关闭

关闭

关闭

封号提示

内容

首页 -Wireshark教程-中文版.doc

-Wireshark教程-中文版.doc

-Wireshark教程-中文版.doc

上传者: shizhenbang 2011-10-10 评分 0 0 0 0 0 0 暂无简介 简介 举报

简介:本文档为《-Wireshark教程-中文版doc》,可适用于IT/计算机领域,主题内容包含第  章 介绍 什么是WiresharkWireshark是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包并尝试显示包的尽可能详细的情况。符等。

第  章 介绍 什么是WiresharkWireshark是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包并尝试显示包的尽可能详细的情况。你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具就好像使电工用来测量进入电信的电量的电度表一样。(当然比那个更高级)过去的此类工具要么是过于昂贵要么是属于某人私有或者是二者兼顾。Wireshark出现以后这种现状得以改变。Wireshark可能算得上是今天能使用的最好的开元网络分析软件。 主要应用下面是Wireshark一些应用的举例:​ 网络管理员用来解决网络问题​ 网络安全工程师用来检测安全隐患​ 开发人员用来测试协议执行情况​ 用来学习网络协议除了上面提到的Wireshark还可以用在其它许多场合。 特性​ 支持UNIX和Windows平台​ 在接口实时捕捉包​ 能详细显示包的详细协议信息​ 可以打开保存捕捉的包​ 可以导入导出其他捕捉程序支持的包数据格式​ 可以通过多种方式过滤包​ 多种方式查找包​ 通过过滤以多种色彩显示包​ 创建多种统计分析​ …还有许多不管怎么说要想真正了解它的强大您还得使用它才行图  Wireshark捕捉包并允许您检视其内 捕捉多种网络接口Wireshark可以捕捉多种网络接口类型的包哪怕是无线局域网接口。想了解支持的所有网络接口类型可以在我们的网站上找到http:wikiwiresharkorgCaptureSetupNetworkMedia 支持多种其它程序捕捉的文件Wireshark可以打开多种网络分析软件捕捉的包详见 支持多格式输出Wieshark可以将捕捉文件输出为多种其他捕捉软件支持的格式详见 对多种协议解码提供支持可以支持许多协议的解码(在Wireshark中可能被称为解剖) 开源软件Wireshark是开源软件项目用GPL协议发行。您可以免费在任意数量的机器上使用它不用担心授权和付费问题所有的源代码在GPL框架下都可以免费使用。因为以上原因人们可以很容易在Wireshark上添加新的协议或者将其作为插件整合到您的程序里这种应用十分广泛。 Wireshark不能做的事Wireshark不能提供如下功能​ Wireshark不是入侵检测系统。如果他她在您的网络做了一些他她们不被允许的奇怪的事情Wireshark不会警告您。但是如果发生了奇怪的事情Wireshark可能对察看发生了什么会有所帮助。​ Wireshark不会处理网络事务它仅仅是“测量”(监视)网络。Wireshark不会发送网络包或做其它交互性的事情(名称解析除外但您也可以禁止解析)。 系通需求想要安装运行Wireshark需要具备的软硬件条件 一般说明​ 给出的值只是最小需求在大多数网络中可以正常使用但不排除某些情况下不能使用。​ 在繁忙的网络中捕捉包将很容塞满您的硬盘!举个简单的例子:在MBITs全双工以太网中捕捉数据将会产生MBytiesmin的数据!在此类网络中拥有高速的CPU大量的内存和足够的磁盘空间是十分有必要的。​ 如果Wireshark运行时内存不足将会导致异常终止。可以在http:wikiwiresharkorgKnownBugsOutOfMemory察看详细介绍以及解决办法。​ Wireshark作为对处理器时间敏感任务在多处理器多线程系统环境工作不会比单独处理器有更快的速度例如过滤包就是在一个处理器下线程运行除了以下情况例外:在捕捉包时“实时更新包列表”此时捕捉包将会运行在一个处理下显示包将会运行在另一个处理器下。此时多处理或许会有所帮助。 MicrosoftWindows​ Windows,XPHome版,XPPro版,XPTabletPCXPMediaCenter,ServerorVista(推荐在XP下使用)​ bit奔腾处理器或同等规格的处理器(建议频率:MHz或更高),bit处理器在WoW仿真环境下见一般说明​ MB系统内存(建议Mbytes或更高)​ MB可用磁盘空间(如果想保存捕捉文件需要更多空间)*(建议*或更高)分辨率最少(bit)色(色旧设备安装时需要选择”legacyGTK”)​ 网卡需求:o​ 以太网:windows支持的任何以太网卡都可以o​ 无线局域网卡:见MicroLogixsupportlist,不捕捉包头和无数据桢。