wireshark 抓包工具
什么是wireshark?
Wireshark是免费的开源数据包分析器。管理员通常使用Wireshark来分析网络流量,对网络问题进行故障排除。Wireshark(以前称为Etherreal
)在2006年更名为Wireshark
。
安装 wireshark
Wireshark适用于大多数Linux发行版,并且可以从大多数存储库中正常安装。
基于Debian的系统安装Wireshark:sudo apt-get install wireshark
基于Red Hat的发行版安装Wireshark:yum install wireshark
SLES / openSUSE发行版安装Wireshark。从终端执行以下命令:zypper install wirehark
从官网下载Wireshark的软件包和源代码:http://www.wireshark.org/download.html
基本的Wireshark概述
Wireshark是专门工具,可以理解许多网络协议及其结构。这使Wireshark可以轻松显示数据包的结构以及说明。Wireshark使用pcap
捕获数据包。(pcap-在Linux下的libpcap库中实现的数据包捕获)。Wireshark可以从以太网
,802.11
,PPP
和环回
网络读取数据。也可以下载称为Tshark
的Wireshark命令行版本。Wireshark使用简单的过滤器从捕获的数据中删除不需要的数据。
执行 gksudo wirehark
, 在Ubuntu下启动Wireshark
抓包
要启动捕获过程,首先需要选择一个接口。
如果您使用的是无线
适配器,请选择该接口。
如果使用有线连接,则应选择该接口。
在上面的例子中,我通过接口eth0
进行连接。要选择您所选择的接口,只需点击接口列表
下的接口名称即可。一旦你选择了你的接口,你应该看到流量开始立即出现在输出窗口。要在任何时候停止实时捕获过程,只需单击位于上面工具栏上的停止捕获图标。
实时捕获数据已存储在/ tmp
区域中的临时文件中。这些文件的名称通常类似于wireshark_eth0_20130428211412_AGOOT7
。该文件可以通过其接口名称以及所应用的时间和数据戳来标识。如果您不想保留此数据,则可以单击十字(第八个图标),然后单击继续而不保存
。另外,如果您决定保留数据,则可以单击保存图标(第七个图标)。然后,您可以为您的保存文件指定一个自定义名称。
Wireshark-颜色代码
从上面的实时捕获图像中可以看到,wireshark用特定的颜色为每条线着色。这些颜色对应于各种类型的信息。这些颜色是可自定义的,但是,我建议使用默认的配色方案。
过滤报文信息
Wireshark的输出本质上可能非常冗长,但是,您可以使用屏幕左上方的过滤器框来减少显示在屏幕上的信息量。您可以在此处按协议进行过滤,例如http
,smb
或dns
。如果您正在处理特定问题,这可能会非常有帮助。您也可以从下拉捕获菜单中使用捕获过滤器
。在这里,您可以更详细地了解从接口捕获的数据。您可以按IP地址,IP地址范围,端口号过滤。Wiki wirehark页面上提供了有用的过滤器列表:Capture Filters。另一个选项是使用分析
菜单下的过滤器选项。在这里您可以创建新的显示过滤器。
TCP流
Wireshark的一个极其有用的功能是它能够选择特定的流或对话以进行进一步的分析。要跟踪本地计算机和远程服务器之间的对话,只需右键单击
一个数据包,然后选择跟随TCP流
选项。现在,您应该看到一个弹出框,显示所选数据包的内容。现在,有用的部分是当您关闭此弹出框时,已应用自动过滤器。现在,信息只会显示在本地计算机和远程服务器之间。您还应该在左上方的过滤器框中看到一个过滤器(见下图)。