第一次捕獲數(shù)據(jù)包

為了能讓W(xué)ireshark得到一些數(shù)據(jù)包，你可以開(kāi)始你的第一次數(shù)據(jù)包捕獲實(shí)驗(yàn)了。你可能會(huì)想：“當(dāng)網(wǎng)絡(luò)什么問(wèn)題都沒(méi)有的時(shí)候，怎么能捕獲數(shù)據(jù)包呢?”

首先，網(wǎng)絡(luò)總是有問(wèn)題的

其次，做數(shù)據(jù)包分析并不一定要等到有問(wèn)題的時(shí)候再做。事實(shí)上，大多數(shù)的數(shù)據(jù)包分析員在分析沒(méi)有問(wèn)題的網(wǎng)絡(luò)流量上花的時(shí)間要比解決問(wèn)題的時(shí)候多。為了能高效地解決網(wǎng)絡(luò)問(wèn)題，你也同樣需要得到一個(gè)基準(zhǔn)來(lái)與之對(duì)比。舉例來(lái)說(shuō)，如果你想通過(guò)分析網(wǎng)絡(luò)流量來(lái)解決關(guān)于DHCP的問(wèn)題，你至少需要知道DHCP在正常工作時(shí)的數(shù)據(jù)流是什么樣子的。

更廣泛地講，為了能夠發(fā)現(xiàn)日常網(wǎng)絡(luò)活動(dòng)的異常，你必須對(duì)日常網(wǎng)絡(luò)活動(dòng)的情況有所了解。

下面我們來(lái)捕獲數(shù)據(jù)包

打開(kāi)Wireshark。

從主下拉菜單中選擇Capture，然后是Interface。(捕獲 –> 選項(xiàng))

這時(shí)你應(yīng)該可以看到一個(gè)對(duì)話框，里面列出了你可以用來(lái)捕獲數(shù)據(jù)包的各種設(shè)備，以及它們的IP地址。

選擇你想要使用的設(shè)備，如圖所示，單擊Start，或者直接單擊歡迎畫(huà)面中Interface List下的某一個(gè)設(shè)備。隨后數(shù)據(jù)就會(huì)在窗口中顯現(xiàn)出來(lái)。

 

 

等上一分鐘左右，當(dāng)你打算停止捕獲并查看你的數(shù)據(jù)時(shí)，在Capture的下拉菜單中單擊Stop按鈕即可。(捕獲 –> 停止)

當(dāng)做完以上步驟，Wireshark的主窗口中應(yīng)該已經(jīng)呈現(xiàn)了相應(yīng)的數(shù)據(jù)，但此時(shí)你可能對(duì)這些數(shù)據(jù)的規(guī)模感到頭疼，這也就是為什么我們把Wireshark一整塊的主窗口進(jìn)行劃分的原因。

Wireshark主窗口

Wireshark的主窗口如下所示。

 

 

Wireshark主窗口的設(shè)計(jì)包括3個(gè)面板：Packet List、Packet Details、Packet Bytes。

主窗口的3個(gè)面板想忽悠著來(lái)呢西。如果希望在Packet Details面板中查看一個(gè)單獨(dú)的數(shù)據(jù)包的具體內(nèi)容，你必須在Packet List面板中單擊選中那個(gè)數(shù)據(jù)包。在你選中了數(shù)據(jù)包之后，你可以通過(guò)在Packet Details面板中選中數(shù)據(jù)包的某個(gè)字段，從而在Packet Bytes面板中查看相應(yīng)字段的字節(jié)信息。

下面介紹每個(gè)面板的內(nèi)容。

Packet List(數(shù)據(jù)包列表): 最上面的面板用表格顯示了當(dāng)前不惑文件中的所有數(shù)據(jù)包，其中包括了數(shù)據(jù)包序號(hào)、數(shù)據(jù)包被捕獲的相對(duì)時(shí)間、數(shù)據(jù)包的源地址和目的地址、數(shù)據(jù)包的協(xié)議以及在數(shù)據(jù)包中找到的概況信息等列。

Packet Details(數(shù)據(jù)包細(xì)節(jié)): 中間的面板分層地顯示了一個(gè)數(shù)據(jù)包中地內(nèi)容，并且可以通過(guò)展開(kāi)或是收縮來(lái)顯示這個(gè)數(shù)據(jù)包中所捕獲地全部?jī)?nèi)容。

Packet Bytes(數(shù)據(jù)包字節(jié)): 最下面的面板可能是最令人困惑地，因?yàn)樗@示了一個(gè)數(shù)據(jù)包未經(jīng)處理地原始樣子，也就是其在鏈路上傳播時(shí)地樣子。這些原始數(shù)據(jù)看上去一點(diǎn)都不舒服而且不容易理解。

Wireshark首選項(xiàng)

Wireshark提供了一些首選項(xiàng)設(shè)定，可以讓你根據(jù)需要進(jìn)行定時(shí)。如果需要設(shè)定Wireshark首選項(xiàng)，在主下拉菜單中選擇Edit然后單擊Preferences，然后你便可以看到一個(gè)首選項(xiàng)地對(duì)話框，里面有一些可以定制地選項(xiàng)，如圖所示。 (編輯 –> 首選項(xiàng))

