Wireshark封包分析軟體

國立屏東商業技術學院 資訊工程系(所) 網路技術發展實驗室

Network Technology Development Laboratory
Department of Computer Science and Information Engineering
National Pingtung Institute of Commerce
簡介（1/2）
„ Wireshark起源自1997年，當時Gerald Combs 需要
一種工具排解網路疑難及學習更多網路知識。
„ 前身為著名的Ethereal計畫，是目前開放原始碼專
案中最為有名的封包分析軟體。
„ Wireshark 是 一 個 開 放 原 始 碼 （ open source
software）軟體，採用GNU Public License（GPL）
授權。
„ 最初Wireshark由Gerald Combs發展其架構，但進
一步研發和維護則由Wireshark team負責。

2
簡介（2/2）
„ Wireshark有適用於UNIX/Linux和Windows等作業
系統的特點。
„ 市面上有許多封包擷取軟體，如Network Associate
的Sniffer/Pro、Sun的snoop等，但Wireshark原始碼
公開且可以免費取得。
„ Wireshark擁有多項強大特色，如支援大多數的網
路協定、豐富的過濾與閻、億餘查看TCP會談經
重構後的數據流等等。

3
操作平台
„ Apple Mac OS X „ NetBSD
„ Debian GUN/Linux „ OpenPKG
„ FreeBSD „ rPath Linux
„ Gentoo Linux „ Sun solaris/i386
„ HP-UX „ Sun solaris/Sparc
„ Mandriva Linux
„ Red Hat Fedora/Enterprise Linux
„ Windows 200, XP Home, XP Pro, XP Tablet PC,
XP Media Center, Server 2003 or Vista

4
Wireshark安裝方式（1/12）
（Windows平台的安裝）
„ 至Wireshark官方網站http://www.wireshark.org/下載
Wireshark主安裝程式，檔名是wireshark-setup-1.0.6.exe。

5
Wireshark安裝方式（2/12）
（Windows平台的安裝）
„ 選擇Windows版本安裝。

6
Wireshark安裝方式（3/12）
（Windows平台的安裝）
„ 點選「儲存」。

7
Wireshark安裝方式（4/12）
（Windows平台的安裝）
„ 下載完畢之後執行該安裝程式，首先會出現歡迎視窗畫
面，點選「Next」。

8
Wireshark安裝方式（5/12）
（Windows平台的安裝）
„ 接著出現版權宣告，建議安裝前詳讀此份授權文件。若沒
問題點選「I Agree」繼續。

9
Wireshark安裝方式（6/12）
（Windows平台的安裝）
„ 可利用此視窗來選擇您欲安裝的Wireshark元件，完整安裝
需要89.9MB磁碟空間。

10
Wireshark安裝方式（7/12）
（Windows平台的安裝）
„ 安裝程式會詢問製作捷徑的選項，以及是否要與特定副檔
名建立關聯。在此建議使用預設值，在操作上更加方便。

11
Wireshark安裝方式（8/12）
（Windows平台的安裝）
„ 接著要設定安裝路徑。使用預設值即可。

12
Wireshark安裝方式（9/12）
（Windows平台的安裝）
„ 在Windows平台中，wireshark需要借助WinPcap函式庫來
存取Link-layer的封包。
„ 因此接下來會詢問是否要安裝WinPcap。

13
Wireshark安裝方式（10/12）
（Windows平台的安裝）
„ 接下來會跳出安裝WinPcap的安裝畫面，選擇「Next」直
到安裝完畢。

14
Wireshark安裝方式（11/12）
（Windows平台的安裝）
„ 到目前為止Wireshark安裝就算是完成了，可以勾選馬上執
行Wireshark，或是稍後再啟動。

15
Wireshark安裝方式（12/12）
（Windows平台的安裝）
„ 可以從選單執行Wireshark，路徑如下。

16
Wireshark的通訊協定
„ http://wireshark.org/docs/dfref，查到Wireshark
所支援的通信協定。

17
Wireshark的主要視窗

←篩選工具列，語法錯誤時欄位背景會呈
現紅色

←封包清單窗格
（packet list pane）

←封包內容窗格
（packet details pane）
←封包位元組窗格
（packet bytes pane）

18
使用Wireshark擷取網路封包（1/6）
„ 以下使用例子來說明擷取封包取得帳密。
1. 選取「Capture」→「Interfaces」→「Start」

19
使用Wireshark擷取網路封包（2/6）
„ 在輸入帳號、密碼，以便讓Wireshark擷取封包。

20
使用Wireshark擷取網路封包（3/6）
„ 這是登入之後，Wireshark所擷取到的封包資
料。

21
使用Wireshark擷取網路封包（4/6）
„ 使用「Follow TCP Stream」將會顯示出HTTP的
TCP會談結果。

22
使用Wireshark擷取網路封包（5/6）
„ 我們可以看到兩台主機在TCP會談整個過程，可
看到完整的HTTP表頭。

23
使用Wireshark擷取網路封包（6/6）
„ 「封包清單窗格」會將你所需要的IP位址，過濾
出來。
過濾的條件→

24
過濾資訊（1/2）
„ 也可以在「封包清單窗格」中，使用視窗介面選擇你要的
條件，如圖。

1.

4.
3.

2.

25
過濾資訊（2/2）
„ 條件設定：tcp.port == 80。

26
 接收端的埠口：
005016= 80
發送端的埠口：
0dbd16= 3517 TCP表頭長度：
TCP分析 5個32位元

確認碼：
a8 0c 0d bb16=2819362253
順序碼：
58 f9 be 8c16=1492762252

TC
P的
資
料
區
27
 發送端的IP位址： 目的端的IP位址：
IP協定版本： cb.40.80.0816= cb.40.84.4a16=
IP分析 4 203.64.128.8 203.64.132.74

IP表頭長度：
此IP封包的TTL：
5個32位元
8016=128
經過的router數？

IP所負載的協定： IP
0616=6)TCP協定 的
資
IP封包長度 料
(含表頭與資料區)
0298
區
0298+e=02a6
e=? 28
 Ethernet所負載的協定
Ethernet分析 目的端MAC位址
080016)IP協定

Ethernet的表頭共
6+6+2=14byte
=e16byte

來源端MAC位址

29
TCP資料區的起點
第0036個

02a6-0036=27016
=624

TCP資料區的終點
第02a6個

30
 ～END～
„ 參考來源：
… 網路安全理論與實務，楊中皇著
… http://www.wireshark.org/，Wireshark官方網站

31