GNU開發(fā)工具——WireShark網(wǎng)絡(luò)分析工具

GNU開發(fā)工具——WireShark網(wǎng)絡(luò)分析工具

一、WireShark網(wǎng)絡(luò)分析工具簡(jiǎn)介

1、WireShark簡(jiǎn)介

Wireshark是目前全球使用最廣泛的開源網(wǎng)絡(luò)封包分析軟件（前身為Ethereal），由Gerald Combs編寫并于1998年以GPL開源許可證發(fā)布。網(wǎng)絡(luò)封包分析軟件的功能是擷取網(wǎng)絡(luò)封包，并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)封包資料。

2、WireShark架構(gòu)

GUI：處理所有的用戶輸入輸出(所有窗體，對(duì)話框等)
Core：核心模塊，通過函數(shù)調(diào)用將其他模塊連接在一起
Epan：包分析引擎（WireShark Packetage Analyzing）
Protocol-Tree：負(fù)責(zé)獨(dú)立包的信息剖析。
Dissectors：存在于epan/dissectors目錄下的各種協(xié)議解析器，支持700+種協(xié)議解析，對(duì)于每種協(xié)議，×××都能識(shí)別出協(xié)議字段（field），并顯示出字段值（field value）。
Dissector Plugins：支持將解析器的具體實(shí)現(xiàn)作為獨(dú)立模塊存在。
Display-Filters：顯示過濾引擎，源碼在epan/dfilter目錄
Capture：抓包引擎接口，利用libpcap/WinPcap從底層抓取網(wǎng)絡(luò)數(shù)據(jù)包，libpcap/WinPcap提供了通用的抓包接口，能從不同類型的網(wǎng)絡(luò)接口(包括以太網(wǎng)，令牌環(huán)網(wǎng)，ATM網(wǎng)等)獲取數(shù)據(jù)包。
Wiretap：wiretap庫用于讀寫捕獲的文件，讀寫格式時(shí)libpcap、 pcapng或者其他類型的文件格式。
Dumpcap：捕獲引擎本身，執(zhí)行需要提升權(quán)限。
WinPcap/libpcap：提供不同平臺(tái)的包捕捉以及過濾支持功能的庫。

3、libpcap簡(jiǎn)介

WireShark使用libpcap/WinPCAP作為接口，直接與網(wǎng)卡進(jìn)行數(shù)據(jù)報(bào)文交換。
libpcap（Packet Capture Library），即數(shù)據(jù)包捕獲函數(shù)庫，是Unix/Linux平臺(tái)下的網(wǎng)絡(luò)數(shù)據(jù)包捕獲函數(shù)庫，是一個(gè)獨(dú)立于系統(tǒng)的用戶層包捕獲的API接口，為底層網(wǎng)絡(luò)監(jiān)測(cè)提供了一個(gè)可移植的框架。
WinPcap是一個(gè)專為Windows系統(tǒng)設(shè)計(jì)的、基于libpcap的庫。
地址：http://www.winpcap.org/。
libpcap是一個(gè)c庫，用于網(wǎng)絡(luò)抓包和過濾，源于tcpdump項(xiàng)目。tcpdump項(xiàng)目中抓包、過濾、capture file的讀寫的代碼被提取出來成為libpcap，由tcpdump項(xiàng)目的開發(fā)者維護(hù)。
libpcap主要由兩部份組成：網(wǎng)絡(luò)分接頭(Network Tap)和數(shù)據(jù)過濾器(Packet Filter)。網(wǎng)絡(luò)分接頭從網(wǎng)絡(luò)設(shè)備驅(qū)動(dòng)程序中收集數(shù)據(jù)拷貝，過濾器決定是否接收該數(shù)據(jù)包。Libpcap利用BSD Packet Filter(BPF)算法對(duì)網(wǎng)卡接收到的鏈路層數(shù)據(jù)包進(jìn)行過濾。BPF算法的基本思想是在有BPF監(jiān)聽的網(wǎng)絡(luò)中，網(wǎng)卡驅(qū)動(dòng)將接收到的數(shù)據(jù)包復(fù)制一份交給 BPF過濾器，過濾器根據(jù)用戶定義的規(guī)則決定是否接收此數(shù)據(jù)包以及需要拷貝該數(shù)據(jù)包的哪些內(nèi)容，然后將過濾后的數(shù)據(jù)給與過濾器相關(guān)聯(lián)的上層應(yīng)用程序。
libpcap的包捕獲機(jī)制就是在數(shù)據(jù)鏈路層加一個(gè)旁路處理。當(dāng)一個(gè)數(shù)據(jù)包到達(dá)網(wǎng)絡(luò)接口時(shí)，libpcap首先利用已經(jīng)創(chuàng)建的Socket從鏈路層驅(qū)動(dòng)程序中獲得該數(shù)據(jù)包的拷貝，再通過Tap函數(shù)將數(shù)據(jù)包發(fā)給BPF過濾器。BPF過濾器根據(jù)用戶已經(jīng)定義好的過濾規(guī)則對(duì)數(shù)據(jù)包進(jìn)行逐一匹配，匹配成功則放入內(nèi)核緩沖區(qū)，并傳遞給用戶緩沖區(qū)，匹配失敗則直接丟棄。如果沒有設(shè)置過濾規(guī)則，所有數(shù)據(jù)包都將放入內(nèi)核緩沖區(qū)，并傳遞給用戶層緩沖區(qū)。

