湛江模板建站哪家好,域名策划方案,阿里企业邮箱个人登录,做网站先做前端好还是先做逻辑Wireshark#xff08;前称Ethereal#xff09;是一个网络数据包分析软件。网络数据包分析软件的功能是截取网络数据包#xff0c;并尽可能显示出最为详细的网络数据包数据。Wireshark使用WinPCAP作为接口#xff0c;直接与网卡进行数据报文交换。网络管理员使用Wireshark来… Wireshark前称Ethereal是一个网络数据包分析软件。网络数据包分析软件的功能是截取网络数据包并尽可能显示出最为详细的网络数据包数据。Wireshark使用WinPCAP作为接口直接与网卡进行数据报文交换。网络管理员使用Wireshark来检测网络问题网络安全工程师使用Wireshark来检查资讯安全相关问题开发者使用Wireshark来为新的通讯协定除错普通使用者使用Wireshark来学习网络协定的相关知识。当然有的人也会“居心叵测”的用它来寻找一些敏感信息……。Wireshark相对于tcpdump而言界面更友好功能更强大。安装mac上安装wiresharkwindows上安装wiresharklinux下安装wireshark基本使用以下的介绍都是以mac下的wireshark 1.12.2版本为基础。认识界面说明常用按钮从左到右的功能依次是1、列出可用接口。2、抓包时需要设置的一些选项。一般会保留最后一次的设置结果。3、开始新的一次抓包。4、暂停抓包。5、继续进行本次抓包。6、打开抓包文件。可以打开之前抓包保存后的文件。不仅可以打开wireshark软件保存的文件也可以打开tcpdump使用-w参数保存的文件。7、保存文件。把本次抓包或者分析的结果进行保存。8、关闭打开的文件。文件被关闭后就会切换到初始界面。9、重载抓包文件。设置数据抓取选项点击常用按钮中的设置按钮就会弹出设置选项对话框。在这个对话框中我们可以选中需要监听的接口设置混杂模式设置抓取数据包的过滤条件。如下图首先选中需要监听获取数据包的接口。接口列表区列出了所有可以使用的接口。如果接口前面的复选框被选中说明对这个接口监听捕获数据包。其次设置混杂模式。设置混杂模式的作用是将网卡设置到混杂模式。如果不设置混杂模式你的计算机只能获取数据包发往的目标是你计算机和从你计算机出去的数据包。如果设置了混杂模式你就可以捕获局域网中所有的数据包。如果窗口中的 Use promiscuous mode on all interfaces前面的复选框被选中说明对所有的接口使用混杂模式。如果想单独设置可以双击接口列表中的接口会弹出如下的对话框。然后选中或者去掉“Capture packets in promiscuous mode”前面复选框。然后点ok按钮。再次设置捕获过滤条件。在点设置按钮弹出的主设置对话框中和双击接口列表弹出的对话框中都会有“Capture Filter”项。在文本框中我们可以设置捕获过滤条件。如我们只捕获http相关的数据包我们就可以设置捕获条件为“port 80”。因为http使用的是80端口。最后所有的设置完毕后点击设置主窗口中的“Start”按钮开始捕获数据。数据捕获完后可以点常用按钮中的“保存”按钮保存数据。使用显示过滤器显示过滤器应用于捕获文件用来告诉wireshark只显示那些符合过滤条件的数据包。显示过滤器比捕获过滤器更常用。他可以用来过滤不想看到的数据包但是不会把数据删除。如果想恢复原状只要把过滤条件删除即可。过滤器表达式对话框是的wireshark的可以很简单的设置过滤表达式。点击“Expression”按钮就可以打开这个对话框。如下图对话框分左中右三部分。左边为可以使用的所有协议域。右边为和协议域相关的条件值。中间为协议域与条件值之间的关系。过滤器表达式对于初学者很有用。如上图我们创建的表达式的作用是只显示http协议包中包含关键词“bo56.com”的所有数据包。Field name说明这个列表中展示了所有支持的协议。点击前面的三角标志后可以列出本协议的可过滤字段。当选中“Field name”列表中的任何一项只需要输入你想要的协议域就会自动定位到相应的协议域选项。Relation说明is present 如果选择的协议域存在则显示相关数据包。contains 判断一个协议字段或者分片包含一个值matches 判断一个协议或者字符串匹配一个给定的Perl表达式。ValueProtocol说明此处输入合适的值。如果选择的协议域和这个值满足Relation中指定的关系则显示相关数据包。Predefined values说明有些协议域包含了预先定义的值有点类似于c语言中的枚举类型。如果你选择的协议域包含这样的值你可以在这个列表中选择。Function函数说明过滤器的语言还有下面几个函数upper(stringfield)把字符串转换成大写lower(stringfield)把字符串转换成小写upper((和lower((在处理大小写敏感的字符串比较时很有用。例如upper(ncp.nds_stream_name) contains BO56.COMlower(mount.dump.hostname) BO56.COM如果你熟悉了这个规则之后你就会发现手动输入表达式更有效率。当时手动在flter文本框中输入表达时如果输入的语法有问题文本框的背景色会变成红色。这时候你可以继续输入或者修改知道文本框中的表达式正确后文本框的背景色又会变成绿色。使用着色规则你经常会在数据包列表区域中看到不同的颜色。这就是wireshark做的很人性化的一方面。它可以让你指定条件把符合条件的数据包按指定的颜色显示。这样你查找数据包会更方便些。下面我们说一下如何设置颜色规则。点击“view”菜单然后选择“Coloring Rules”选项就会弹出设置颜色规则设置对话框。你点击颜色规则设置的快捷按钮也可以打开颜色设置对话框。如下图打开的对话框中默认已经有一些规则。我们抓取的数据包中经常会看到一些不同的颜色就是应用的这些默认的规则。点击“New”按钮可以添加规则。如下图name字段中填写规则的名称方便记忆。string字段中填写过滤规则。这里的语法和显示规则表达式一致。点击 上图中的“Expression”按钮你就会看到熟悉的规则表达式对话。Foreground Color按钮用于选择前景色。Background Color按钮用于选择背景色。Disabled按钮用于指示是否禁用这条规则。点击ok按钮后规则自动会添加到规则列表中的最前端。注意wireshark在应用规则的时候是按自上而下的顺序去应用规则。因此刚添加的规则会优先应用。如果你想调整顺序可以选中要调整顺序的规则然后点击右边的“UP” 或则 “Down” 按钮。颜色规则设置好后只需要点apply按钮就可以应用规则了。规则效果应用如下图 使用图表图形分析是数据分析中必不可少的一部分。也是wireshark的一大亮点。wireshark有不同的图形展现功能以帮助你了解捕获的数据包。下面我们对经常使用的IO图双向时间图做下介绍。IO图wireshark的IO图让你可以对网络上的吞吐量绘图。让你了解网络数据传输过程中的峰值和波动情况。通过“Statistics”菜单中的“IO Graphs”选项可以打开这个IO图对话框。如下图可以看到IO图表对话框中会分为三个区。过滤器区设置过滤条件用于图形化展示过滤条件相关数据包的变化情况。而且可以为每个不同的条件指定不同的颜色。过滤条件的语法和之前介绍的显示过滤器的语法一致。过滤条件为空此图形显示所有流量。坐标区在这里可以设置图表的x轴和y轴。x轴为时间y轴为包的数量。如图我们设置Y轴的单位是Bytes/Tick。趋势图区根据过滤器设置的条件和坐标区设置数据分析后回在这个区域以图形化方式展示。点击图形中的点会自动定位到相应的数据包。点击趋势图中的低谷点你会发现大量的数据包重传。IO图表还可以通过函数对数据进行聚合处理。点击Y轴中Unit选项中的Advanced后就会再过滤器区就会增加Calc选项。如下图相关函数说明MIN( ), AVG( ), MAX( ) 分别是统计协议域中数值的最小平均和最大值。注意这三个聚合函数只对协议域的值为数字的才有效。Count( ) 此函数计算时间间隔内事件发生的次数在查看TCP分析标识符时很有用例如重传。Sum( ) 该函数统计事件的累加值。和MIN()函数一样这个也只有协议域的值为数字的情况下才有效。双向时间图wireshark还有一个功能就是可以对网络传输中的双向时间进行绘图。双向时间round-trip time, RTT,就是一个数据包被确认正常接收所花费的时间。以tcp协议为例就是你push一个数据到一台主机主机回应一个ack给你的主机你的主机并成功接收ack回应。这两个过程花费的时间总和就是双向时间。双向时间通常用来寻找网络传输过程中的慢点和瓶颈用以判断网络传输是否有延迟。通过“Statistics”菜单中的“Tcp StreamGraph”中的“Round Trip Time Graph”选项可以打开这个双向时间图对话框。如下图这个图表中的每个点代表一个数据包的双向时间。你可以单机图表中的任何一点然后在数据包列表区就会自动定位到相应的数据包。从数据表来看我们下载压缩包还是比较稳定的。数据包的rtt时间大多数在0.05s以下其他大多数在0.1s左右少数超过了1.5s。跟踪tcp流Wireshark分析功能中最不错的一个功能是它能够将TCP流重组。重组后的数据格式更容易阅读。跟踪TCP流这个功能可以将接收到的数据排好顺序使之容易查看而不需要一小块一小块地看。这在查看HTTP、FTP等纯文本应用层协议时非常有用。我们以一个简单的HTTP请求举例来说明一下。打开wireshark_bo56_pcap.pcapng并在显示过滤器中输入“http contains wireshark”点击“apply”按钮后在数据包列表框中就会只剩下一条记录。如下图。右键单击这条记录并选择Follow TCP Stream。这时TCP流就会在一个单独的窗口中显示出来。如下图我们看到这个窗口中的文字会有两种颜色。其中红色用于表示从源地址到目标地址的流量。在我们的例子里面就是从我们本机到web服务器的流量。你可以看到最开始的红色部分是一个GET请求。蓝色部分是和红色部分相反的方向也就是从目标地址到源地址的流量。在我们的例子中蓝色部分的第一行是“HTTP/1.1 200 OK”是来自服务器的一个http成功响应。在这个窗口中除了能够看到这些原始数据你还可以在文本间进行搜索将其保存成一个文件、打印或者以ASCII码、EBCDIC、十六进制或者C数组的格式去查看。这些选项都可以在跟踪TCP流窗口的下面找到。
