天天看點

《Wireshark資料包分析實戰(第2版)》—第3章3.4節Wireshark初步入門

本節書摘來自異步社群《wireshark資料包分析實戰(第2版)》一書中的第3章3.4節wireshark初步入門,作者【美】chris sanders,更多章節内容可以通路雲栖社群“異步社群”公衆号檢視。

3.4 wireshark初步入門

當你成功地在你的系統中裝好了wireshark,你就可以開始熟悉它了。當你終于打開了這個功能強大的資料包嗅探器,卻會發現你什麼都看不見!

好吧,wireshark在剛打開的時候确實不太好玩,隻有在拿到一些資料之後事情才會變得有趣起來。

3.4.1 第一次捕獲資料包

為了能讓wireshark得到一些資料包,你可以開始你的第一次資料包捕獲實驗了。你可能會想:“當網絡什麼問題也沒有的時候,怎麼能捕獲資料包呢?”

首先,網絡總是有問題的。如果你不相信,那麼你去給你網絡上所有的使用者發一封郵件,告訴他們一切都工作得非常好。

第二,做資料包分析并不一定要等到有問題的時候再做。事實上,大多數的資料包分析員在分析沒有問題的網絡流量上花的時間要比解決問題的時候多。為了能高效地解決網絡問題,你也同樣需要得到一個基準來與之對比。舉例來說,如果你想通過分析網絡流量來解決關于dhcp的問題,你至少需要知道dhcp在正常工作時的資料流是什麼樣子的。

更廣泛地講,為了能夠發現日常網絡活動的異常,你必須對日常網絡活動的情況有所掌握。當你的網絡正常運作時,你以此作為基準,就能知道網絡流量在正常情況下的樣子。

閑言少叙,讓我們來捕獲一些資料包吧!

1.打開wireshark。

2.從主下拉菜單中選擇capture,然後是interface。

這時你應該可以看到一個對話框,裡面列出了你可以用來捕獲資料包的各種裝置,以及它們的ip位址。

3.選擇你想要使用的裝置,如圖3-4所示,然後單擊start,或者直接單擊歡迎畫面中interface list下的某一個裝置。随後資料就會在視窗中呈現出來。

《Wireshark資料包分析實戰(第2版)》—第3章3.4節Wireshark初步入門

4.等上一分鐘左右,當你打算停止捕獲并檢視你的資料時,在capture的下拉菜單中單擊stop按鈕即可。

當你做完了以上步驟并完成了資料包的捕獲,wireshark的主視窗中應該已經呈現了相應的資料,但此時你可能已經對那些資料的規模感到頭疼,這也就是為什麼我們把wireshark一整塊的主視窗進行拆分的原因。

3.4.2 wireshark主視窗

wireshark的主視窗是将你所捕獲的資料包顯示或拆分成更容易使人了解的方式的地方,也将是你花費時間最多的地方。我們使用剛剛捕獲的資料包來介紹一下wireshark的主視窗,如圖3-5所示。

《Wireshark資料包分析實戰(第2版)》—第3章3.4節Wireshark初步入門

主視窗的3個面闆互相有着聯系。如果希望在packet details面闆中檢視一個單獨的資料包的具體内容,你必須現在packet list面闆中單擊選中那個資料包。在你選中了資料包之後,你可以通過在packet details面闆中選中資料包的某個字段,進而在packet bytes面闆中檢視相應字段的位元組資訊。

注意

 在圖3-5中的packet list面闆中列出了幾種不同的協定,但這裡并沒有使用不同的層次來對不同的協定進行視覺上的區分,所有的資料包都是按照其在鍊路上接收到的順序排列的。

下面介紹了每個面闆的内容。

packet list(資料包清單):最上面的面闆用表格顯示了目前捕獲檔案中的所有資料包,其中包括了資料包序号、資料包被捕獲的相對時間、資料包的源位址和目标位址、資料包的協定以及在資料包中找到的概況資訊等列。

 當文中提到流量的時候,我通常是指packet list面闆中所有呈現出來的資料包,而當特别提到dns流量時,我指的是packet list面闆中dns協定的資料包。

packet details(資料包細節):中間的面闆分層次地顯示了一個資料包中的内容,并且可以通過展開或是收縮來顯示這個資料包中所捕獲到的全部内容。

packet bytes(資料包位元組):最下面的面闆可能是最令人困惑的,因為它顯示了一個資料包未經處理的原始樣子,也就是其在鍊路上傳播時的樣子。這些原始資料看上去一點都不舒服而且不容易了解。