二、WireShark快速抓包

1、WireShark主窗口

MENUS（菜單欄）：顯示打開文件的路徑名稱
SHORTCUTS（工具欄，快捷方式）：常用功能菜單的快捷方式
DISPLAY FILTER（顯示過濾器）：顯示過濾器設(shè)置
PACKET LIST PANE（封包列表)：封包列表
PACKET DETAILS PANE（封包詳細(xì)信息）：選中封包的詳細(xì)信息
DISSECTOR PANE（16進(jìn)制數(shù)據(jù)）：選中封包的16進(jìn)制數(shù)據(jù)
MISCELLANOUS（狀態(tài)欄，雜項(xiàng)）

2、網(wǎng)卡接口選擇

打開菜單欄Capture->Options，界面如下：

3、快速抓包

選擇網(wǎng)卡，點(diǎn)擊“開始抓包”按鈕。

4、停止抓包

點(diǎn)擊“停止抓包”按鈕，界面如下：

三、WireShark顯示設(shè)置

1、顯示設(shè)置

通過對(duì)顯示設(shè)置工具欄的按鈕進(jìn)行設(shè)置，可以放大、縮小、重置主界面的顯示區(qū)。

2、列設(shè)置

默認(rèn)列表顯示：序號(hào)、時(shí)間、源、目的、協(xié)議、長(zhǎng)度、信息
A、增加列
在封包詳細(xì)信息區(qū)的任意字段，如TTL，右鍵選擇菜單“Apply as Column”，將選擇的字段信息添加到封包列表區(qū)作為一列。

B、刪除列
在封包列表區(qū)的某列右鍵點(diǎn)擊，選擇“Remove This Column”菜單項(xiàng)，將該列從列表區(qū)刪除。

C、修改列
在封包列表區(qū)的某列右鍵點(diǎn)擊，選擇“Edit Column”菜單項(xiàng)，可以修改該列的名稱。

3、時(shí)間設(shè)置

A、時(shí)間格式設(shè)置
點(diǎn)擊菜單欄“View->Time Display Format”，選擇合適的時(shí)間顯示格式。

B、時(shí)間參考設(shè)置
選中封包列表區(qū)的Time列的某項(xiàng)，右鍵單擊菜單“Set/Unset Time Reference”設(shè)置該數(shù)據(jù)項(xiàng)為時(shí)間參考點(diǎn)，可以設(shè)置多個(gè)時(shí)間參考點(diǎn)。

