首页> 系统技术> Wireshark捕获数据包与快速分析

[文章]Wireshark捕获数据包与快速分析

收藏
0 432 0

Wireshark捕获数据包与快速分析

 

     Wireshark的安装与接口管理

1.下载与安装

软件包下载地址:www.wireshark.org

安装步骤不作详述,保持缺省配置一路NEXT完成安装。

2.接口类型

一台计算机往往有多个网络接口。在捕获数据包之前,先需要指定捕获数据所使用的网络接口。在指定网络接口前,需要了解每种接口可以接收的数据包,才可以成功捕获到需要的数据包。

 

打开wireshark开始页面上面就能看到当前扫描到的所有本地接口列表,点击菜单栏“捕获——选项”,打开捕获接口菜单,点击右下角的“管理接口”选项,便可打开管理接口栏目。





 

Wireshark提供了3种接口类型,分别是本地接口、管道接口和远程接口。用户通过指定不同类型的接口,可以捕获不同设备的数据包。

1.      本地接口简单理解就是本地网卡接口,使用本地接口只能捕获经过本地网络接口的数据包。

2.      管道接口使用场景:例如用户所在的位置不能使用Wireshark捕获数据,可以借助其他命令行(如tcpdumpdumpcap等)工具来捕获数据包。然后使用管道接口方式,将捕获到的数据发送给Wireshark

3.      远程接口是指远程客户端通过网络将数据传递给本地接口。用户只要在远程主机上安装相应的rpcapd服务,就可以实现在本地计算机上执行Wireshark,捕获远程计算机的流量。

以下介绍常用到的本地接口与远程接口捕获数据包的两种方式。

     本地捕获数据包

启动Wireshark后,将显示Wireshark的开始界面,其中间显示的就是扫描到的所有本地接口列表,其中,网络接口对应的线条格式为波浪时,则表示有数据传输,如果是直线的话,则表示没有数据传输。此时,选择一个接口,并单击左上角工具栏中的“开始捕获分组”按钮,将开始捕获数据包。或者,直接双击选择的网络接口,也可以直接开始捕获其数据包。另外,通过按住Ctrl键可以同时捕获多个接口的数据包。


 

点击菜单栏“捕获——选项”,打开捕获接口菜单,可以看到里面有一个“混杂”的选项。所谓混杂模式,表示捕获当前主机以外的其他主机数据包。一般情况下,为了减少分析数据包的复杂度,不建议开启“混杂”模式。


 

按照上述方法,开始对本地Ethernet 0 接口进行捕获数据包


 

单击左上角工具栏中的“停止捕获分组”按钮,可停止捕获数据包。点击菜单栏中的“文件——保存”,可保存捕获到的数据包。

     远程捕获数据包

1.安装rpcapd服务

要使用远程接口捕获数据包,则需要在远程主机上安装rpcapd服务,以下以Windows环境下介绍。

安装WinPcap工具,即会安装上rpcapd服务,工具下载地址:https://www.winpcap.org。安装后rpcapd服务默认是没有开启的,需要手动启用。


 

查看IP与端口状态(rpcapd服务默认监听的端口为2002),如下图显示,当前主机正在监听2002端口,rpcapd服务启动成功



2.添加远程接口

在远程主机上安装rpcapd服务后,即可在Wireshark中远程连接该服务,即添加远程接口,然后通过该远程接口来捕获远程主机的数据包

点击菜单“捕获——选项——管理接口——远程接口”,打开远程接口管理界面


单击左下角的添加按钮,填入远程主机的IP和端口信息


从“远程接口”选项卡中可以看到成功添加的远程接口


 

通过查看远程主机的设备ID,可以看到这两个分别对应的是什么接口


 

成功添加接口后,回到wireshark开始页面,此时能看到刚刚添加的两个远程接口,选择该接口,便可捕获远程主机的数据包


 


 

     快速分析

当成功捕获一个数据包文件后,即可对该捕获文件中的数据包进行分析。本文介绍对数据包进行快速分析,以获取关联的地址、协议构成和数据包长度等相关内容。

1.关联地址

这里的关联地址是指网络在一些信息上的对应关系,如IP地址对应的主机名;端口对应的服务名等。在菜单栏中,点击“统计——已解析的地址”,便可打开“解析后的地址”窗口,查看解析的主机条目和服务条目等相关信息。

