当前位置:首页 > Wireshark使用指导书
206063526.docx 内部公开
File:保存抓包文件到用户指定的文件位置。如果不指定,Wireshark将保存抓包数据到一个临时文件中。
Use multiple files:保存Wireshark抓包文件到多个文件中,防止单个抓包文件超大。当需要长时间抓包,或者抓包流量非常大的时候建议使用。下面是多个文件分割的条件:
第一个选项,达到一定的大小即转存文件; 第二个选项,达到一定的时间即转存文件;
第三个选项,文件重复覆盖,达到设定的文件个数时开始从头覆盖旧文件; 第四个选项,保存文件的最大数量,达到此文件数量即停止抓包。 ? 自动停止抓包选项
顾名思义,达到设定的包数量/字节数/时间即自动停止抓包。 ? 显示选项
Update list of packets in real time:实时更新抓包,如果不勾选,抓包数据在停止抓包后才会显示出来。
Automatic scrolling in live capture:抓包时自动滚屏。 Hide capture info dialog:是否在抓包时隐藏如下信息框:
2014-2-21
华为机密,未经许可不得扩散 第9页, 共47页
206063526.docx 内部公开
? 名称解析
Enable MAC name resolution:主要是否允许根据MAC地址解析制造商
Enable network name resolution:是否允许根据IP地址通过DNS解析主机名
Enable transport name resolution:是否允许根据TCP/UDP端口解析知名协议
3.1.2 捕捉滤波器
Wireshark的捕捉滤波器使用libpcap滤波语言,主要是通过and/or/not三个连接符将各个原语表达式连接起来,其格式如下:
[not] primitive [and|or [not] primitive ...]
经常使用的过滤表达式也可以点击Capture Filter后保存下来,方便以后作为固定规则使用。
2014-2-21
华为机密,未经许可不得扩散 第10页, 共47页
206063526.docx 内部公开
下面举例说明一些常用的过滤规则: ? 按地址过滤
host x.x.x.x 不区分源IP还是目的IP,只要包含此IP的数据包全部过滤出来; src host x.x.x.x 按源IP过滤;
ether host yy:yy:yy:yy:yy:yy 按MAC地址过滤; ? 按协议过滤
直接输入协议类型即可,如tcp, udp, ip, icmp, arp等等; ? 按端口过滤
port 8080 过滤8080端口的数据;
3.2 使用其它软件采集数据
Wireshark支持丰富的文件格式,具体支持的文件格式可以在帮助文档中查阅。由于Wireshark通过pcap实现抓包,因此可以利用同样使用pcap的程序来采集数据再导入到Wireshark中进行分析,譬如tcpdump、CA NetMaster、Microsoft Network Monitor。
3.2.1 Windows 7下Wireshark抓包找不到Huawei E398虚拟网卡,利用MS
Network Monitor采集数据
Win7下E398使用WWAN(Wireless Wide Area Network无线广域网)驱动会注册为移动网络设备,这时候Wireshark可能不能识别E398的网络接口导致无法使用Wireshark来抓包。由于Wireshark支持多种文件格式的解析,遇到这种情况可以使用MS Network Monitor
2014-2-21
华为机密,未经许可不得扩散
第11页, 共47页
206063526.docx 内部公开
来抓包再导入Wireshark进行分析。
Wireshark无法识别E398对应的网络接口:
使用MS Network Monitor则没有问题:
MS Network Monitor的使用比较简单,安装完成后启动程序,选择E398对应的网络接口,点击New Capture然后点击Start即可开始抓包。还可以通过菜单Tools -> Options做类似Wireshark的抓包选项基本配置。
4 软件设置
4.1 Wireshark基本界面
如下图,Wireshark的基本界面如下,分为Menu(菜单栏),Main toolbar(主工具栏),Filter toolbar(显示滤波器工具栏),Packet list pane(包列表显示区),Packet details pane(包协议解析区),Packet bytes pane(二进制码流区),status bar(状态栏)七个部分。
2014-2-21
华为机密,未经许可不得扩散 第12页, 共47页
本文作者:...共分享92篇相关文档