o​ 其它接口见:http:wikiwiresharkorgCaptureSetupNetworkMedia说明​ 基于以下三点原因将不会对旧版Windows提供支持:没有任何开发人员正在使用那些操作系统这将使支持变得更加困难Wireshark运行所依赖的库文件(如GTKWinPCap等)也放弃对它们的支持。同样微软也放弃了对它们的技术支持。​ Windows,和ME不能运行Wireshark。已知的最后一个可以运行在以上平台的版本是Ethereal(需要安装WinPCap),你依然可以使用从:http:etherealcomdownloadhtml获得。顺便提一下:微软于年月日停止对ME支持。​ WindowsNT今后将无法运行Wireshark最有一个已知版本是Wireshark(需安装自带的WinPCap),你依然可以从:http:prdownloadssourceforgenetwiresharkwiresharksetupexe得到它。顺便提一下:微软于年月日停止对NT的支持。​ WindowsCE及嵌入版windows(NTXP)不被支持。​ bit处理器运行Wireshark需要在bit仿真环境下(称作WoW),最低需要安装WinPCap。​ 支持多显示(不知道是显示其还是监视器)安装但会遇到一些不可预料的问题。 UnixLinuxWireshark目前可以运行在许多UNIX平台系统可以对照上面Windows下的指标。二进制包最少在以下平台可用:​ APPleMacOSX​ DebianGNULinux​ FreeBSD​ NetBSD​ OpenPKG​ RedHatFedoraEnterpriseLinux​ rPathLinux​ SunSolarisi​ SunSolarisSparc如果二进制包在您的平台无法使用你可以下载源文件并尝试编译它。希望您能发送邮件到wiresharkdevATwiresharkorg分享您的经验。 从哪里可以得到Wireshark你可以从我们的网站下载最新版本的Wiresharkhttp:wwwwiresharkorgdownloadhtml网站上您可以选择适合您的镜像站点。Wireshark通常在周内发布一次新版本如果您想获得Wireshark发布的消息通知你可以订阅Wiresharkannounce邮件列表。详见第  节“邮件列表” Wiresahrk简史年以后GeraldCombs需要一个工具追踪网络问题并想学习网络知识。所以他开始开发Ethereal(Wireshark项目以前的名称)以解决以上的两个需要。Ethereal是第一版经过数次开发停顿年经过这么长的时间补丁Bug报告以及许多的鼓励版诞生了。Ethereal就是以这种方式成功的。此后不久GilbertRamirez发现它的潜力并为其提供了底层分析年月GuyHarris正寻找一种比TcpView更好的工具他开始为Ethereal进行改进并提供分析。年以后正在进行TCPIP教学的RichardSharpe关注了它在这些课程中的作用。并开始研究该软件是否他所需要的协议。如果不行新协议支持应该很方便被添加。所以他开始从事Ethereal的分析及改进。从那以后帮助Ethereal的人越来越多他们的开始几乎都是由于一些尚不被Ethereal支持的协议。所以他们拷贝了已有的解析器并为团队提供了改进回馈。年项目MovedHouse(这句不知道怎么翻译)并重新命名为:Wireshark Wireshark开发维护Wireshark最初由GeraldCombs开发。目前由Wiresharkteam进行进一步开发和维护。Wiresharkteam是一个由修补bug提高Wireshark功能的独立成员组成的松散组织。有大量的成员为Wireshark提供协议分析。同时我们也希望这些活动能持续机芯。通过查看Wireshark帮助菜单下的About,你可以找到为Wireshark提供代码的人员名单或者你也可以通过Wireshark网站的authors页面找到。Wireshark是开源软件项目发布遵循GNUGeneralPublicLicence(GPL协议),所有源代码可以在GPL框架下免费使用。欢迎您修改Wireshark以便适合您的需要如果您可以提供您的改进给Wiresharkteam我们将不胜感激。为WiresharkTeam提供您的改进建议有以下益处:​ 如果其他人发现您提供的改进十分有用会肯定它们的价值您将会得知你曾像Wiresharkteam一样帮助过他人​ ThedevelopersofWiresharkmightimproveyourchangesevenmore,asthere'salwaysroomforimprovementOrtheymayimplementsomeadvancedthingsontopofyourcode,whichcanbeusefulforyourselftoo​ ThemaintainersanddevelopersofWiresharkwillmaintainyourcodeaswell,fixingitwhenAPIchangesorotherchangesaremade,andgenerallykeepingitintunewithwhatishappeningwithWiresharkSoifWiresharkisupdated(whichisdoneoften),youcangetanewWiresharkversionfromthewebsiteandyourchangeswillalreadybeincludedwithoutanyeffortforyouWireshar源代码和二进制kits(二进制工具包?)