4、名字解析

名字解析將MAC地址、IP地址、端口號(hào)等轉(zhuǎn)換成名字，方便記憶，默認(rèn)開啟MAC地址解析。
點(diǎn)擊菜單欄“Capture->Options->Options”，選中“Name Resolution”的三個(gè)復(fù)選框，如下圖：

四、WireShark數(shù)據(jù)包操作

1、標(biāo)記數(shù)據(jù)包

A、標(biāo)記/高亮數(shù)據(jù)包
在封包列表區(qū)選中某個(gè)封包，右鍵選擇“Mark/Unmark Packet”標(biāo)記/取消標(biāo)記高亮。

B、修改數(shù)據(jù)包顏色
在封包列表區(qū)單擊右鍵，選擇“Colorize Conversation->Ethernet->New Coloring Rule”菜單項(xiàng)，可以對(duì)Ethernet協(xié)議進(jìn)行具體的配色工作。

2、注釋數(shù)據(jù)包

在封包列表區(qū)的某個(gè)數(shù)據(jù)包上單擊鼠標(biāo)右鍵，選擇“Packet Comment”菜單項(xiàng)，對(duì)數(shù)據(jù)包進(jìn)行注釋。

3、合并數(shù)據(jù)包

點(diǎn)擊菜單欄“File->Merge”菜單項(xiàng)，彈出對(duì)話框，選擇要合并的數(shù)據(jù)包。
WireShark需要將當(dāng)前抓取的數(shù)據(jù)包保存為文件后才能和其他數(shù)據(jù)包合并。

4、導(dǎo)出數(shù)據(jù)包

可以導(dǎo)出特定的數(shù)據(jù)包，如過濾后的特定協(xié)議數(shù)據(jù)包、標(biāo)記數(shù)據(jù)包、特定范圍內(nèi)的數(shù)據(jù)包。

也可以導(dǎo)出數(shù)據(jù)包為其他格式文件。

五、WireShark參數(shù)設(shè)置

1、首選項(xiàng)設(shè)置

點(diǎn)擊菜單欄“Edit->Preference”菜單項(xiàng)，

主界面布局設(shè)置

封包列表區(qū)的列信息設(shè)置

字體和顏色設(shè)置

2、抓包選項(xiàng)設(shè)置

點(diǎn)擊菜單欄“Capture->Options”菜單項(xiàng)
A、網(wǎng)卡設(shè)置

B、多文件連續(xù)保存
創(chuàng)建一個(gè)文件名，開啟文件連續(xù)保存，如每個(gè)文件達(dá)到1M或每隔1分鐘存取一個(gè)文件。

C、名字解析設(shè)置
多文件連續(xù)保存時(shí)，可以選擇抓包停止的條件，抓取一定數(shù)量的數(shù)據(jù)包、抓取一定數(shù)量的文件時(shí)自動(dòng)停止抓包。選取MAC地址解析、TCP解析等功能。

六、WireShark過濾器

1、抓包過濾器

通過BPF（Berkeley Packet Filter）語法選擇性抓取某些特定條件的數(shù)據(jù)包。
類型：host、net、port
方向：src、dst
協(xié)議：ether、ip、tcp、udp、http、ftp
邏輯運(yùn)算符：與（&&）、或（||）、非（!）
A、ethernet過濾器
第二層過濾器，根據(jù)mac地址來進(jìn)行過濾???

ether?host?XX：抓取源和目的為指定的mac的以太網(wǎng)幀??
ether?dst?XX：抓取目的為指定mac的以太網(wǎng)幀??
ether?src?XX：抓取源為指定mac的以太網(wǎng)幀??
ether?broadcast:抓取所有以太網(wǎng)廣播流量??
ether?multicast:抓取多播流量??
ether?proto?<protocol>:抓取指定協(xié)議的以太網(wǎng)流量，比如以太網(wǎng)類型為0x0800,ether?proto?0800。以太網(wǎng)類型指的是以太網(wǎng)幀幀頭的ether-type字段，表示上層的協(xié)議類型。0x0800為ipv4、0x86dd為ipv6、0x0806為arp。?

