内容发布更新时间 : 2024/6/2 16:00:24星期一 下面是文章的全部内容请认真阅读。
通常在16进制转储形式中,左侧显示包数据偏移量,中间栏以16进制表示,右侧显示为对应的ASCII字符 根据包数据的不同,有时候包字节面板可能会有多个页面,例如:有时候Wireshark会将多个分片重组为一个,见第 7.5 节 “合并包”.这时会在面板底部出现一个附加按钮供你选择查看 图 3.16. 带选项的\包字节\面板
注意
附加页面的内容可能来自多个包。
右击选项按钮会显示一个上下文菜单显示所有可用的页的清单。如果您的面板尺寸过小,这项功能或许有所帮助
3.18. 状态栏
状态栏用于显示信息
通常状态栏的左侧会显示相关上下文信息,右侧会显示当前包数目 图 3.17. 初始状态栏
该状态栏显示的是没有文件载入时的状态,如:刚启动Wireshark时 图 3.18. 载入文件后的状态栏
左侧显示当前捕捉文件信息,包括名称,大小,捕捉持续时间等。 右侧显示当前包在文件中的数量,会显示如下值 P:捕捉包的数目 ? D:被显示的包的数目 ? M: 被标记的包的数目.
?
图 3.19. 已选择协议字段的状态栏
如果你已经在\包详情\面板选择了一个协议字段,将会显示上图
提示
括号内的值(如上图的app.opcode)可以作为显示过滤使用。它表示选择的协议字段。
第 4 章 实时捕捉数据包
4.1. 介绍
实时捕捉数据包时Wireshar的特色之一 Wiershark捕捉引擎具备以下特点
? ? ? ? ?
支持多种网络接口的捕捉(以太网,令牌环网,ATM...)
支持多种机制触发停止捕捉,例如:捕捉文件的大小,捕捉持续时间,捕捉到包的数量... 捕捉时同时显示包解码详情
设置过滤,减少捕捉到包的容量。见第 4.8 节 “捕捉时过滤”
长时间捕捉时,可以设置生成多个文件。对于特别长时间的捕捉,可以设置捕捉文件大小罚值,设置仅保留最后的N个文件等手段。见第 4.6 节 “捕捉文件格式、模式设置”
Wireshark捕捉引擎在以下几个方面尚有不足
从多个网络接口同时实时捕捉,(但是您可以开始多个应用程序实体,捕捉后进行文件合并) ? 根据捕捉到的数据停止捕捉(或其他操作)
?
4.2. 准备工作
第一次设置Wireshark捕捉包可能会遇到一些小麻烦
提示
关于如何进行捕捉设置的较为全面的向导可以在:http://wiki.wireshark.org/CaptureSetup.
这里有一些常见需要注意的地方
你必须拥有root/Administrator特权以开始捕捉 ? 必须选择正确的网络接口捕捉数据
? 如果您想捕捉某处的通信,你必须作出决定:在什么地方可以捕捉到 ? ??以及许多
?
[12]
如果你碰到设置问题,建议看看前面的那个向导,或许会有所帮助
4.3. 开始捕捉
可以使用下任一方式开始捕捉包
使用
打开捕捉接口对话框,浏览可用的本地网络接口,见图 4.1 “\Interfaces\捕捉接口对话框”,
?
选择您需要进行捕捉的接口启动捕捉 你也可以使用\
捕捉选项\按钮启动对话框开始捕捉,见图 4.2 “\捕捉选项\对话框”
开始捕捉\按钮或者是菜单项立即开始本次捕捉。
? ? ?
