国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

說起Wireshark就不得不提Ethereal了，Ethereal和在Windows系統(tǒng)中常用的sniffer pro并稱網(wǎng)絡(luò)嗅探工具雙雄，不過和sniffer pro不同的是Ethereal在Linux類系統(tǒng)中應(yīng)用更為廣泛。而Wireshark軟件則是Ethereal的后續(xù)版本，他是2006年在Ethereal被收購后推出的最新網(wǎng)絡(luò)嗅探軟件，在功能上比前身更加強大。官方主頁： http://www.wireshark.org/

Wireshark是功能強大的網(wǎng)絡(luò)數(shù)據(jù)捕獲工具，他可以幫助我們分析網(wǎng)絡(luò)數(shù)據(jù)流量，在第一時間發(fā)現(xiàn)蠕蟲病毒，木馬程序以及ARP欺騙等問題的根源。

這個軟件是開源代碼的?？梢栽趌inux和windows下使用，在windows下編譯需要安裝cygwin。

簡單使用教程

使用Wireshark時最常見的問題，是當您使用默認設(shè)置時，會得到大量冗余信息，以至于很難找到自己需要的部分。

◆設(shè)置Wireshark的過濾規(guī)則

在用Wireshark截獲數(shù)據(jù)包之前，應(yīng)該為其設(shè)置相應(yīng)的過濾規(guī)則，可以只捕獲感興趣的數(shù)據(jù)包。Wireshark使用與Tcpdump相似的過濾規(guī)則，并且可以很方便地存儲已經(jīng)設(shè)置好的過濾規(guī)則。要為Wireshark配置過濾規(guī)則，首先單擊“Capture”選單，然后選擇“Capture Filters...”菜單項，打開“Wireshark ：Capture Filter”對話框。因為此時還沒有添加任何過濾規(guī)則，因而該對話框右側(cè)的列表框是空的(如圖2所示)。在Wireshark中添加過濾器時，需要為該過濾器指定名字及規(guī)則。

圖 4 為Wireshark添加一個過濾器

例如，要在主機192.168.0.3和192.168.0.11間創(chuàng)建過濾器，可以在“Filter name”編輯框內(nèi)輸入過濾器名字“cjh”，在“Filter string”編輯框內(nèi)輸入過濾規(guī)則“host 192.168.0.3 and 192.168.0.11”，然后單擊“新建”按鈕即可。

在 Wireshark中使用的過濾規(guī)則和Tcpdump幾乎完全一致，這是因為兩者都基于pcap庫的緣故。Wireshark能夠同時維護很多個過濾器。網(wǎng)絡(luò)管理員可以根據(jù)實際需要選用不同的過濾器，這在很多情況下是非常有用的。例如，一個過濾器可能用于截獲兩個主機間的數(shù)據(jù)包，而另一個則可能用于截獲 ICMP包來診斷網(wǎng)絡(luò)故障。單擊“保存”按鈕，會到對話框。單擊“關(guān)閉”按鈕完成設(shè)置。

1. 指定過濾器

要將過濾器應(yīng)用于嗅探過程，需要在截獲數(shù)據(jù)包之前或之后指定過濾器。要為嗅探過程指定過濾器，并開始截獲數(shù)據(jù)包，可以單擊“Capture”選單，選擇 “Start...”選單項，打開“iterface”對話框，單擊該對話框中的“Filter:”按鈕，然后選擇要使用的網(wǎng)絡(luò)接口，如圖5所示。

圖 5 為Wireshark指定網(wǎng)絡(luò)接口

l注意：在“Capture Options”對話框中，“Update list of packets in real time”復(fù)選框被選中了。這樣可以使每個數(shù)據(jù)包在被截獲時就實時顯示出來，而不是在嗅探過程結(jié)束之后才顯示所有截獲的數(shù)據(jù)包。

在選擇了所需要的過濾器后，單擊“確定”按鈕，整個嗅探過程就開始了。Wireshark可以實時顯示截獲的數(shù)據(jù)包，因此能夠幫助網(wǎng)絡(luò)管理員及時了解網(wǎng)絡(luò)的運行狀況，從而使其對網(wǎng)絡(luò)性能和流量能有一個比較準確的把握。如圖6 。