ether host 00:88:ca:86:f8:0d
ether src host 00:88:ca:86:f8:0d
ether dst host 00:88:ca:86:f8:0d

B、主機(jī)和網(wǎng)絡(luò)過濾器，第三層過濾器??
ip或ipv6:抓取ipv4或ipv6流量??

host?<host>:抓取源或目的為指定主機(jī)名（網(wǎng)址）或ip的流量??
dst?host?<host>:抓取目的為指定主機(jī)名（網(wǎng)址）或ip的流量??
src?host?<host>:抓取源為指定主機(jī)名（網(wǎng)址）或ip的流量??
gateway?<host>：抓取穿越網(wǎng)關(guān)的流量，host必須是主機(jī)名。??
net?<net>:抓取源或目的為指定網(wǎng)絡(luò)號(hào)的流量，如：net?192.168.1或net?192.168.1.0??
dst?net?<net>:抓取目的為指定網(wǎng)絡(luò)號(hào)的流量??
src?net?<net>:抓取源為指定網(wǎng)絡(luò)號(hào)的流量??
net?<net>?mask?<netmask>:抓取源或目的由net和mask共同指明的ipv4網(wǎng)絡(luò)號(hào)的流量，ipv6流量無效。如：net?192.168.1.0?mask?255.255.255.0??
dst?net?<net>?mask?<netmask>:抓取目的由net和mask共同指明的ipv4網(wǎng)絡(luò)號(hào)的流量，ipv6流量無效。??
src?net?<net>?mask?<netmask>:抓取源由net和mask共同指明的ipv4網(wǎng)絡(luò)號(hào)的流量，ipv6流量無效。??
net?<net>/<len>:抓取源或目的為指定網(wǎng)絡(luò)和長(zhǎng)度的流量,如：net?192.168.1.0/24??
dst?net?<net>/<len>:抓取目的為指定網(wǎng)絡(luò)和長(zhǎng)度的流量??
src?net?<net>/<len>:抓取源為指定網(wǎng)絡(luò)和長(zhǎng)度的流量??
broadcast：抓取ip廣播包，通常如：ip?broadcast??
multicast:?抓取ip多播包??
ip?proto?<protocol?code>:抓取ip包頭協(xié)議類型字段值等于特定值的數(shù)據(jù)包。如：tcp為6，udp為17，icmp為1??
ip6?proto?<protocol>:?抓取ipv6包頭中下一個(gè)包頭字段值等于特定值的ipv6數(shù)據(jù)包。無法用該原詞根據(jù)ipv6擴(kuò)展包頭鏈中的相關(guān)字段值執(zhí)行過濾。??
icmp?[icmptype]==<identifier>:抓取特定類型[icmptype]的icmp數(shù)據(jù)包，<identifier>表示的是icmp頭部中的類型字段值，如，0（icmp?echo?reply數(shù)據(jù)包）或8（icmp?echo?request數(shù)據(jù)包）等。如：icmp[icmptype]==icmp-echo?或?icmp[icmptype]==8??
ip[2:2]==<number>:抓取指定長(zhǎng)度的ip數(shù)據(jù)包（number表示ip包頭中的ip包總長(zhǎng)度字段值）??
ip[8]==<number>:抓取具有指定ttl的ip數(shù)據(jù)包（number表示ip包頭中的ttl字段值）??
ip[9]==<number>:抓取指定協(xié)議類型的ip數(shù)據(jù)包（number表示ip包頭中的協(xié)議類型字段值）??
ip[12:4]==ip[16:4]：表示數(shù)據(jù)包源和目的ip相同??
注:中括號(hào)內(nèi)的數(shù)字表示相關(guān)協(xié)議頭部的內(nèi)容，第一個(gè)數(shù)字指從協(xié)議頭部的第幾個(gè)字節(jié)開始關(guān)注，第二個(gè)數(shù)字表示所要關(guān)注的字節(jié)數(shù)。
host 192.168.1.1
src host 192.168.1.1
dst host 192.168.1.1