2.协议构成

协议构成显示了捕获文件中包括的所有协议。通过分析协议构成,可以知道是否有自己预期的协议。另外,还可以通过分析协议构成,判断出捕获到哪些程序包。

在菜单栏中,点击“统计——协议分级”,打开“协议分级统计”窗口。


从“协议分级统计”对话框中可以看到共包括9列,每列的含义如下:

协议:数据包所归属的协议名称。

按分组百分比:抓包文件中所含数据包个数在每一种协议类型中的占比情况。

分组:每一种协议类型数据包的个数。

按字节百分比:抓包文件中所含数据包字节数在每一种协议类型中的占比情况。

字节:每一种协议类型数据包的字节数。

比特/秒:某种协议类型的数据包在抓包时段内的传输速率。

结束分组:隶属于该协议类型的数据包的纯粹数量。例如,TCP纯粹指的是TCP头部,之后没有高层协议头部,如HTTP头等。

结束字节:隶属于该协议类型的数据包的纯粹字节数。

结束位/秒:隶属于该协议类型的数据包在抓包时段内的纯粹传输速率。

当用户了解“协议分级统计”对话框中每列的含义后,就可以对捕获文件中的协议进行分析,如当前捕获文件中的协议有Frame(帧)、Ethernet(以太网协议)、Internet Protocol Version 4IPv4协议)、User Datagram ProtocolUDP协议)、Transmission Control ProtocolTCP协议)、Hypertext Transfer Protocl HTTP)、Data(数据)和Address Resolution ProtocolARP协议)。

3.数据包长度

在网络中每个传输的数据包大小都不同。在Wireshark中,可以快速分析数据包长度,以了解哪些包比较大。其中,长度最大的数据包中,则可能传输了比较重要的数据。所以,通过分析数据包长度,可知哪些包中传输了数据,哪些是空包。

在菜单栏中点击“统计——分组长度”,打开分组长度窗口。


在分组长度对话框中共包括9列信息,每列的含义如下:

Topic/Item:显示所有的包长度范围。

Count:显示该包长度范围对应的分组数。

Average:显示该范围内包长度平均值。

Min val:显示该范围内包长度最小值。

Max val:显示该范围内包长度最大值。

Rate(ms):显示该长度范围内数据包传输速率。

Percent:显示该长度范围内数据包所占百分比。

Burst rate:显示该长度范围内每毫秒发送的最大数据包数。

Burst start:显示该长度范围发送最大数据包的时间。

4.数据流量

通过快速分析数据流量,以找出哪个时间段发送的数据流量较大。通过设置不同的显示过滤器,可以构建不同的图表,以了解数据流量情况。当用户需要排查网络延迟问题时,使用这种方式非常有用。

在菜单栏中点击“统计——I/O图表”,打开“IO图表”窗口。


IO图表窗口中共包括3部分:第1部分以图表形式显示了数量流量情况;第2部分用来设置分组的显示方式;第3部分可以设置添加、删除图表及修改时间间隔等。

5.发包统计

在菜单栏中点击“统计——IPv4 Statistics——All Addresses”,查看发包统计数,以找出某主机发送的数据包最多。


在所在地址窗口中共包括9列,每列的含义如下:

Topic/Item:显示了捕获文件中所有的主机地址

Count:显示每个主机发送的数据包数。

Average:显示每个主机发送的数据包平均值。

Min val:显示每个主机发送的数据包最小值。

Max val:显示每个主机发送的数据包最大值。

Rate(ms):显示每个主机发送的数据包速率。

Percent:显示每个主机发送的数据包所占百分比。

Burst rate:显示每个主机每毫秒发送的突发数据包数。

Burst start:显示每个主机突发数据包的启动时间。

通过对以上信息进行分析,即可获取到每个主机的发包统计信息。

系统技术
最近热帖
{{item.Title}} {{item.ViewCount}}
近期热议
{{item.Title}} {{item.PostCount}}