列… 35

2.2  Wireshark分析器及Profile設定… 41

2.2.1  Wireshark分析器… 41

2.2.2  分析非標準埠號流量… 43

2.2.3  設定Wireshark顯示的特定資料型別… 45

2.2.4  使用Profile定製Wireshark. 50

2.2.5  查詢關鍵的Wireshark Profile. 52

2.3  資料包時間延遲… 54

2.3.1  時間延遲… 54

2.3.2  檢查延遲問題… 55

2.3.3  檢查時間差延遲問題… 57

第3章  捕獲過濾器技巧… 61

3.1  捕獲過濾器簡介… 61

3.2  選擇捕獲位置… 62

3.3  選擇捕獲介面… 62

3.4.1  判斷那個介面卡上的資料… 63

3.4.2  使用多介面卡捕獲… 63

3.4  捕獲乙太網資料… 64

3.5  捕獲無線資料… 65

3.5.1  捕獲無線網路資料方式… 65

3.5.2  使用AirPcap介面卡… 66

3.6  處理大資料… 66

3.6.1  捕獲過濾器… 66

3.6.2  捕獲檔案集… 68

3.7  處理隨機發生的問題… 70

3.8  捕獲基於MAC/IP地址資料… 72

3.8.1  捕獲單個IP地址資料… 72

3.8.2  捕獲IP地址範圍… 74

3.8.3  捕獲廣播或多播地址資料… 76

3.8.4  捕獲MAC地址資料… 77

3.9  捕獲埠應用程式資料… 80

3.9.1  捕獲所有埠號的資料… 80

3.9.2  結合基於埠的捕獲過濾器… 81

3.10  捕獲特定ICMP資料… 82

第4章  顯示技巧… 86

4.1  顯示過濾器簡介… 86

4.2  使用顯示過濾器… 87

4.2.1  顯示過濾器語法… 87

4.2.2  檢查語法錯誤… 89

4.2.3  識別字段名… 91

4.2.4  比較運算子… 92

4.2.5  表示式過濾器… 93

4.2.6  使用自動補全功能… 94

4.2.7  手動新增顯示列… 96

4.3  編輯和使用預設顯示過濾器… 98

4.4  過濾顯示HTTP. 100

4.5  過濾顯示DHCP. 102

4.6  根據地址過濾顯示… 103

4.6.1  顯示單個IP地址或主機資料… 103

4.6.2  顯示一個地址範圍的資料… 106

4.6.3  顯示一個子網IP的資料… 107

4.7  過濾顯示單一的TCP/UDP會話… 108

4.8  使用複雜表示式過濾… 112

4.8.1  使用邏輯運算子… 112

4.8.2  使用括號… 114

4.8.3  使用關鍵字… 116

4.8.4  使用萬用字元… 118

4.9  發現通訊延遲… 119

4.9.1  時間過濾器（frame.time_delta）… 119

4.9.2  基於TCP的時間過濾（tcp.time_delta）… 120

4.10  設定顯示過濾器按鈕… 123

4.10.1  建立顯示過濾器表示式按鈕… 123

4.10.2  編輯、新增、刪除顯示過濾器按鈕… 124

4.10.3  編輯preferences檔案… 125

第5章  著色規則和資料包匯出… 128

5.1  認識著色規則… 128

5.2  禁用著色規則… 129

5.2.1  禁用指定型別資料包彩色高亮… 129

5.2.2  禁用所有包彩色高亮… 131

5.3  建立使用者著色規則… 132

5.3.1  建立時間差著色規則… 132

5.3.2  快速檢視FTP使用者名稱密碼著色規則… 133

5.3.3  建立單個會話著色規則… 136

5.4  匯出資料包… 138

5.4.1  匯出顯示包… 138

5.4.2  匯出標記包… 140

5.4.3  匯出包的詳細資訊… 141

第6章  構建圖表… 147

6.1  資料統計表… 147

6.1.1  端點統計… 147

6.1.2  網路會話統計… 149

6.1.3  快速過濾會話… 150

6.1.4  地圖化顯示端點統計資訊… 152

6.2  協議分層統計… 155

6.3  圖表化顯示頻寬使用情況… 156

6.3.1  認識IO Graph. 156

6.3.2  應用顯示過濾器… 157

6.4  專家資訊… 161

6.5  構建各種網路錯誤圖表… 162

6.5.1  構建所有TCP標誌位包… 163

6.5.2  構建單個TCP標誌位包… 164

第7章  重組資料… 166

7.1  重組Web會話… 166

7.1.1  重組Web瀏覽會話… 166

7.1.2  匯出HTTP物件… 171

7.2  重組FTP會話… 174

7.2.1  重組FTP資料… 174

7.2.2  提取FTP傳輸的檔案… 176

第8章  添加註釋… 180

8.1  捕獲檔案註釋… 180

8.2  包註釋… 180

8.2.1  新增包註釋… 181

8.2.2  檢視包註釋… 181

8.3  匯出包註釋… 183

8.3.1  使用Export Packet Dissections功能匯出… 183

8.3.2  使用複製功能匯出包… 185

第9章  捕獲、分割、合併資料… 189

9.1  將大檔案分割為檔案集… 189

9.1.1  新增Wireshark程式目錄到自己的位置… 189

9.1.2  使用Capinfos獲取檔案大小和包數… 189

9.1.3  分割檔案… 190

9.2  合併多個捕獲檔案… 195

9.3  命令列捕獲資料… 196

9.3.1  Dumpcap和Tshark工具… 196

9.3.2  使用捕獲過濾器… 199

9.3.3  使用顯示過濾器… 199

9.4  匯出欄位值和統計資訊… 200

9.4.1  匯出欄位值… 200

9.4.2  匯出資料統計    202