可以根据自己的平台对应下载网站是:http:wwwwiresharkorgdownloadhtml 汇报问题和获得帮助如果您在使用中碰到了问题或者您需要Wireshark的帮助有以下几种可能让您有兴趣的方法(当然还包括这本书)。 网站通过访问http:wwwwiresharkorg你将会发现关于Wireshark许多有用的信息。 百科全书WiresharkWiki(http:wikiwiresharkorg)提供广泛的跟Wireshark以及捕捉包有关信息。你将会发现一些没有被包括在本书内信息例如:wiki上有解释如何在交换网络捕捉包同时我们正努力建立协议参考等等。最好的事情是如果对某些知识有独到见解(比如您精通某种协议)您可以通过浏览器编辑它。 FAQ最经常被问到的问题“FrequentlyAskedQuestions”提供一个经常被问到的问题以及答案的列表。ReadTheFAQ在您发送任何邮件到邮件列表之前确信您已经阅读了FAQ因为这里面很可能已经提供了您想问的问题答案。这将大大节约您的时间(记住有很多人提交了大量的邮件)。 邮件列表下面的几个几个邮件列表分别属于不同的主题:Wiresharkusers这是一个Wireshark用户的列表大家提交关于安装和使用Wireshark的问题其它人(非常有用)提供的答案。(译者注:其他人当然也是指用户?)wiresharkannounce这是一个关于程序发布信息的列表通常每周出现一次。wiresharkdev这是一个关于Wireshark开发的邮件列表如果开始开发协议分析可以从加入该列表你可以通过网站http:wwwwiresharkorg订阅每个邮件列表简单点击网站左手边的邮件列表链接就可以。邮件同样在网站上可以看到存档。提示你可以搜索存档看看有没有人问过跟你一样的问题或许您的问题已经有了答案。这样您就不必提交邮件以等待别人答复您了。 报告问题注意在您提交任何问题之前请确定您安装的是最新版本的Wireshark。当您提交问题的时候如果您提供如下信息将会对解决问题很有帮助。​ Wireshark的版本及其依赖的库的版本如GTK等等。你可以通过Wireshark–v命令获得版本号。(估计是UNIXLinux平台)。​ 运行Wireshark的平台信息。​ 关于问题的详细描述。​ 如果您得到错误或者警告信息拷贝错误信息的文本(以及在此之前或之后的文本如果有的话)这样其他人可能会发现发生问题的地方。请不要发送诸如:“Igotawarningwhiledoingx”因为这样看起来不是个好主意。不要发送大文件不要发送过大的文件(>KB)到邮件列表在邮件中附加一个能提供足够数据的记事本就可以。大文件会让很多邮件列表里的那些对您的问题不感兴趣的用户感到恼怒。如果需要你可以单独发送那些数据给对您问题真正感兴趣要求您发送数据的人。不要发送机密信息!如果您发送捕捉数据到邮件列表请确定它们不包含敏感或者机密信息比如密码或者诸如此类的。 在UNIXLinux平台追踪软件错误如果您发送捕捉数据到邮件列表请确定它们不包含敏感或者机密信息比如密码或者诸如此类的。你可以通过如下命令获得追踪信息:$gdb`whereiswireshark|cutfd:|cutd''f`core>bttxtbacktrace^D$注意在逐字输入第一行的字符!注意追踪是一个GDB命令。你可以在输完第一上以后输入它但是会没有相应^D命令(CTLD)将会退出GDB命令。以上命令让你在当前目录得到一个名为bttxt的文本文件它包含您的bug报告。注意如果您缺少GDB您必须检查您的操作系统的调试器。你可以发送追踪邮件到wiresharkdevATwiresharkorg邮件列表 在Windows平台追踪软件错误Windows下无法包含符号文件(pdb),它们非常大。因此不太可能创建十分有意义的追踪文件。你将汇报软件错误就像前面描述的其他问题一样。(这句不尽人意)译者注:因为不是入侵检测之用所以不会将入侵检测和普通通信区别对待但是都会体现在网络包里面如果您有足够的经验或许能通过监视网络包发现入侵检测译者注:原文“Thevaluesbelowaretheminimumrequirementsandonly"rulesofthumb"foruseonamoderatelyusednetwork”其中”rulesofthumb”中译名应该是拇指规则但网上关于拇指规则解释莫衷一是大致意思是说:大多数情况下适用但并非所有情况。这里翻译的有点别扭译者注:我对这句话的理解是正如播放电影一样高性能的处理器只会增强显示效果您并不需要将原来分钟的影片分钟之内看完。当然对减少延时还是有作用的。