Wireshark（前稱Ethereal）是一個網(wǎng)絡(luò)數(shù)據(jù)包分析軟件。網(wǎng)絡(luò)數(shù)據(jù)包分析軟件的功能是截取網(wǎng)絡(luò)數(shù)據(jù)包，并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)數(shù)據(jù)包數(shù)據(jù)。Wireshark使用WinPCAP作為接口，直接與網(wǎng)卡進(jìn)行數(shù)據(jù)報文交換。

網(wǎng)絡(luò)管理員使用Wireshark來檢測網(wǎng)絡(luò)問題，網(wǎng)絡(luò)安全工程師使用Wireshark來檢查資訊安全相關(guān)問題，開發(fā)者使用Wireshark來為新的通訊協(xié)定除錯，普通使用者使用Wireshark來學(xué)習(xí)網(wǎng)絡(luò)協(xié)定的相關(guān)知識。當(dāng)然，有的人也會“居心叵測”的用它來尋找一些敏感信息……。Wireshark相對于tcpdump而言，界面更友好，功能更強(qiáng)大。

基本使用

以下的介紹都是以mac下的wireshark 1.12.2版本為基礎(chǔ)。

認(rèn)識界面

說明：

常用按鈕從左到右的功能依次是：

1、列出可用接口。

2、抓包時需要設(shè)置的一些選項。一般會保留最后一次的設(shè)置結(jié)果。

3、開始新的一次抓包。

4、暫停抓包。

5、繼續(xù)進(jìn)行本次抓包。

6、打開抓包文件。可以打開之前抓包保存后的文件。不僅可以打開wireshark軟件保存的文件，也可以打開tcpdump使用-w參數(shù)保存的文件。

7、保存文件。把本次抓包或者分析的結(jié)果進(jìn)行保存。

8、關(guān)閉打開的文件。文件被關(guān)閉后，就會切換到初始界面。

9、重載抓包文件。

設(shè)置數(shù)據(jù)抓取選項

點擊常用按鈕中的設(shè)置按鈕，就會彈出設(shè)置選項對話框。在這個對話框中我們可以選中需要監(jiān)聽的接口，設(shè)置混雜模式，設(shè)置抓取數(shù)據(jù)包的過濾條件。如下圖：

首先，選中需要監(jiān)聽獲取數(shù)據(jù)包的接口。接口列表區(qū)列出了所有可以使用的接口。如果接口前面的復(fù)選框被選中，說明對這個接口監(jiān)聽捕獲數(shù)據(jù)包。

其次，設(shè)置混雜模式。設(shè)置混雜模式的作用是將網(wǎng)卡設(shè)置到混雜模式。如果不設(shè)置混雜模式，你的計算機(jī)只能獲取數(shù)據(jù)包發(fā)往的目標(biāo)是你計算機(jī)和從你計算機(jī)出去的數(shù)據(jù)包。如果設(shè)置了混雜模式，你就可以捕獲局域網(wǎng)中所有的數(shù)據(jù)包。如果窗口中的 "Use promiscuous mode on all interfaces"前面的復(fù)選框被選中，說明對所有的接口使用混雜模式。如果想單獨設(shè)置，可以雙擊接口列表中的接口，會彈出如下的對話框。然后選中或者去掉“Capture packets in promiscuous mode”前面復(fù)選框。然后點ok按鈕。

再次，設(shè)置捕獲過濾條件。在點設(shè)置按鈕彈出的主設(shè)置對話框中和雙擊接口列表彈出的對話框中都會有“Capture Filter”項。在文本框中我們可以設(shè)置捕獲過濾條件。如，我們只捕獲http相關(guān)的數(shù)據(jù)包，我們就可以設(shè)置捕獲條件為“port 80”。因為http使用的是80端口。

最后，所有的設(shè)置完畢后，點擊設(shè)置主窗口中的“Start”按鈕，開始捕獲數(shù)據(jù)。數(shù)據(jù)捕獲完后，可以點常用按鈕中的“保存”按鈕保存數(shù)據(jù)。

使用顯示過濾器

顯示過濾器應(yīng)用于捕獲文件，用來告訴wireshark只顯示那些符合過濾條件的數(shù)據(jù)包。顯示過濾器比捕獲過濾器更常用。他可以用來過濾不想看到的數(shù)據(jù)包，但是不會把數(shù)據(jù)刪除。如果想恢復(fù)原狀，只要把過濾條件刪除即可。

過濾器表達(dá)式對話框，是的wireshark的可以很簡單的設(shè)置過濾表達(dá)式。點擊“Expression”按鈕就可以打開這個對話框。如下圖：

對話框分左中右三部分。左邊為可以使用的所有協(xié)議域。右邊為和協(xié)議域相關(guān)的條件值。中間為協(xié)議域與條件值之間的關(guān)系。過濾器表達(dá)式對于初學(xué)者很有用。如上圖，我們創(chuàng)建的表達(dá)式的作用是，只顯示http協(xié)議包中包含關(guān)鍵詞“bo56.com”的所有數(shù)據(jù)包。