 

 

Wireshark首選項(xiàng)分為6個(gè)主要部分。

User Interface(用戶接口): 這些選項(xiàng)決定了Wireshark將如何顯示數(shù)據(jù)。你可以根據(jù)你的個(gè)人喜好對(duì)大多數(shù)選項(xiàng)進(jìn)行調(diào)整，比如是否保存窗口位置、3個(gè)主要窗口的布局、滾動(dòng)條地?cái)[放、Packet List面板中列地?cái)[放，以及顯示捕獲數(shù)據(jù)的字體、前景色和背景色等。

Capture(捕獲): 這些選項(xiàng)可以讓你對(duì)捕獲數(shù)據(jù)包地方式進(jìn)行特殊的設(shè)定，比如你默認(rèn)使用的設(shè)備、是否默認(rèn)使用混雜模式、是否實(shí)時(shí)更新Packet List面板等。

Printing(打印): 這個(gè)部分中的選項(xiàng)可以讓你對(duì)Wireshark如何打印你的數(shù)據(jù)進(jìn)行特殊的設(shè)定。

Name Resolutions(名字解析): 通過(guò)這些設(shè)定，你可以開(kāi)啟Wireshark將地址(包括MAC、網(wǎng)絡(luò)以及傳輸名字解析)解析成更加容易分辨地名字這一功能，并且可以設(shè)定可以并發(fā)處理名字解析請(qǐng)求的最大數(shù)目。

Statistics(統(tǒng)計(jì)): 這一部分提供了一些Wireshark中統(tǒng)計(jì)功能地設(shè)定選項(xiàng)。

Protocols(協(xié)議): 這個(gè)部分中的選項(xiàng)與捕捉和顯示各種Wireshark能夠解碼地?cái)?shù)據(jù)包有關(guān)。并不是每一個(gè)協(xié)議都有配置選項(xiàng)，但是一些協(xié)議地某些選項(xiàng)則可以進(jìn)行更改。除非你有特殊的原因去修改這些選項(xiàng)，否則最好保持它們地默認(rèn)值。

數(shù)據(jù)包彩色高亮

Wireshark地彩色高亮有助于快速標(biāo)識(shí)協(xié)議。

 

 

每一個(gè)數(shù)據(jù)包地顏色都是有講究地，這些顏色對(duì)應(yīng)著數(shù)據(jù)包使用的協(xié)議。舉例來(lái)說(shuō)，所有的DNS流量都是藍(lán)色的，而HTTP流量都是綠色的。將數(shù)據(jù)包進(jìn)行彩色高亮，可以讓你很快地講不通協(xié)議的數(shù)據(jù)包分開(kāi)，而不需要對(duì)每個(gè)數(shù)據(jù)包都查看Packet List面板中地協(xié)議列。你會(huì)發(fā)現(xiàn)這樣在瀏覽較大地不惑文件時(shí)，可以極大地節(jié)省時(shí)間。

如圖所示，Wireshark通過(guò)Coloring RUles(著色規(guī)則)窗口可以很容易地查看每個(gè)協(xié)議所對(duì)應(yīng)的顏色?？梢栽谥飨吕藛沃羞x擇View然后單擊Coloring Rules來(lái)打開(kāi)這個(gè)窗口。

 

 

你可以創(chuàng)建你自己的著色規(guī)則，或者修改已有設(shè)置。舉例來(lái)說(shuō)，使用下列步驟可以講=將HTTP流量綠色的默認(rèn)背景改成淡紫色。

打開(kāi)Wireshark，并且打開(kāi)Coloring Rules窗口(View -> Coloring Rules)。

在著色規(guī)則地列表中找到HTTP著色規(guī)則并單擊選中。

單擊Edit按鈕，你會(huì)看到一個(gè)Edit Color Filter窗口，如下圖所示。

 

 

這里的2.2.7版本稍微有一點(diǎn)改動(dòng)，具體可以看出來(lái)。

單擊Background Color按鈕。

使用顏色滾輪選擇一個(gè)你希望使用的顏色，然后單擊OK。

再次單擊OK來(lái)應(yīng)用改變，并回到主窗口。主窗口此時(shí)應(yīng)該已經(jīng)重載，并使用了更改過(guò)的顏色樣式。

讓你在網(wǎng)絡(luò)上使用Wireshark時(shí)，你可能會(huì)發(fā)現(xiàn)你處理某些協(xié)議比其他協(xié)議要多。這時(shí)彩色高亮地?cái)?shù)據(jù)包就能讓你工作地更加方便。舉例來(lái)說(shuō)，如果你覺(jué)得你的網(wǎng)絡(luò)上有一個(gè)惡意的DHCP服務(wù)器在分發(fā)IP，你可以簡(jiǎn)單地修改DHCP協(xié)議的著色規(guī)則，使其呈現(xiàn)黃色(或者其他便于辨認(rèn)地顏色)。這可以使你能夠更快地找出所有DHCP流量，并讓你地?cái)?shù)據(jù)包分析工作更有效率。

你還可以通過(guò)基于你自己定制地過(guò)濾器創(chuàng)建著色規(guī)則，來(lái)擴(kuò)展這些著色規(guī)則地用途。