但是感觉这句有点阅读困难可能翻译的有点问题本段因为有很多协议程序开发方面的术语翻译得比较糟糕译者注:那句话的意思是我在XX时碰到一个警告信息译者注:原文是:"Typethecharactersinthefirstlineverbatim!Thosearebackticsthere!",Thosearebackticsthere!不知道是什么意思backtics=后勤抽搐?熟悉Linux的或许知道第  章 编译安装Wireshark 须知万事皆有开头Wireshark也同样如此。要想使用Wireshark你必须:​ 获得一个适合您操作系统的二进制包或者​ 获得源文件为您的操作系统编译。目前只有两到三种Linux发行版可以传送Wireshark而且通常传输的都是过时的版本。至今尚未有UNIX版本可以传输WiresharkWindows的任何版本都不能传输Wireshark基于以上原因你需要知道从哪能得到最新版本的Wireshark以及如何安装它。本章节向您展示如何获得源文件和二进制包如何根据你的需要编译Wireshark源文件。以下是通常的步骤:​ 下载需要的相关包例如:源文件或者二进制发行版。​ 将源文件编译成二进制包(如果您下载的是源文件的话)。这样做做可以整合编译和或安装其他需要的包。​ 安装二进制包到最终目标位置。 获得源你可以从Wireshark网站http:wwwwiresharkorg同时获取源文件和二进制发行版。选择您需要下载的链接然后选择源文件或二进制发行包所在的镜像站点(尽可能离你近一点的站点)。下载所有需要的文件!一般来说除非您已经下载Wireshark,如果您想编译Wireshark源文件您可能需要下载多个包。这些在后面章节会提到。注意当你发现在网站上有多个二进制发行版可用您应该选择适合您平台的版本他们同时通常会有多个版本紧跟在当前版本后面那些通常时拥有那些平台的用户编译的。基于以上原因您可能想自己下载源文件自己编译因为这样相对方便一点。 在UNIX下安装之前在编译或者安装二进制发行版之前您必须确定已经安装如下包:​ GTK,TheGIMPToolKit您将会同样需要Glib它们都可以从wwwgtkorg获得。​ Libpcap,Wireshark用来捕捉包的工具您可以从wwwtcpdumporg获得。根据您操作系统的不同您或许能够安装二进制包如RPMs或许您需要获得源文件并编译它。如果您已经下载了GTK源文件例 “从源文件编译GTK”提供的指令对您编译有所帮助。例  从源文件编译GTKgzipdcgtktargz|tarxvf<muchoutputremoved>configure<muchoutputremoved>makeinstall<muchoutputremove>注意您可能需要修改例 “从源文件编译GTK”中提供的版本号成对应您下载的GTK版本。如果GTK的目录发生变更您同样需要修改它。tarxvf显示您需要修改的目录。注意如果您使用Linux,或者安装了GUNtar您可以使用tarzxvfgtktargz命令。同样也可能使用gunzip–c或者gzcat而不是许多UNIX中的gzip–dc注意如果您在windows中下载了gtk或者其他文件。您的文件可能名称为:gtktargz如果在执行例 “从源文件编译GTK”中的指令时有错误发生的话你可以咨询GTK网站。如果您已经下载了libpcap源一般指令如例 “编译、安装libpcap”显示的那样会帮您完成编译。同样如果您的操作系统不支持tcpdump,您可以从tcpdump网站下载安装它。例  编译、安装libpcapgzipdclibpcaptarZ|tarxvf<muchoutputremoved>cdlibpcapconfigure<muchoutputremoved>make<muchoutputremoved>makeinstall<muchoutputremoved>注意Libpcap的目录需要根据您的版本进行修改。tarxvf命令显示您解压缩的目录。RedHatx及其以上版本环境下(包括基于它的发行版如Mandrake),您可以直接运行RPM安装所有的包。大多数情况下的Linux需要安装GTK和Glib反过来说你可能需要安装所有包的定制版。安装命令可以参考例 “在RedHatLinux或者基于该版本得发行版下安装需要的RPM包”。如果您还没有安装您可能需要安装需要的RPMs。例  在RedHatLinux或者基于该版本得发行版下安装需要的RPM包cdmntcdromRedHatRPMSrpmivhglibirpmrpmivhglibdevelirpmrpmivhgtkirpmrpmivhgtkdevelirpmrpmivhlibpcapirpm注意如果您使用RedHat之后的版本需要的RMPs包可能已经变化。您需要使用正确的RMPs包。在Debian下您可以使用aptge命令。aptget将会为您完成所有的操作。参见例 “在Deban下安装Deb”例  在Deban下安装Debaptgetinstallwiresharkdev 在UNIX下编译Wireshark如果在Unix操作系统下可以用如下步骤编译Wireshark源代码:​ 如果使用Linux则解压gzip'dtar文件,如果您使用UNIX则解压GUNtar文件。对于Linux命令如下:tarzxvfwiresharktargz对于UNIX版本命令如下gzipdwiresharktargztarxvfwiresharktar注意使用管道命令行gzip–dcWiresharktargz|tarxvf同样可以注意如果您在Windows下下载了Wireshark,你会发现文件名中的那些点变成了下划线。​ 将当前目录设置成源文件的目录。​ 配置您的源文件以编译成适合您的Unix的版本。命令如下:configure如果找个步骤提示错误您需要修正错误然后重新configure解决编译错误可以参考第  节“解决UNIX下安装过程中的问题”​ 使用make命令将源文件编译成二进制包例如:make​ 安装您编译好的二进制包到最终目标使用如下命令:makeinstall一旦您使用makeinstall安装了Wireshark,您就可以通过输入Wireshark命令来运行它了。 在UNIX下安装二进制包一般来说在您的UNIX下安装二进制发行包使用的方式根据您的UNIX的版本类型而各有不同。例如AIX下您可以使用smit安装TruUNIX您可以使用setld命令。 在Linux或类似环境下安装RPM包使用如下命令安装WiresharkRPM包rpmivhwiresharkirpm如果因为缺少Wireshark依赖的软件而导致安装错误请先安装依赖的软件然后再尝试安装。REDHAT下依赖的软件请参考例 “在RedHatLinux或者基于该版本得发行版下安装需要的RPM包” 在Debian环境下安装Deb包使用下列命令在Debian下安装WiresharkaptgetinstallWiresharkaptget会为您完成所有的相关操作 在GentooLinux环境下安装Portage使用如下命令在GentooLinux下安装wireshark以及所有的需要的附加文件USE="adnsgtkipvportaudiosnmpsslkerberosthreadsselinux"emergewireshark 在FreeBSD环境下安装包使用如下命令在FreeBSD下安装Wiresharkpkgaddrwiresharkpkgadd会为您完成所有的相关操作 解决UNIX下安装过程中的问题安装过程中可能会遇到一些错误信息。这里给出一些错误的解决办法:如果configure那一步发生错误。你需要找出错误的原因您可以检查日志文件configlog(在源文件目录下)看看都发生了哪些错误。有价值的信息通常在最后几行。一般原因是因为您缺少GTK环境或者您的GTK版本过低。configure错误的另一个原因是因为因为缺少libpcap(这就是前面提到的捕捉包的工具)。另外一个常见问题是很多用户抱怨最后编译、链接过程需要等待太长时间。这通常是因为使用老式的sed命令(比如solaris下传输)。自从libtool脚本使用sed命令建立最终链接命令常常会导致不可知的错误。您可以通过下载最新版本的sed解决该问题http:directoryfsforgGNUsedhtml如果您无法检测出错误原因。发送邮件到wiresharkdev说明您的问题。当然邮件里要附上configlog以及其他您认为对解决问题有帮助的东西例如make过程的追踪。 在Windows下编译源在Windows平台下我们建议最好是使用二进制包直接安装除非您是从事Wireshark开发的。如果想了解关于Windows下编译安装Wireshark请查看我们的开发WIKI网站http:wikiwiresharkorgDevelopment来了解最新的开发方面的文档。 在Windows下安装Wireshark本节将探讨在Windows下安装Wireshark二进制包。 安装Wireshark您获得的Wireshark二进制安装包可能名称类似WiresharksetupxyzexeWireshark安装包包含WinPcap,所以您不需要单独下载安装它。您只需要在http:wwwwiresharkorgdownloadhtml#releases下载Wireshark安装包并执行它即可。除了普通的安装之外还有几个组件供挑选安装。提示:尽量保持默认设置如果您不了解设置的作用的话。选择组件Wireshark(包括GTK和GTK接口无法同时安装):如果您使用GTK的GUI界面遇到问题可以尝试GTK在Windows下色(bit)显示模式无法运行GTK但是某些高级分析统计功能在GTK下可能无法实现。​ WiresharkGTKWireshark是一个GUI网络分析工具​ WiresharkGTKWireshark是一个GUI网络分析工具(建议使用GTKGUI模组工具)​ GTKWimpGTKWimp是诗歌GTK窗口模拟(看起来感觉像原生windows程序推荐使用)​ TSsharkTShark是一个命令行的网络分析工具插件扩展(Wireshark,TShark分析引擎):​ DissectorPlugins分析插件:带有扩展分析的插件​ TreeStatisticsPlugins树状统计插件:统计工具扩展​ MateMetaAnalysisandTracingEngine(experimental):可配置的显示过滤引擎参考http:wikiwiresharkorgMate​ SNMPMIBs:SNMPMIBS的详细分析。Tools工具(处理捕捉文件的附加命令行工具User’sGuide用户手册本地安装的用户手册。如果不安装用户手册帮助菜单的大部分按钮的结果可能就是访问internet​ EditcapEditcapisaprogramthatreadsacapturefileandwritessomeorallofthepacketsintoanothercapturefileEditcap是一个读取捕捉文件的程序还可以将一个捕捉文件力的部分或所有信息写入另一个捕捉文件。(文件合并or插入?)​ TextPcapTextpcapisaprogramthatreadsinanASCIIhexdumpandwritesthedataintoalibpcapstylecapturefileTexpcap是一个读取ASCIIhex写入数据到libpcap个文件的程序。​ MergecapMergecapisaprogramthatcombinesmultiplesavedcapturefilesintoasingleoutputfileMergecap是一个可以将多个播捉文件合并为一个的程序。​ CapinfosCapinfosisaprogramthatprovidesinformationoncapturefilesCapinfos是一个显示捕捉文件信息的程序。“AdditionalTasks”页​ StartMenuShortcuts开始菜单快捷方式增加一些快捷方式到开始菜单​ DesktopIcon桌面图标增加Wireshark图标到桌面​ QuickLaunchIcon快速启动图标增加一个Wireshark图标到快速启动工具栏​ AssociatefileextensionstoWiresharkWireshark文件关联将捕捉包默认打开方式关联到WiresharkInstallWinPcap”页Wireshark安装包里包含了最新版的WinPcap安装包。如果您没有安装WinPcap。您将无法捕捉网络流量。但是您还是可以打开以保存的捕捉包文件。​ CurrentlyinstalledWinPcapversion当前安装的WinPcap版本​ InstallWinPcapxx如果当前安装的版本低于Wireshark自带的该选项将会是默认值。​ StartWinPcapservice"NPF"atstartup将WinPcap的服务NPF在启动时运行这样其它非管理员用户就同样可以捕捉包了。更多关于WinPcap的信息:​ Wireshark相关http:wikiwiresharkorgWinPcap​ WinPcap官方网站:http:wwwwinpcaporg安装命令选项您可以直接在命令行运行安装包不加任何参数这样会显示常用的参数以供交互安装。在个别应用中可以选择一些参数定制安装:​ NCRC禁止CRC校检​ S静默模式安装或卸载Wireshark注意:静默模式安装时不会安装WinPcap!​ desktopicon安装桌面图标desktopicon=yes表示安装图标反之则不是适合静默模式。​ quicklaunchicon将图标安装到快速启动工具栏=yes安装到工具栏=no不安装不填按默认设置。​ D设置默认安装目录($INSTDIR),首选安装目录和安装目录注册表键值该选项必须设置到最后。即使路径包含空格例  wiresharksetupexeNCRCSdesktopicon=yesquicklaunchicon=noD=C:ProgramFilesFoo 手动安装WinPcap注意事先声明Wireshark安装时会谨慎对待WinPcap的安装所以您通常不必担心WinPcap。下面的WinPcap仅适合您需要尝试未包括在Wireshark内的不同版本WinPcap。例如一个新版本的WinPcap发布了您需要安装它。单独的WinPcap版本(包括alphaorbeta版)可以在下面地址下载到​ WinPcap官方网站:http:wwwwinpcaporg​ Wiretappednet镜像站点:http:wwwmirrorswiretappednetsecuritypacketcapturewinpcap在下载页面您将会发现WinPcap的安装包名称通常类似于”autoinstaller”。它们可以在NTXPvista下安装。 更新Wireshark有时候您可能想将您的WinPcap更新到最新版本如果您订阅了Wireshark通知邮件您将会获得Wireshark新版本发布的通知见第  节“邮件列表”。新版诞生通常需要周。更新Wireshark就是安装一下新版本。下载并安装它就可以。更新通常不需要重新启动也不会更改过去的默认设置 更新WinPcapWinPcap的更新不是十分频繁通常一年左右。新版本出现的时候您会收到WinPcap的通知。更新WinPcap后需要重新启动。警告 卸载Wireshark你可以用常见方式卸载Wireshark,使用添加删除程序选择”Wireshark”选项开始卸载即可。Wireshark卸载过程中会提供一些选项供您选择卸载哪些部分默认是卸载核心组件但保留个人设置和WinPcapWinPcap默认不会被卸载因为其他类似Wireshark的程序有可能同样适用WinPcap 卸载WinPcap你可以单独卸载WinPcap,在添加删除程序选择”WinPcap”卸载它。注意卸载WinPcap之后您将不能使用Wireshark捕捉包。在卸载完成之后最好重新启动计算机。译者注:看到别人翻译Pipelin之类的似乎就是叫管道不知道是否准确译者注:本人不熟悉UNIXLINUX这一段翻译的有点云里雾里可能大家通过这部分想安装Wireshark会适得其反那就对不住了。下面个人说一下UNIXLINUX下安装方法。UNIXLINUX下安装时有两种安装方式是下载源码包自己编译这种方式的好处是因为下载源码包是单一的可以自行加以修改编译就是适合自己平台的了。、是利用已经做好的发行包直接安装这种方法的好处是只要下载到跟自己平台对应的就可以但缺点也在这里不是每个平台都能找到合适的。不管是编译安装还是使用发行包安装都需要有一些有些基本基本支持。比如Linux下的GTK支持捕捉包时需要用的libpcap这一点可以参考第  节“在UNIX下安装之前”。编译的一般步骤是解压编译安装(tarzxvfWiresharktargzmakemakeinstall)直接安装则是根据各自平台安装的特点。涉及到过多的名次软件又没有中文版这里及以后尽量不翻译名称第  章 用户界面 须知现在您已经安装好了Wireshark,几乎可以马上捕捉您的一个包。紧接着的这一节我们将会介绍:​ Wireshark的用户界面如何使用​ 如何捕捉包​ 如何查看包​ 如何过滤包​ ……以及其他的一些工作。 启动Wireshark你可以使用Shell命令行或者资源管理器启动Wireshark提示开始Wireshark时您可以指定适当的参数。参见第  节“从命令行启动Wireshark”注意在后面的章节中将会出现大量的截图因为Wireshark运行在多个平台并且支持多个GUIToolkit(GTKxx),您的屏幕上显示的界面可能与截图不尽吻合。但在功能上不会有实质性区别。尽管有这些区别也不会导致理解上的困难。 主窗口先来看看图 “主窗口界面”大多数打开捕捉包以后的界面都是这样子(如何捕捉打开包文件随后提到)。图  主窗口界面和大多数图形界面程序一样Wireshark主窗口由如下部分组成:​ 菜单(见第  节“主菜单”)用于开始操作。​ 主工具栏(见第  节“"Main"工具栏”)提供快速访问菜单中经常用到的项目的功能。​ Fitertoolbar过滤工具栏(见第  节“"Filter"工具栏”)提供处理当前显示过滤得方法。(见:”浏览时进行过滤”)​ PacketList面板(见第  节“"PcaketList"面板”)显示打开文件的每个包的摘要。点击面板中的单独条目包的其他情况将会显示在另外两个面板中。​ Packetdetail面板(见第  节“"PacketDetails"面板”)显示您在Packetlist面板中选择的包德更多详情。​ Packetbytes面板(见第  节“"PacketByte"面板”)显示您在Packetlist面板选择的包的数据以及在Packetdetails面板高亮显示的字段。​ 状态栏(见第  节“状态栏”)显示当前程序状态以及捕捉数据的更多详情。注意主界面的三个面版以及各组成部分可以自定义组织方式。见第  节“首选项” 主窗口概述Packetlist和Detail面版控制可以通过快捷键进行。表 “导航快捷键”显示了相关的快捷键列表。表 “"GO"菜单项”有关于快捷键的更多介绍表  导航快捷键快捷键描述Tab,ShiftTab在两个项目间移动例如从一个包列表移动到下一个Down移动到下一个包或者下一个详情Up移动到上一个包或者上一个详情CtrlDown,F移动到下一个包即使焦点不在Packetlist面版CtrlUP,F移动到前一个报即使焦点不在Packetlist面版Left在PactectDetail面版关闭被选择的详情树状分支。如果以关闭则返回到父分支。Right在PacketDetail面版打开被选择的树状分支BackspacePacketDetail面版返回到被选择的节点的父节点Return,EnterPacketDetail面版固定被选择树项目。另外在主窗口键入任何字符都会填充到filter里面。 主菜单Wireshark主菜单位于Wireshark窗口的最上方。图 “主菜单”提供了菜单的基本界面。图  主菜单主菜单包括以下几个项目:File包括打开、合并捕捉文件save保存,Print打印,Export导出捕捉文件的全部或部分。以及退出Wireshark项见第  节“"File"菜单”Edit包括如下项目:查找包时间参考标记一个多个包设置预设参数。(剪切拷贝粘贴不能立即执行。)见第  节“"Edit"菜单”View控制捕捉数据的显示方式包括颜色字体缩放将包显示在分离的窗口展开或收缩详情面版的地树状节点……见第  节“"View"菜单”GO包含到指定包的功能。见第  节“"Go"菜单”Capture允许您开始或停止捕捉、编辑过滤器。