圖 6 Wireshark實時顯示截獲的數(shù)據(jù)包

Capture Options其他選項：

Interface（接口）

這個字段指定在哪個接口進行捕獲。這是一個下拉字段，只能從中選擇Wireshark 識別出來的接口，默認是第一塊支持捕獲的非loopback 接口卡。如果沒有接口卡，那么第一個默認就是第一塊loopback 接口卡。在某些系統(tǒng)中，loopback 接口卡不能用來捕獲（loopback 接口卡在Windows平臺是不可用的）。

lIP address（IP 地址）

所選接口卡的IP 地址。如果不能解析出IP 地址，則顯示"unknown"

lLink-layer header type（鏈路層頭類型）

除非你在極個別的情況下可能用到這個字段，大多數(shù)情況下保持默認值。具體的描述，見”

lBuffer size: n megabyte(s) （緩沖區(qū)大小：n 兆）

輸入捕獲時使用的buffer 的大小。這是核心buffer 的大小，捕獲的數(shù)據(jù)首先保存在這里，直到寫入磁盤。如果遇到包丟失的情況，增加這個值可能解決問題。

lCapture packets in promiscuous mode （在混雜模式捕獲包）

這個選項允許設(shè)置是否將網(wǎng)卡設(shè)置在混雜模式。如果不指定，Wireshark 僅僅捕獲那些進入你的計算機的或送出你的計算機的包。(而不是LAN 網(wǎng)段上的所有包).

lLimit each packet to n bytes （限制每一個包為n 字節(jié)）

這個字段設(shè)置每一個數(shù)據(jù)包的最大捕獲的數(shù)據(jù)量。有時稱作snaplen 。如果disable 這個選項默認是65535, 對于大多數(shù)協(xié)議來講中夠了。

lCapture Filter（捕獲過濾）

這個字段指定一個捕獲過濾。 “在捕獲時進行過濾”部分進行討論。默認是空的，即沒過過濾。也可以點擊標為Capture Filter 的按鈕, Wireshark 將彈出Capture Filters（捕獲過濾）對話框，來建立或者選擇一個過濾。

四、用Wireshark分析互聯(lián)網(wǎng)數(shù)據(jù)包實例
 

上面基本是以局域網(wǎng)為例的。下面看看Wireshark對于互聯(lián)網(wǎng)數(shù)據(jù)的分析。Wireshark和其它的圖形化嗅探器使用基本類似的界面，整個窗口被分成三個部分：最上面為數(shù)據(jù)包列表，用來顯示截獲的每個數(shù)據(jù)包的總結(jié)性信息；中間為協(xié)議樹，用來顯示選定的數(shù)據(jù)包所屬的協(xié)議信息；最下邊是以十六進制形式表示的數(shù)據(jù)包內(nèi)容，用來顯示數(shù)據(jù)包在物理層上傳輸時的最終形式。使用Wireshark可以很方便地對截獲的數(shù)據(jù)包進行分析，包括該數(shù)據(jù)包的源地址、目的地址、所屬協(xié)議等。圖7是在Wireshark中對一個HTTP數(shù)據(jù)包進行分析時的情形。在圖最上邊的數(shù)據(jù)包列表中，顯示了被截獲的數(shù)據(jù)包的基本信息。

圖 7 用Wireshark分析互聯(lián)網(wǎng)數(shù)據(jù)包內(nèi)容

圖 7中間是協(xié)議樹，通過協(xié)議樹可以得到被截獲的數(shù)據(jù)包的更多信息，如主機的MAC地址(Ethernet II)、IP地址(Internet Protocol)、TCP端口號(Transmission Control Protocol)，以及HTTP協(xié)議的具體內(nèi)容(Hypertext Trnasfer Protocol)。通過擴展協(xié)議樹中的相應(yīng)節(jié)點，可以得到該數(shù)據(jù)包中攜帶的更詳盡的信息。

圖 8 使用Follow TCP stearm 查看詳細信息

圖 8最下邊是以十六制顯示的數(shù)據(jù)包的具體內(nèi)容，這是被截獲的數(shù)據(jù)包在物理媒體上傳輸時的最終形式，當在協(xié)議樹中選中某行時，與其對應(yīng)的十六進制代碼同樣會被選中，這樣就可以很方便地對各種協(xié)議的數(shù)據(jù)包進行分析。圖6 是一個詳細封包分析。是點擊該封包選擇“Mark Pactet”。從圖中可以看出，當前選中數(shù)據(jù)包的源地址是221.217.132.33，目的地址為202.106.124.50，該數(shù)據(jù)包所屬的協(xié)議是超文本傳輸協(xié)議(HTTP)。要獲取更加詳細信息可以是點擊該封包選擇“Follow TCP stearm ”。