3.4.3 wireshark首選項

wireshark提供了一些首選項設定,可以讓你根據需要進行定制。如果需要設定wireshark首選項,在主下拉菜單中選擇edit然後單擊preferences,然後你便可以看到一個首選項的對話框,裡面有一些可以定制的選項,如圖3-6所示。

《Wireshark資料包分析實戰(第2版)》—第3章3.4節Wireshark初步入門

wireshark首選項分為6個主要部分。

user interface(使用者接口):這些選項決定了wireshark将如何顯示資料。你可以根據你的個人喜好對大多數選項進行調整,比如是否儲存視窗位置、3個主要視窗的布局、滾動條的擺放、packet list面闆中列的擺放,以及顯示捕獲資料的字型、前景色和背景色等。

capture(捕獲):這些選項可以讓你對你捕獲資料包的方式進行特殊的設定,比如你預設使用的裝置、是否預設使用混雜模式、是否實時更新packet list面闆等。

printing(列印):這個部分中的選項可以讓你對wireshark如何列印你的資料進行各種特殊的設定。

name resolutions(名字解析):通過這些設定,你可以開啟wireshark将位址(包括mac、網絡以及傳輸名字解析)解析成更加容易分辨的名字這一功能,并且可以設定可以并發處理名字解析請求的最大數目。

statistics(統計):這一部分提供了一些wireshark中統計功能的設定選項。

protocols(協定):這個部分中的選項與捕捉和顯示各種wireshark能夠解碼的資料包有關。并不是每一個協定都有配置選項,但是一些協定的某些選項則可以進行更改。除非你有特殊的原因去修改這些選項,否則最好保持它們的預設值。

3.4.4 資料包彩色高亮 

如果你像我一樣喜歡五顔六色的物體,那麼你應該會對packet list面闆中那些不同的顔色感到興奮。如圖3-7所示(盡管圖示是黑白的,但你應該可以了解),那些顔色看上去就像是随機配置設定給每一個資料包的,但其實并不是這樣的。

《Wireshark資料包分析實戰(第2版)》—第3章3.4節Wireshark初步入門

每一個資料包的顔色都是有講究的,這些顔色對應着資料包使用的協定。舉例來說,所有的dns流量都是藍色的,而http流量都是綠色的。将資料包進行彩色高亮,可以讓你很快地将不同協定的資料包分開,而不需要對每個資料包都檢視packet list面闆中的協定列。你會發現這樣在浏覽較大的捕獲檔案時,可以極大地節省時間。

如圖3-8所示,wireshark通過coloring rules(着色規則)視窗可以很容易地檢視每個協定所對應的顔色。如果想要打開這個視窗,在主下拉菜單中選擇view然後單擊coloring rules。

《Wireshark資料包分析實戰(第2版)》—第3章3.4節Wireshark初步入門

你可以建立你自己的着色規則,或者修改已有設定。舉例來說,使用下列步驟可以将http流量綠色的預設背景改成淡紫色。

1.打開wireshark,并且打開coloring rules視窗(view三角圖01coloring rules)。

2.在着色規則的清單中找到http着色規則并單擊選中。

3.單擊edit按鈕,你會看到一個edit color filter視窗,如圖3-9所示。

4.單擊background color按鈕。

5.使用顔色滾輪選擇一個你希望使用的顔色,然後單擊ok。

6.再次單擊ok來應用改變,并回到主視窗。主視窗此時應該已經重載,并使用了更改過的顔色樣式。

《Wireshark資料包分析實戰(第2版)》—第3章3.4節Wireshark初步入門

當你在網絡上使用wireshark時,你可能會發現你處理某些協定比其他協定要多。這時彩色高亮的資料包就能讓你工作得更加友善。舉例來說,如果你覺得你的網絡上有一個惡意的dhcp伺服器在分發ip,你可以簡單地修改dhcp協定的着色規則,使其呈現明黃色(或者其他易于辨認的顔色)。這可以使你能夠更快地找出所有dhcp流量,并讓你的資料包分析工作更有效率。

你還可以通過基于你自己定制的過濾器建立着色規則,來擴充這些着色規則的用途。

現在你的wireshark應該已經安裝好并運作起來了,你已經準備好進行資料包的分析了。在下一章中,我們将詳細講述如何處理你所捕獲的資料包。

本文僅用于學習和交流目的,不代表異步社群觀點。非商業轉載請注明作譯者、出處,并保留本文的原始連結。

繼續閱讀