C、tcp和udp及端口過濾，第四層?過濾器

port?<port>：匹配port指明的端口號(hào),如：port?80或port?http??
dst?port?<port>:目的端口號(hào)為指定的端口號(hào)??
src?port?<port>:源端口號(hào)為指定的端口號(hào)??
tcp?portrange?<p1>-<p2>或udp?portrange?<p1>-<p2>：用來抓取端口范圍介于p1和p2之間的tcp或udp數(shù)據(jù)包??。
tcp?src?portrange?<p1>-<p2>或udp?dst?portrange?<p1>-<p2>??。
tcp?[tcpflags]?&?(tcp-syn|tcp-fin)!=0：抓取tcp連接中用來發(fā)起連接（syn標(biāo)記位置1）或終止連接（FIN標(biāo)記位置1）的數(shù)據(jù)包?。
tcp?[tcpflags]?&(tcp-rst)!=0：抓取所有RST標(biāo)記位置1的TCP數(shù)據(jù)包，RST標(biāo)記位用來立刻拆除連接，PSH用來表示將數(shù)據(jù)提交給末端進(jìn)程處理。??
less?<length>：抓取不長(zhǎng)于指定長(zhǎng)度的數(shù)據(jù)包，寫法等價(jià)于：len?<=?<length>??
greater?<length>：抓取不短于標(biāo)識(shí)符指定的長(zhǎng)度的數(shù)據(jù)包，寫法等價(jià)于：len?>=?<length>??
tcp?portrange?2000-2500:抓取端口在這個(gè)范圍內(nèi)的tcp數(shù)據(jù)包?。
tcp[13]?&?0x00=0：抓取所有標(biāo)記位都未置1的tcp流量（在懷疑遭遇空掃描***時(shí)使用）?。
tcp[13]?&?0x01=1：抓取FIN位置1，但ACK位置0的TCP流量??
tcp[13]?&?0x03=3：抓取SYN和FIN位同時(shí)置1的TCP流量??
tcp[13]?&?0x05=5：抓取RST和FIN位同時(shí)置1的TCP流量??
tcp[13]?&?0x06=6：抓取SYN和RST位同時(shí)置1的TCP流量??
tcp[13]?&?0x08=8：抓取PSH位置1，但ACK位置0的TCP流量??
13指代TCP頭部中的標(biāo)記字段，‘=’號(hào)后面數(shù)字表示tcp標(biāo)記位的置位情況。0表示標(biāo)記位都沒置1，1表示FIN位置1，但ACK位置0，1+2表示SYN和FIN位同時(shí)置1，1+4表示RST和FIN同時(shí)置1，2+4表示SYN和RST同時(shí)置1，8表示PSH位置1，但ACK置0.??
port 80
! port 80
dst port 80
src port 80

D、復(fù)合過濾：
host 192.168.1.100 && port 8080
抓包過濾器在菜單欄“Capture->Options”

2、顯示過濾器

將抓取的數(shù)據(jù)包通過顯示過濾器過濾出某些特定的數(shù)據(jù)包。
邏輯操作符：and、or、xor、not
比較操作符：==、!=、>、<、>=、<=
IP地址：ip.addr、ip.src、ip.dst
端口：tcp.port、tcp.srcport、tcp.dstport、tcp.flag.syn、tcp.flag.ack
協(xié)議：arp、ip、icmp、tcp、udp、dns
過濾IP地址：

ip.addr == 192.168.1.1
ip.src == 192.168.1.1
ip.dst == 192.168.1.1
ip.src == 192.168.1.100 and ip.dst == 58.250.135.156

過濾端口：

tcp.port == 80
tcp.srcport == 80
tcp.dstport == 80
tcp.flag.syn == 1

過濾協(xié)議：

arp
tcp
udp
not http

復(fù)合過濾：

ip.src == 192.168.1.100 and tcp.dstport == 80
ip.addr == 192.168.1.106 and udp.port == 4000

七、WireShark高級(jí)功能

1、數(shù)據(jù)流追蹤

將TCP、UDP、SSL等碎片化的數(shù)據(jù)包進(jìn)行重組并完整呈現(xiàn)出來。
單擊菜單欄“Analyze->Follow->TCP Stream”或是選中某個(gè)TCP數(shù)據(jù)包右鍵菜單“Folow->TCP Stream”，查看數(shù)據(jù)流。

2、專家信息

可以對(duì)數(shù)據(jù)包中特定狀態(tài)進(jìn)行警告說明。
點(diǎn)擊菜單欄“Analyze->Expert Information”菜單項(xiàng)

根據(jù)對(duì)統(tǒng)計(jì)出的不同級(jí)別（Error、Warning、Note、Chat）的數(shù)據(jù)包，點(diǎn)擊相應(yīng)的數(shù)據(jù)包，主界面顯示區(qū)會(huì)跳到相應(yīng)的數(shù)據(jù)包并高亮標(biāo)記。

3、統(tǒng)計(jì)摘要信息

對(duì)抓取的數(shù)據(jù)包進(jìn)行全局統(tǒng)計(jì)
點(diǎn)擊菜單欄“Statistics->Capture File Properties”菜單項(xiàng)

可以查看抓取的數(shù)據(jù)包的統(tǒng)計(jì)信息。

4、協(xié)議分層統(tǒng)計(jì)

點(diǎn)擊菜單欄“Statistics->Protocol Hierarchy”菜單項(xiàng)

可以統(tǒng)計(jì)通信流量中不同協(xié)議占用的百分比。

5、網(wǎng)絡(luò)節(jié)點(diǎn)統(tǒng)計(jì)

“Statistics->Endpoints”

統(tǒng)計(jì)通信會(huì)話中每個(gè)節(jié)點(diǎn)接收和發(fā)送的數(shù)據(jù)包和字節(jié)數(shù)，通過網(wǎng)絡(luò)節(jié)點(diǎn)統(tǒng)計(jì)可以找出網(wǎng)絡(luò)中哪個(gè)節(jié)點(diǎn)（IP地址或端口號(hào)）最占用帶寬。

6、網(wǎng)絡(luò)會(huì)話統(tǒng)計(jì)

“Statistics->Conversations”

統(tǒng)計(jì)通信會(huì)話之間接收和發(fā)送的數(shù)據(jù)包和字節(jié)數(shù)，通過網(wǎng)絡(luò)會(huì)話統(tǒng)計(jì)可以找出網(wǎng)絡(luò)中哪個(gè)會(huì)話（IP地址或端口號(hào)）最占用帶寬。

7、數(shù)據(jù)包長(zhǎng)度統(tǒng)計(jì)

“Statistics->Packet Lengths”

統(tǒng)計(jì)數(shù)據(jù)流量中數(shù)據(jù)包長(zhǎng)度的分布。

8、圖表分析

“Statistics->IO Graph”查看網(wǎng)絡(luò)吞吐量圖表。

對(duì)網(wǎng)絡(luò)中的吞吐流量進(jìn)行實(shí)時(shí)圖形顯示，可以對(duì)不同過濾條件過濾的數(shù)據(jù)包以不同的線型、顏色表示。
“Statistics->Flow Graph”查看數(shù)據(jù)流圖

將會(huì)話通信過程圖形可視化出來。