如果您前次捕捉时的设置和现在的要求一样,您可以点击\
如果你已经知道捕捉接口的名称,可以使用如下命令从命令行开始捕捉: wireshark -i eth0 -k
上述命令会从eht0接口开始捕捉,有关命令行的介绍参见第 9.2 节 “从命令行启动Wireshark”
4.4. 捕捉接口对话框
如果您从捕捉菜单选择\,将会弹出如图 4.1 “\Interfaces\捕捉接口对话框”所示的对话框
警告
打开\捕捉对话框时 同时正在显示捕捉的数据,这将会大量消耗您的系统资源。尽快
选择您需要的接口以结束该对话框。避免影响系统性能
注意
这个对话框只显示本地已知的网络接口,Wireshark可能无法检测到所有的本地接口,Wireshark不能检测远 程可用的网络接口,Wireshark只能使用列出可用的网络接口 图 4.1. \捕捉接口对话框
描述
从操作系统获取的接口信息 IP
Wireshark能解析的第一个IP地址,如果接口未获得IP地址(如,不存在可用的DHCP服务器),将会显示\如果有超过一个IP的,只显示第一个(无法确定哪一个会显示). Packets
打开该窗口后,从此接口捕捉到的包的数目。如果一直没有接收到包,则会显示为灰度 Packets/s
最近一秒捕捉到包的数目。如果最近一秒没有捕捉到包,将会是灰度显示 Stop
停止当前运行的捕捉 Capture
从选择的接口立即开始捕捉,使用最后一次捕捉的设置。 Options
打开该接口的捕捉选项对话框,见 第 4.5 节 “捕捉选项对话框” Details(仅Win32系统)
打开对话框显示接口的详细信息 Close
关闭对话框
4.5. 捕捉选项对话框
如果您从捕捉菜单选择\按钮(或者从主工具栏选择对应的项目),Wireshark弹出\Option/捕捉选项\对话框。如图 4.2 “\捕捉选项\对话框”所示 图 4.2. \捕捉选项\对话框
提示
如果你不了解各项设置的意义,建议保持默认。
你可以用对话框中的如下字段进行设置
4.5.1. 捕捉桢
Interface
该字段指定你想用于进行捕捉的借口。一次只能使用一个接口。这是一个下拉列表,简单点击右侧的按钮,选择你想要使用的接口。默认第一是支持捕捉的non-loopback(非环回)接口,如果没有这样的接口,第一个将是环回接口。在某些系统中,回借口不支持捕捉包(windows平台下的环回接口就不支持。) 在命令行使用-i
IP address
表示选择接口的IP地址。如果系统未指定IP地址,将会显示为\Link-layer header type
除非你有些特殊应用,尽量保持此选项默认。想了解更多详情,见 第 4.7 节 “链路层包头类型” Buffer size: n megabyte(s)
输入用于捕捉的缓层大小。该选项是设置写入数据到磁盘前保留在核心缓存中捕捉数据的大小,如果你发现丢包。尝试增大该值。
注意
该选项仅适用于Windows平台
Capture packets in promiscuous mode
指定Wireshark捕捉包时,设置接口为杂收模式(有些人翻译为混杂模式)。如果你未指定该选项,Wireshark 将只能捕捉进出你电脑的数据包(不能捕捉整个局域网段的包)[13]
注意
如果其他应用程序将网卡设置为杂收模式,即使不选中该选项,也会工作于杂收模式下。 注意
即使在杂收模式下,你也未必能够接收到整个网段所有的网络包。详细解释见 http://www.wireshark.org/faq.html#promiscsniff
Limit each packet to n bytes
指定捕捉过程中,每个包的最大字节数。在某些地方被称为。\[14]如果禁止该选项,默认值为65535,这适用于大多数协议,下面是一些大多数情况下都适用的规则(这里又出现了拇指规则,第一章,系统需求时提到过。这里权且翻译作普适而非绝对的规则))
? 如果你不确定,尽量保持默认值
? 如果你不需要包中的所有数据。例如:如果您仅需要链路层、IP
和TCP包头,您可能想要选择一个较小的
快照长度。这样只需要较少的cpu占用时间用于复制包,包需要的缓存也较少。如此在繁忙网络中捕捉时丢失的包也可能会相应少一点。
? 如果你没有捕捉包中的所有数据(适用snpaplen截断了包),你可能会发现有时候你想要的包中的数据部分被截断丢弃了。或者因为缺少重要的部分,想对某些包进行重组而发现失败。
Capture Filter
指定捕捉过滤。捕捉过滤器将会在有第 4.8 节 “捕捉时过滤”详细介绍,默认情况下是空的。
同样你也可以点击捕捉按钮,通过弹出的捕捉过滤对话框创建或选择一个过滤器,详见第 6.6 节 “定义,保存过滤器”
4.5.2. 捉数据帧为文件。
捕捉文件设置的使用方法的详细介绍见第 4.6 节 “捕捉文件格式、模式设置” File
指定将用于捕捉的文件名。该字段默认是空白。如果保持空白,捕捉数据将会存储在临时文件夹。详见第 4.6 节 “捕捉文件格式、模式设置”
你可以点击右侧的按钮打开浏览窗口设置文件存储位置 Use multiple files
如果指定条件达到临界值,Wireshark将会自动生成一个新文件,而不是适用单独文件。 Next file every n megabyte(s)
仅适用选中Use multiple files,如果捕捉文件容量达到指定值,将会生成切换到新文件 Next file every n minutes(s)
仅适用选中Use multiple files,如果捕捉文件持续时间达到指定值,将会切换到新文件。 Ring buffer with n files
仅适用选中Use multiple files,仅生成制定数目的文件。 Stop caputure after n file(s)
仅适用选中Use multiple files,当生成指定数目文件时,在生成下一个文件时停止捕捉(生成n个还是n+1个文件?)
4.5.3. 停止捕捉桢
... after n packet(s)
在捕捉到指定数目数据包后停止捕捉 ... after n megabytes(s)
在捕捉到指定容量的数据(byte(s)/kilobyte(s)/megabyte(s)/gigabyte(s) )后停止捕捉。如果没有适用\multiple files\该选项将是灰色 ... after n minute(s)
在达到指定时间后停止捕捉
4.5.4. 显示桢选项
Update list of packets in real time