《网络协议分析》实验指导书
当 Wireshark 解析一个包时, 由协议解析器将信息放置到行列中去,比较高级协议会改写较低级协议的信息,你只能看到最高级协议的信息。例如,IP内部包含有TCP的Ethernet包,Ethernet 解析器将写出它的数据 (如 Ethernet地址),而 IP解析器将用自己的数据改写它 (如 IP 地址),等等。
在包列表窗格中的每一列代表抓获的一个包,每个包的摘要信息包括: * No :抓包文件中包的编号。,即使已经用了一个显示过滤器也不会改变。 * Time:包的时间戳,即抓获该包的时间,该时间戳的实际格式可以改变。 * Source:包的源地址。
* Destination:包的目标地址。 * Protocol:包协议的缩写。
* Info:包内容的附加信息,这是一种可用的上下文菜单 (鼠标右键)。
5.包协议窗格 (包细节窗格)
包协议窗格以更详细的格式显示从包列表窗格选中的协议和协议字段。包的协议和字段用树型格式显示,可以扩展和收缩。这是一种可用的上下文菜单,单击每行前的 “+”就 可以展开为以 “-”开头的若干行,单击 “-”又可以收缩。
在每个协议行中,会显示一些指定的协议字段:
(1)生成的字段:Wireshark 自己会生成附加的协议字段 (括号括起来者)。这些字段的信息是从抓包文件中已知的与其它字段的上下文推导出来的。例如,Wireshark 分析每个TCP流的顺序号/确认号时,就会在TCP 协议的[SEQ/ACK 分析]中显示出来。
(2)链接: 如果Wireshark 检测到抓包文件中存在着与其它包的关系,就会产生一个到其它包的链接。链接用蓝色显示,双击它,Wireshark 就跳到相应的包。 6.包字节窗格 (十六进制数据窗格)
包字节窗格以十六进制形式显示出从包列表窗格中选定的当前包的数据,并以高亮度显示在包协议窗格中选择的字段。在常用的十六进制区内,左边示出包数据的编号,中部为相应的十六进制显示出包数据,右边为对应的ASCII 字符。 7.状态栏
显示当前程序状态和抓获的数据的信息。通常左边显示相关信息的状态,右边显示包的当前数目。
2.2 Wireshark 菜单栏简介
1.文件菜单
文件菜单包括打开和合并抓包文件,保存、另存为、导出抓包文件,退出Wireshark等命令。 2.编辑菜单
编辑菜单包括查询包,时间查询,标记或标识一个或多个包,设置你的选项 (剪切,拷贝,粘贴当前不能实现) 3.视图菜单
视图菜单控制抓抓获的包数据的显示,包括对抓获包的着色,字型的缩放,协议窗格中协议树的压缩和展开。 4.定位菜单
以不同方式指向特定的包。 5.抓包菜单
开始和停止抓包过程、参数选择以及选择抓包过滤器。
第 6 页 共 49 页
《网络协议分析》实验指导书
6.分析菜单
包括的选项由操作显示过滤器,允许和不允许对协议解析,配置用户指定的译码器和跟踪一个TCP 流。
7.统计菜单
显示各种统计窗口的菜单项,包括已经抓到的包的摘要,显示协议的分层统计等等。 8.帮助菜单
包括帮助用户的选项,诸如一些基本帮助,所支持的协议列表,手工页面,在线访问一些web 页面,以及常用的对话框。
除此之外,还有电信和工具菜单,实验用不到,不再介绍.