Field name說明：

這個列表中展示了所有支持的協(xié)議。點擊前面的三角標(biāo)志后，可以列出本協(xié)議的可過濾字段。當(dāng)選中“Field name”列表中的任何一項，只需要輸入你想要的協(xié)議域，就會自動定位到相應(yīng)的協(xié)議域選項。

Relation說明：

is present 如果選擇的協(xié)議域存在，則顯示相關(guān)數(shù)據(jù)包。

contains 判斷一個協(xié)議，字段或者分片包含一個值

matches 判斷一個協(xié)議或者字符串匹配一個給定的Perl表達(dá)式。

Value（Protocol）說明：

此處輸入合適的值。如果選擇的協(xié)議域和這個值滿足Relation中指定的關(guān)系，則顯示相關(guān)數(shù)據(jù)包。

Predefined values說明：

有些協(xié)議域包含了預(yù)先定義的值，有點類似于c語言中的枚舉類型。如果你選擇的協(xié)議域包含這樣的值，你可以在這個列表中選擇。

Function函數(shù)說明：

過濾器的語言還有下面幾個函數(shù)：

upper(string－field)－把字符串轉(zhuǎn)換成大寫

lower(string－field)－把字符串轉(zhuǎn)換成小寫

upper((和lower((在處理大小寫敏感的字符串比較時很有用。

例如：

upper(ncp.nds_stream_name)contains"BO56.COM"
lower(mount.dump.hostname)=="BO56.COM"

如果你熟悉了這個規(guī)則之后你就會發(fā)現(xiàn)手動輸入表達(dá)式更有效率。當(dāng)時手動在flter文本框中輸入表達(dá)時，如果輸入的語法有問題，文本框的背景色會變成紅色。這時候，你可以繼續(xù)輸入或者修改，知道文本框中的表達(dá)式正確后，文本框的背景色又會變成綠色。

使用著色規(guī)則

你經(jīng)常會在數(shù)據(jù)包列表區(qū)域中看到不同的顏色。這就是wireshark做的很人性化的一方面。它可以讓你指定條件，把符合條件的數(shù)據(jù)包按指定的顏色顯示。這樣你查找數(shù)據(jù)包會更方便些。下面我們說一下如何設(shè)置顏色規(guī)則。

點擊“view”菜單，然后選擇“Coloring Rules”選項就會彈出設(shè)置顏色規(guī)則設(shè)置對話框。你點擊顏色規(guī)則設(shè)置的快捷按鈕也可以打開顏色設(shè)置對話框。如下圖：

打開的對話框中默認(rèn)已經(jīng)有一些規(guī)則。我們抓取的數(shù)據(jù)包中經(jīng)常會看到一些不同的顏色，就是應(yīng)用的這些默認(rèn)的規(guī)則。點擊“New”按鈕可以添加規(guī)則。如下圖：

name字段中填寫規(guī)則的名稱，方便記憶。

string字段中填寫過濾規(guī)則。這里的語法和顯示規(guī)則表達(dá)式一致。點擊 上圖中的“Expression”按鈕，你就會看到熟悉的規(guī)則表達(dá)式對話。

Foreground Color按鈕用于選擇前景色。

Background Color按鈕用于選擇背景色。

Disabled按鈕用于指示是否禁用這條規(guī)則。

點擊ok按鈕后，規(guī)則自動會添加到規(guī)則列表中的最前端。

注意：wireshark在應(yīng)用規(guī)則的時候，是按自上而下的順序去應(yīng)用規(guī)則。因此剛添加的規(guī)則會優(yōu)先應(yīng)用。如果你想調(diào)整順序，可以選中要調(diào)整順序的規(guī)則，然后點擊右邊的“UP” 或則 “Down” 按鈕。

顏色規(guī)則設(shè)置好后，只需要點apply按鈕就可以應(yīng)用規(guī)則了。規(guī)則效果應(yīng)用如下圖：

使用圖表

圖形分析是數(shù)據(jù)分析中必不可少的一部分。也是wireshark的一大亮點。wireshark有不同的圖形展現(xiàn)功能，以幫助你了解捕獲的數(shù)據(jù)包。下面我們對經(jīng)常使用的IO圖，雙向時間圖做下介紹。

IO圖

wireshark的IO圖讓你可以對網(wǎng)絡(luò)上的吞吐量繪圖。讓你了解網(wǎng)絡(luò)數(shù)據(jù)傳輸過程中的峰值和波動情況。通過“Statistics”菜單中的“IO Graphs”選項可以打開這個IO圖對話框。如下圖：

可以看到IO圖表對話框中會分為三個區(qū)。

過濾器區(qū)：設(shè)置過濾條件，用于圖形化展示過濾條件相關(guān)數(shù)據(jù)包的變化情況。而且可以為每個不同的條件指定不同的顏色。過濾條件的語法和之前介紹的顯示過濾器的語法一致。過濾條件為空，此圖形顯示所有流量。

坐標(biāo)區(qū)：在這里可以設(shè)置圖表的x軸和y軸。x軸為時間，y軸為包的數(shù)量。如圖，我們設(shè)置Y軸的單位是Bytes/Tick。

趨勢圖區(qū)：根據(jù)過濾器設(shè)置的條件和坐標(biāo)區(qū)設(shè)置，數(shù)據(jù)分析后回在這個區(qū)域以圖形化方式展示。點擊圖形中的點，會自動定位到相應(yīng)的數(shù)據(jù)包。點擊趨勢圖中的低谷點，你會發(fā)現(xiàn)大量的數(shù)據(jù)包重傳。

IO圖表還可以通過函數(shù)對數(shù)據(jù)進(jìn)行聚合處理。

點擊Y軸中Unit選項中的Advanced后，就會再過濾器區(qū)就會增加Calc選項。如下圖：

相關(guān)函數(shù)說明：

MIN( ), AVG( ), MAX( ) 分別是統(tǒng)計協(xié)議域中數(shù)值的最小，平均和最大值。注意，這三個聚合函數(shù)只對協(xié)議域的值為數(shù)字的才有效。

Count( ) 此函數(shù)計算時間間隔內(nèi)事件發(fā)生的次數(shù)，在查看TCP分析標(biāo)識符時很有用，例如重傳。

Sum( ) 該函數(shù)統(tǒng)計事件的累加值。和MIN()函數(shù)一樣，這個也只有協(xié)議域的值為數(shù)字的情況下才有效。

雙向時間圖

wireshark還有一個功能就是可以對網(wǎng)絡(luò)傳輸中的雙向時間進(jìn)行繪圖。雙向時間（round-trip time, RTT）,就是一個數(shù)據(jù)包被確認(rèn)正常接收所花費的時間。以tcp協(xié)議為例，就是你push一個數(shù)據(jù)到一臺主機(jī)，主機(jī)回應(yīng)一個ack給你的主機(jī)，你的主機(jī)并成功接收ack回應(yīng)。這兩個過程花費的時間總和就是雙向時間。雙向時間通常用來尋找網(wǎng)絡(luò)傳輸過程中的慢點和瓶頸，用以判斷網(wǎng)絡(luò)傳輸是否有延遲。

通過“Statistics”菜單中的“Tcp StreamGraph”中的“Round Trip Time Graph”選項可以打開這個雙向時間圖對話框。如下圖：

這個圖表中的每個點代表一個數(shù)據(jù)包的雙向時間。你可以單機(jī)圖表中的任何一點，然后在數(shù)據(jù)包列表區(qū)就會自動定位到相應(yīng)的數(shù)據(jù)包。從數(shù)據(jù)表來看，我們下載壓縮包還是比較穩(wěn)定的。數(shù)據(jù)包的rtt時間大多數(shù)在0.05s以下，其他大多數(shù)在0.1s左右，少數(shù)超過了1.5s。

跟蹤tcp流

Wireshark分析功能中最不錯的一個功能是它能夠?qū)CP流重組。重組后的數(shù)據(jù)格式更容易閱讀。跟蹤TCP流這個功能可以將接收到的數(shù)據(jù)排好順序使之容易查看，而不需要一小塊一小塊地看。這在查看HTTP、FTP等純文本應(yīng)用層協(xié)議時非常有用。

我們以一個簡單的HTTP請求舉例來說明一下。打開wireshark_bo56_pcap.pcapng，并在顯示過濾器中輸入“http contains wireshark”，點擊“apply”按鈕后，在數(shù)據(jù)包列表框中就會只剩下一條記錄。如下圖。

右鍵單擊這條記錄并選擇Follow TCP Stream。這時TCP流就會在一個單獨的窗口中顯示出來。如下圖：

我們看到這個窗口中的文字會有兩種顏色。其中紅色用于表示從源地址到目標(biāo)地址的流量。在我們的例子里面就是從我們本機(jī)到web服務(wù)器的流量。你可以看到最開始的紅色部分是一個GET請求。藍(lán)色部分是和紅色部分相反的方向，也就是從目標(biāo)地址到源地址的流量。在我們的例子中，藍(lán)色部分的第一行是“HTTP/1.1 200 OK”，是來自服務(wù)器的一個http成功響應(yīng)。

在這個窗口中除了能夠看到這些原始數(shù)據(jù)，你還可以在文本間進(jìn)行搜索，將其保存成一個文件、打印，或者以ASCII碼、EBCDIC、十六進(jìn)制或者C數(shù)組的格式去查看。這些選項都可以在跟蹤TCP流窗口的下面找到。