Wireshark使用教程

第 1 章 介绍 1.1. 什么是 Wireshark Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包， 并尝试显示包的尽可能详细的情况。 你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具，就好像使电工用来测量进入电信 的电量的电度表一样。（当然比那个更高级） 过去的此类工具要么是过于昂贵， 要么是属于某人私有，或者是二者兼顾。 Wireshark 出现以后，这种现状得以改变。 Wireshark 可能算得上是今天能使用的最好的开元网络分析软件。 1.1.1. 主要应用 下面是 Wireshark 一些应用的举例： • 网络管理员用来解决网络问题 • 网络安全工程师用来检测安全隐患 • 开发人员用来测试协议执行情况 • 用来学习网络协议 除了上面提到的，Wireshark 还可以用在其它许多场合。 1.1.2. 特性 • 支持 UNIX 和 Windows 平台 • 在接口实时捕捉包 • 能详细显示包的详细协议信息 • 可以打开/保存捕捉的包 • 可以导入导出其他捕捉程序支持的包数据格式 • 可以通过多种方式过滤包 • 多种方式查找包 • 通过过滤以多种色彩显示包 • 创建多种统计分析 • …还有许多 不管怎么说，要想真正了解它的强大，您还得使用它才行 图 1.1. Wireshark 捕捉包并允许您检视其内 1.1.3. 捕捉多种网络接口 Wireshark 可以捕捉多种网络接口类型的包，哪怕是无线局域网接口。想了解支持的所有网络接口类型， 可以在我们 的网站上找到 http://wiki.wireshark.org/CaptureSetup/NetworkMedia. 1.1.4. 支持多种其它程序捕捉的文件 Wireshark 可以打开多种网络分析软件捕捉的包，详见 1.1.5. 支持多格式输出 Wieshark 可以将捕捉文件输出为多种其他捕捉软件支持的格式，详见 1.1.6. 对多种协议解码提供支持 可以支持许多协议的解码(在 Wireshark 中可能被称为解剖) 1.1.7. 开源软件 Wireshark 是开源软件项目，用 GPL 协议发行。您可以免费在 任意数量的机器上使用它，不用担心授权和付费问题， 所有的源代码在 GPL 框架下都可以免费使用。因为以上原因，人们可以很容易在Wireshark 上添加新的协议，或者将 其作为插件整合到您的程序里，这种应用十分广泛。 1.1.8. Wireshark 不能做的事 Wireshark 不能提供如下功能 • Wireshark 不是入侵检测系统。 如果他/她在您的网络做了一些他/她们不被允许的奇怪的事情， Wireshark 不会 警告您。但是如果发生了奇怪的事情，Wireshark 可能对察看发生了什么会有所帮助。 [3] • Wireshark 不会处理网络事务，它仅仅是“测量”(监视)网络。Wireshark 不会发送网络包或做其它交互性的事 情（名称解析除外，但您也可以禁止解析）。 1.2. 系通需求 想要安装运行 Wireshark 需要具备的软硬件条件. 1.2.1. 一般说明 • 给出的值只是最小需求，在大多数网络中可以正常使用，但不排除某些情况下不能使用。 [4] • 在繁忙的网络中捕捉包将很容塞满您的硬盘！举个简单的例子：在100MBIT/s 全双工以太网中捕捉数据将会产 生 750MByties/min 的数据！在此类网络中拥有高速的 CPU，大量的内存和足够的磁盘空间是十分有必要的。 • 如果 Wireshark 运行时内存不足将会导致异常终止。可以在 http://wiki.wireshark.org/KnownBugs/OutOfMemory察看详细介绍以及解决办法。 • Wireshark 作为对处理器时间敏感任务，在多处理器/多线程系统环境工作不会比单独处理器有更快的速度，例 如过滤包就是在一个处理器下线程运行，除了以下情况例外：在捕捉包时“实时更新包列表”，此时捕捉包将 会运行在一个处理下，显示包将会运行在另一个处理器下。此时多处理或许会有所帮助。[5] 1.2.2. Microsoft Windows • Windows 2000,XP Home 版,XP Pro 版,XP Tablet PC，XP Media Center, Server 2003 or Vista(推荐在 XP 下 使用) • 32-bit 奔腾处理器或同等规格的处理器（建议频率：400MHz 或更高）,64-bit 处理器在 WoW64 仿真环境下-见 一般说明 • 128MB 系统内存（建议 256Mbytes 或更高） • 75MB 可用磁盘空间（如果想保存捕捉文件，需要更多空间） 800*600（建议 1280*1024 或更高）分辨率最少 65536(16bit)色，(256 色旧设备安装时需要选择”legacy GTK1”) • 网卡需求： o 以太网：windows 支持的任何以太网卡都可以 o 无线局域网卡：见 MicroLogix support list, 不捕捉 802.11 包头和无数据桢。 o 其它接口见：http://wiki.wireshark.org/CaptureSetup/NetworkMedia 说明 • 基于以下三点原因，将不会对旧版 Windows 提供支持：没有任何开发人员正在使用那些操作系统， 这将使支持 变得更加困难，Wireshark 运行所依赖的库文件（如 GTK，WinPCap 等）也放弃对它们的支持。 同样，微软也 放弃了对它们的技术支持。 • Windows 95,98 和 ME 不能运行 Wireshark。已知的最后一个可以运行在以上平台的版本是 Ethereal0.99.0(需 要安装 WinPCap3.1),你依然可以使用从: 获得。 顺便提一下： 微软于 2006 年 1 月 11 日停止对 98/ME 支持。 • Windows NT 4.0今后将无法运行Wireshark.最有一个已知版本是Wireshark0.99.4(需安装自带的WinPCap3.1), 你依然可以从： 得到它。顺 便提一下：微软于 2005 年 12 月 31 日停止对 NT 4.0 的支持。 • Windows CE 及嵌入版 windows（NT/XP）不被支持。 • 64-bit 处理器运行 Wireshark 需要在 32bit 仿真环境下(称作 WoW64),最低需要安装 WinPCap4.0。 • 支持多显示(不知道是显示其还是监视器)安装，但会遇到一些不可预料的问题。 1.2.3. Unix/Linux Wireshark 目前可以运行在许多 UNIX 平台，系统可以对照上面 Windows 下的指标。 二进制包最少在以下平台可用： • APPle Mac OSX • Debian GNU/Linux • FreeBSD • NetBSD • OpenPKG • Red Hat Fedora/Enterprise Linux • rPath Linux • Sun Solaris/i