见第  节“"Capture"菜单”Analyze包含处理显示过滤允许或禁止分析协议配置用户指定解码和追踪TCP流等功能。见第  节“"Analyze"菜单”Statistics包括的菜单项用户显示多个统计窗口包括关于捕捉包的摘要协议层次统计等等。见第  节“"Statistics"菜单”Help包含一些辅助用户的参考内容。如访问一些基本的帮助文件支持的协议列表用户手册。在线访问一些网站“关于”等等。见第  节“"Help"菜单”本章链接介绍菜单的一般情况更详细的介绍会出现在后续章节。提示你可以直接点击访问菜单项也可以使用热键热键显示在菜单文字描述部分。例如:您可以使用CTRK打开捕捉对话框。 "File"菜单WireSharkFile菜单包含的项目如表表 “File菜单介绍”所示图  File菜单表  File菜单介绍菜单项快捷键描述OpenCtrO显示打开文件对话框让您載入捕捉文件用以浏览。见第  节“打开捕捉文件对话框”OpenRecent 弹出一个子菜单显示最近打开过的文件供选择。Merg 显示合并捕捉文件的对话框。让您选择一个文件和当前打开的文件合并。见第  节“合并捕捉文件”CloseCtrlW关闭当前捕捉文件如果您未保存系统将提示您是否保存(如果您预设了禁止提示保存将不会提示)SaveCrlS保存当前捕捉文件如果您没有设置默认的保存文件名Wireshark出现提示您保存文件的对话框。详情第  节“"saveCaptureFileAs保存文件为"对话框”注意如果您已经保存文件该选项会是灰色不可选的。注意您不能保存动态捕捉的文件。您必须结束捕捉以后才能进行保存SaveAsShiftCtrlS让您将当前文件保存为另外一个文件面将会出现一个另存为的对话框(参见第  节“"saveCaptureFileAs保存文件为"对话框”)FileSet>ListFiles 允许您显示文件集合的列表。将会弹出一个对话框显示已打开文件的列表,参见第  节“文件集合”FileSet>NextFile 如果当前載入文件是文件集合的一部分将会跳转到下一个文件。如果不是将会跳转到最后一个文件。这个文件选项将会是灰色。Fileset>PreviousFiles 如果当前文件是文件集合的一部分将会调到它所在位置的前一个文件。如果不是则跳到文件集合的第一个文件同时变成灰色。Export>as“PlainText”File… 这个菜单允许您将捕捉文件中所有的或者部分的包导出为plainASCIItext格式。它将会弹出一个Wireshark导出对话框,见第  节“"ExportasPlainTextFile"对话框”Export>as"PostScript"Files 将捕捉文件的全部或部分导出为PostScrit文件。将会出现导出文件对话框。参见第  节“"ExportasPostScriptFile"对话框”Export>as"CVS"(CommaSeparatedValuesPacketSummary)File 导出文件全部或部分摘要为cvs格式(可用在电子表格中)。将会弹出导出对话框,见第  节“"ExportasCSV(CommaSeparatedValues)File"对话框”。Export>as“PSML”File… 导出文件的全部或部分为PSML格式(包摘要标记语言)XML文件。将会弹出导出文件对话框。见第  节“"ExportasPSMLFile"对话框”Exportas"PDML"File 导出文件的全部或部分为PDML(包摘要标记语言)格式的XML文件。将会弹出一个导出文件对话框,见第  节“"ExportasPDMLFile"对话框”Export>SelectedPacketBytes… 导出当前在Packetbyte面版选择的字节为二进制文件。将会弹出一个导出对话框。见第  节“"Exportselectedpacketbytes"对话框”PrintCtrP打印捕捉包的全部或部分将会弹出打印对话框。见第  节“打印包”QuitCtrlQ退出Wireshark,如果未保存文件Wireshark会提示是否保存。 "Edit"菜单Wireshark的"Edit"菜单包含的项目见表 “Edit菜单项”图  "Edit"菜单表  Edit菜单项菜单项快捷键描述Copy>AsFilterShiftCtrlC使用详情面版选择的数据作为显示过滤。显示过滤将会拷贝到剪贴板。FindPacketCtrF打开一个对话框用来通过限制来查找包见FindNextCtrlN在使用Findpacket以后使用该菜单会查找匹配规则的下一个包FindPreviousCtrB查找匹配规则的前一个包。MarkPacket(toggle)CtrlM标记当前选择的包。见第  节“标记包”FindNextMarkShiftCtrlN查找下一个被标记的包FindPreviousMarkCtrlShiftB查找前一个被标记的包MarkALLPackets 标记所有包Un

用户评论(0)

0/200

精彩专题

上传我的资料

每篇奖励 +2积分

资料评价:

/88
1下载券 下载 加入VIP, 送下载券

意见
反馈

立即扫码关注

爱问共享资料微信公众号

返回
顶部