2.3 Wireshark 的工具栏
Wireshark 工具栏提供主菜单中常用的选项的快速访问。工具栏不能由用户定制,但是如果屏幕空间需要显示更多的包数据,就可以用视图菜单将它隐蔽。
作为菜单,只有当前程序被选用时该选项才是可用的,其它选项变成灰色 (如果尚未装载数据就不能存入抓包文件)。图2 为各种工具图标的名称。
接口 选项 开始 停止 重开始 打开 存储为 关闭 重载 打印
查询包 向后 向前 指定包 到首包 到末包 包着色 卷屏 放大 取消放大 图2 各种工具图标的名称
* 接口:单击此图标,出现一个抓包选项表对话框; * 选项:引出一个抓包选项对话框; * 开始:根据选项在最近时间开始抓包; * 停止:停止当前运行的抓包过程;
* 重开始:为了方便起见,停止当前运行的抓包过程,重新开始; * 打开:出现打开文件对话框,让你打开一个抓包文件来观察;
* 存储为:让你将当前的抓包文件存储为你希望的文件。弹出“Save Capture File As” 对话框;
* 关闭:关闭当前的抓包文件,如果没有存储该包被会询问是否存储; * 重载:允许重装当前的抓包文件;
* 打印:引出打印对话框,允许全部或部分打印包文件中的包; * 查询包:引出查询一个包的对话框; * 向后:在包历史中向回跳; * 向前:在包历史中向前跳;
* 指定包:引出对话框,跳到指定编号的包; * 到首包: 跳到包文件中第一个包; * 到末包:跳到包文件中最后一个包;
* 着色:对包列表中抓获的色,用不同颜色显示;
第 7 页 共 49 页
《网络协议分析》实验指导书
* 放大:放大打开的包数据 (增大字型); * 取消放大:取消包数据放大。
2.4 Wireshark 的网络数据抓包过程
Wireshark 的抓包有如下特征:
* 可以从不同类别的网络硬件抓包,如Ethernet、 Token Ring、ATM 等;
* 停止抓包时不同的触发器相似:如抓获数据的总数、抓包时间,抓获包的数目; * 抓包过程中同时显示编译后 (解析)的包。
* 根据包过滤器的条件,从抓获的全部数据中进行过滤,减去符合条件的包。
使用 Wireshark 进行网络协议分析时应当注意:必须有管理员权限才能开始抓包过程;必须选择正确的网络接口来抓获包数据;必须在网络的正确的位置抓包才能看到想看到的业务流量。 1.通过抓包接口开始抓包.通过抓包接口开始抓包
可以通过工具栏的接口选项,或者“Capture”菜单的“Interfaces”选项选择抓包菜单后,Etherea 弹出抓包接口对话框,如图4 所示。但需注意,作为抓包接口对话框,只在数据抓包前显示,会消耗很多系统资源,要尽快关闭对话框以防止过多的系统装载。
图3 抓包接口对话框
图中第一行为千兆以太网网卡。工具栏框中的各个选项叙述于下:
*详细信息:显示网卡的描述信息,上图中为“Intel(R) 82579LM Gigrbit Network
Connnection”;
* IP地址:Wireshark 可能从这个接口分辨第一个IP 地址,如果分辨不出地址,就会显示
“unknown ”,如果解析出不止一个IP 地址,则只显示第一个(图中显示的是IPv6的地址,其IPv4地址为192.168.7.87,但未显示);
* Packets:从对话框打开后从该接口侦测到的包数。如果最近一秒没有侦测到包,则
Packets 变为灰色;
* Packets/s:在最近一秒侦测到的包数,如果没有侦测到包,则在最近一秒变为灰色; * 停止:停止当前抓包运行;
* 开始:利用最后抓包设置立即在该接口开始抓包; * 选项:打开该接口的抓包选项对话框; * 详情:显示接口更多细节 * 关闭:关闭对话框。
如果选择Capture,则立即开始抓包。
抓到足够的包后,单击Stop停止抓包。即可显示如图1的抓包完成后的Wireshark 主窗口。
2.通过抓包 菜单选项抓包
Wireshark 的抓包 (capture)选项,如图4 所示。
第 8 页 共 49 页
《网络协议分析》实验指导书
图4 Capture 选项
(1)单击选择抓包过滤器(F)...,弹出过滤器窗口,如图5 所示。
图5 Capture 过滤器选项
(2)在显示过滤器栏中选择某项过滤器名称,如“No Broadcast and no Multicast ” 或“TCP only”,则在过滤名字和过滤条件文本框中显示你的选项。
也可以在过滤名字框中键入过滤器名字,在过滤条件框中键入过滤器字符串,单击新建,一个过滤器就建立好了。
单击抓包菜单,选择抓包参数选择,弹出图6所示过滤器选项窗口,指明网络适配器,抓包模式,包字节限制,过滤条件等有关抓包的系统配置的启用和设置。
第 9 页 共 49 页
《网络协议分析》实验指导书
图6 过滤器选项窗口
(3)Wireshark的抓包过滤器
抓包过滤器用来只抓取你感兴趣的包。如果你想抓取某些特定的数据包时,有两种方法可供选择。
第一种方式是先定义好抓包过滤器,结果是只抓到你设定好的那些类型的数据包;
第二种方式是,先把本机收到或者发出的包全部抓下来,再使用显示过滤器,只显示你想要的那些类型的数据包,这种方式比较常用,建议实验时大家采用。
(4 )最后单击开始,即可开始抓包,并弹出本机收到的数据报文统计信息。
此后的操作与通过接口抓包相同,单击停止命令即可停止抓包,并显示对截获到的报文进行分析后的界面。
2.5 由Wireshark协议窗口分析协议的格式
Wireshark 抓包后的界面有三个部分,上部为报文列表窗口,显示的是对抓到的每个数据报文进行分析后的总结型信息,包括编号、时间、源地址、目标地址、协议、信息。中部为协议树窗口,
第 10 页 共 49 页
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库《网络协议分析》实验指导书 - 图文(2)在线全文阅读。
相关推荐: