当前位置:首页 >> 信息与通信 >>

Wireshark高级技巧


Wireshark 高级技巧
内容提要:
? ? ? ? 显示过滤器的用法 捕捉过滤器的功能及用法 Wireshark 远程抓包 包的拼接和任意拆解

显示过滤器

显示过滤器是我们用得最多的, 大家对他的用法应该也比较了解, 这里重新介绍一下显 示过滤器的语法,并且附上一些我们平常会用得比较多的典型表达式。 ? 语法

[协议].[字符串 1].[字符串 2] [比较运算符] [值] [逻辑操作符] [其它表达式] 例: sip auth domain == ims.sh.chinamobile.com or rtp

这里, “协议”字段可为 wireshark 所有支持的协议,支持的协议可以从 wireshark 的 “Internals”中找到, “字符串 1” “字符串 2”是对协议的类型限制, “比较运算符”用来严 格指定协议的“值” ,逻辑操作符用来连接多个表达式。 比较运算符有下面 6 种: 英文写法 eq ne gt lt C 语言写法 == !> < 含义 等于 不等于 大于 小于

ge le 逻辑运算符有下面 4 种: 英文写法 and or xor not ? 常用实例 过滤器 eth.vlan.id == 1024 eth.addr == 00:11:11:11:11:11 eth.src == 00:11:11:11:11:11 eth.dst == 00:11:11:11:11:11

>= <= C 语言写法 && || ^^ !

大于等于 小于等于 含义 逻辑与 逻辑或 异或 逻辑非

意义 显示 VLAN ID 为 1024 的所有流量 显示 MAC 地址为 00:11:11:11:11:11 的所有流 量 显示源 MAC 地址为 00:11:11:11:11:11 的所有 流量 显示目的 MAC 地址为 00:11:11:11:11:11 的所 有流量 显示源 MAC 地址为 00:11:11:11:11:11 和目的 MAC 地址为 00:11:11:11:11:12 的所有流量 显示 MAC 地址为 00:11:11:11:11:11 的所有流 量 显示所有 ARP 流量 显 示 所 有 ARP 源 硬 件 地 址 为 00:11:11:11:11:11 的流量 显示所有 ICMP 报文 显示所有 MAC 地址为 00:11:11:11:11:11 的 ICMP 报文 显示所有 ICMP 请求 显示所有 ICMP 应答 显示所有 IP 报文 显示所有源 IP 地址为 192.168.0.1 的流量 显示所有目的 IP 地址为 192.168.0.1 的流量 显示所有源 IP 地址为 192.168.0.1 而目的 IP 地址不为 192.168.0.2 的流量 显示所有到达网络 192.168.0.0/24 的 IP 流量 显示 icmp 和 dns 和 snmp 包 显示端口号为 23 的流量,即显示所有 telnet 的流量

eth.src == 00:11:11:11:11:11 && eth.dst == 00:11:11:11:11:12 eth.addr == 00:11:11:11:11:11 arp arp.src.hw == 00:11:11:11:11:11 icmp icmp && eth.src == 00:11:11:11:11:11 icmp.type == 8 icmp.type == 0 ip ip.addr==192.168.0.1 ip.src==192.168.0.1 或 ip.src_host==192.168.0.1 ip.dst==192.168.0.1 或 ip.dst_host==192.168.0.1 ip.src==192.168.0.1 and ip.dst!=192.168.0.2

ip.dst==192.168.0.0/24 icmp || dns || snmp tcp.port == 23

tcp.dstport == 23 tcp.port ==20 || tcp.port == 21 tcp.port == 53 dns sip sip or rtp udp.port == 5060 bootp tcp.port == 20 or tcp.port == 21 sip.Request-Line sip.Status-Line sip.P-Preferred-Identity

显示目标端口号为 23 的流量,即显示到 telnet 服务器的流量 显示所有 FTP 流量 显示所有 DNS 包,当 DNS 查询方式为 TCP 时 显示所有 DNS 包,当 DNS 查询方式为 UDP 时 显示所有 SIP 包 显示所有 sip 包和 rtp 包 显示所有端口号为 5060 的包 显示所有 dhcp 或者 bootp 包 显示所有 FTP 包 显示所有 SIP 请求包 显示所有 SIP 状态包 显示所有含有 PPI 域的 SIP 包

暂时列这么多了,其他表达式待以后想起来再添加,若想要查询更多的表达式,可以点 “Expression”获取:

捕捉过滤器
大家在使用 Wireshark 时一般都没有使用捕捉过滤器,这样做的后果是抓到了大量自己 并不需要的数据包, 这些不相干的数据包严重影响到了我们对问题的分析与定位。 而且如果 长时间抓包时,若使用常规抓包模式,抓到的大量数据包会影响电脑的性能,以及抓到的包 占用很大的磁盘空间不利于存储与传送。特别是在测试或者比较大型的网络环境时,所有 设 备处 在同一 个广播 域, 如果 使用常 规的抓 包方 式将 会有大 量不是 自己 需要 的包 被 wireshark 捕获,比如同时捕获了多台设备的 SIP 包但是自己只需要其中一台设备的 SIP 包, 这样势必给自己的分析带来不利,而如果使用捕捉过滤器抓包,那抓到的包将完全是自己 想要的包,而其他不想要的包都将会被 wireshark 排除在外,所以大家应该熟悉如何使用捕 捉过滤器。 ? 使用捕捉过滤器 打开 wireshark 后, 点击工具栏的第二个按钮, 或者选择 capture->options 即可设置捕捉 过滤器,选定用于抓包的网卡,填写好捕捉规则点击 start 即可按过滤器抓取网络包。

? 捕捉过滤器语法 捕捉过滤器语法与显示过滤器的语法不一样,具体如下: [协议] [字符串] [值] [逻辑操作符] [方向] [host] [主机] [其它表达式] udp port 5060 and src host 10.0.0.1



? 使用实例 下面列举一些用得比较多的实例, 相信通过使用捕捉过滤器, 抓的包将变得更小更有利 于网络分析,给工作带来极大的便利。 过滤器 ether src host 00:08:15:00:08:15 src host 192.168.0.1 host 192.168.0.1 not host 192.168.0.1 ip tcp 意义 仅抓取源 MAC 地址为 00:08:15:00:08:15 的网 络包 仅抓取源 IP 地址为 192.168.0.1 的网络包 仅抓取源或目的 IP 地址为 192.168.0.1 的网络 包 仅不抓取 IP 地址为 192.168.0.1 的网格包 仅抓取 ip 协议的网络包 仅抓取 tcp 协议的网络包

udp port 53 port 5060 tcp dst port 53 portrange 80-1024 host 192.168.0.1 and not (port 161 or port 162 or port 80 or port 23 or arp or icmp)

仅抓取 udp 协议的网络包 仅抓取端口号为 53 的 UDP 或者 TCP 网络包 仅抓取端口号为 5060 的 UDP 或者 TCP 网络 包 仅抓取目标端口为 53 的所有网络包 仅抓取端口范围为 80 到 1024 的所有网络包 仅抓取 IP 地址为 192.168.0.1 而且不含 SNMP 和 HTTP 和 Telnet 和 ARP 和 ICMP 的网络包

远程抓包
Wireshark 支持 remote packet capture protocol 协议远程抓包,只要在远程主机上安装 Winpcap 的 rpcapd 服务例程就可以,在 Windows 系统上,只要安装了 Winpcap 都会安装 rpcapd 工具,找到 Winpcap 的安装目录即可找到 rpcapd 服务器程序,双击 rpcapd.exe 即可 开启 rpcapd 服务,其默认端口号为 2002。

对于 Linux,下载 wpcap 代码按如下方式编译即可: #unzip WpcapSrc_4_1_2.zip #cd winpcap/wpcap/libpcap #chmod +x configure runlex.sh #CFLAGS=-static ./configure #make #cd rpcapd #make 启动 rpcapd 服务含如下两种模式: 普通服务模式:./rpcapd -n 守护进程模式:./rpcapd -n -d ? 连接远端 wireshark 打开 wireshark,点击工具栏的第二个按钮,或者选择 capture->options,然后 Interface 选择 Remote,填写好远端 Wireshark 的 IP 地址和端口号,验证方式选取 Password 验证,然 后填写管理员的用户名和密码点 OK 即可连接上远端机器,连上之后再选取用于抓包的网络 接口卡,设置捕捉过滤器等等即可开始抓取远端的网络包了。

包的拼接与任意拆解
利用 wireshark 即可以非常容易地使用包的拼接与拆解功能,该功能可以应用到以下情 况 ? ? ? 在有时候即使使用捕捉过滤器也抓到了很多自己不需要的包, 自己想提取里面一部 分或几部分的包 在有时候自己在不同时间或者不同地点的抓取的几个包想拼凑成一个包。 其他特殊情况。

?

功能使用步骤

一、 包的拼接 1) 用 wireshark 打一个需要拼接的包 2) 点击 Wireshark 的 File->Merge,然后选中一个将要被拼接的包,在该对话框下面设置接 接方式和显示过滤器等。如图:

说明: Prepend packets to existing find:将包拼接在当前包的前面 Merge packets chronologically:将包按时间顺序插入到当前包中 Append packets to existing file:将包拼接在当前包的后面 二、 包的拆解 1) 用 wireshark 打开一个需要拆解的包文件 2) 打开菜单 File->Save as,可以看到对话框下面有一些保存选项,即 Packet Range,这里 可以定义按什么样的方将包拆解成自己想要的包。选好后填好文件名保存即可完成拆 解。

说明: ? All packets:所有包 ? Selected packet:选中的包 ? Marked packets:做了标记的包 ? First to last marked:从第一个标记的包到最后一个标记的包 ? Range:选择范围,支持多个范围,不同范围中间用逗号连接 ? Captured:已捕获的包,未加显示过滤器的限制时的包个数 ? Displayed:已显示的包,加了显示过滤器的限制时的包个数 ? 使用实例

1)

仅拆解出过滤出来的包 假如我们有一些包仅想将里面满足过滤器条件的包拆解出来, 那么我们先在显示过滤器 里面设置好过滤器,然后“Save as”的时候选择 All packets 的 Displayed 选项就可以只 保存我们在过滤器里面显示的包了。这里以只拆解出 sip 协议包为例,如图:

从图中可以看出,经过这样设置后我们只保存了满足条件的 130 个包了。 2) 仅拆解出选中的包 首先我们要在抓到的包里面选中我们想要拆解出来的包, 选中一个包只需用鼠标左键单 击该包即可,就是这么简单。

然后“Save as”的时候选择 Selected packet 的选项就可以只保存我们选中的包了。

3)

仅拆解出做了标记的包 给一个包做标记非常简单,只需右键单击一个包,然后选择 Mark Packet 即可,可以通 过多次标记来标记多个包

标记好然后“Save as”的时候选择 Marked packet 的选项就可以只保存我们做了标记的 包了。

4)

仅拆解出从第一个标记的包到最后一个标记的包 设置好第一个标记的包和最后一个标记的包, 然后在保存的时候选择 First to last marked 即可拆解出该范围里的包了。

5)

仅拆解出一个范围或者多个范围里的包 “Save as”的时候选择 Range,并输入一个范围即可。比如我们要拆解出一个 SIP 通话 过程的所有包,我们可以先使用 Voip Calls 菜单查看所有通话;

然后选中一个通话并点击流程,

单击 Invite 即可找到此次通话的第一个包,并记下此包的序号

然后单击 200Ok 即可以找到此次通话的最后一个包,记下此时的序号

然后在 Range 里面输入 2841-5472 即可,如图:

可以同时定义多个范围,格式如图:

2011-11-13 产品部


相关文章:
Wireshark高级技巧
Wireshark高级技巧_信息与通信_工程科技_专业资料。Wireshark高级技巧Wireshark 高级技巧内容提要: ? ? ? ? 显示过滤器的用法 捕捉过滤器的功能及用法 Wireshark 远程...
51CTO学院-网络高级技能-玩转wireshark实战视频课程
DNS 报文分析 分析非标准端口数据 数据包 面板的个性化使用技巧 第二章 高级技能玩转 Wireshark 分析器 3 课时 1 小时 40 分钟 4 数据分析利器-wireshark 显示...
经验交流-WireShark 工具使用技巧
经验交流-WireShark 工具使用技巧_计算机软件及应用_IT/计算机_专业资料 暂无评价|0人阅读|0次下载|举报文档 经验交流-WireShark 工具使用技巧_计算机软件及应用_IT/...
wireshark使用技巧
wireshark使用技巧_信息与通信_工程科技_专业资料。wireshark使用技巧内部公开▲曾经有过用 wire shark 抓包,但解不出 RANAP 消息的经历(却可以看到 SCCP 的消息) ...
SIP进阶-Wireshark使用及实例分析
SIP进阶-Wireshark使用及实例分析_计算机软件及应用_IT/计算机_专业资料。一些sip...[Cseq]uac 和 uas 的 CSeq 独立计算 二、wireshark 使用技巧 1. column 设置...
【实用技巧】wireshark过滤抓包与过滤查看
【实用技巧wireshark过滤抓包与过滤查看_计算机硬件及网络_IT/计算机_专业资料。抓包wireshark 在分析网络数据和判断网络故障问题中, 都离不开网络协议分析软件 (或...
SANGFOR_Wireshark使用技巧之快速查看DF位信息
SANGFOR_Wireshark使用技巧之快速查看DF位信息_电脑基础知识_IT/计算机_专业资料。wireshark,DF位信息查看KB 编号 使用对象 编写部门 公司客服人员 谢恬 产品类型 产品...
wireshark功能及使用技巧(FTP案例额)
Wireshark 功能及使用技巧 一、下载安装 wireshark 从 http://www.wireshark.org/ 下载安装 Windows 平台的 wireshark, 双击 安装文件安装即可,在安装过程中注意选择...
wireshark使用方法
wireshark 是一款抓包软件,比较易用,在平常可以利用它抓包,分析协议或者 监控网络,是一个比较好的工具,因为最近在研究这个,所以就写一下教程,方 便大家学习。 ...
更多相关标签:
wireshark高级教程 | wireshark高级分析 | wireshark使用技巧 | wireshark技巧 | 亚索高级技巧 | 百度高级搜索技巧 | 高级搜索技巧 | cad高级技巧 |