Professional Documents
Culture Documents
Wireshark封包分析軟體
Wireshark封包分析軟體
2
簡介(2/2)
Wireshark有適用於UNIX/Linux和Windows等作業
系統的特點。
市面上有許多封包擷取軟體,如Network Associate
的Sniffer/Pro、Sun的snoop等,但Wireshark原始碼
公開且可以免費取得。
Wireshark擁有多項強大特色,如支援大多數的網
路協定、豐富的過濾與閻、億餘查看TCP會談經
重構後的數據流等等。
3
操作平台
Apple Mac OS X NetBSD
Debian GUN/Linux OpenPKG
FreeBSD rPath Linux
Gentoo Linux Sun solaris/i386
HP-UX Sun solaris/Sparc
Mandriva Linux
Red Hat Fedora/Enterprise Linux
Windows 200, XP Home, XP Pro, XP Tablet PC,
XP Media Center, Server 2003 or Vista
4
Wireshark安裝方式(1/12)
(Windows平台的安裝)
至Wireshark官方網站http://www.wireshark.org/下載
Wireshark主安裝程式,檔名是wireshark-setup-1.0.6.exe。
5
Wireshark安裝方式(2/12)
(Windows平台的安裝)
選擇Windows版本安裝。
6
Wireshark安裝方式(3/12)
(Windows平台的安裝)
點選「儲存」。
7
Wireshark安裝方式(4/12)
(Windows平台的安裝)
下載完畢之後執行該安裝程式,首先會出現歡迎視窗畫
面,點選「Next」。
8
Wireshark安裝方式(5/12)
(Windows平台的安裝)
接著出現版權宣告,建議安裝前詳讀此份授權文件。若沒
問題點選「I Agree」繼續。
9
Wireshark安裝方式(6/12)
(Windows平台的安裝)
可利用此視窗來選擇您欲安裝的Wireshark元件,完整安裝
需要89.9MB磁碟空間。
10
Wireshark安裝方式(7/12)
(Windows平台的安裝)
安裝程式會詢問製作捷徑的選項,以及是否要與特定副檔
名建立關聯。在此建議使用預設值,在操作上更加方便。
11
Wireshark安裝方式(8/12)
(Windows平台的安裝)
接著要設定安裝路徑。使用預設值即可。
12
Wireshark安裝方式(9/12)
(Windows平台的安裝)
在Windows平台中,wireshark需要借助WinPcap函式庫來
存取Link-layer的封包。
因此接下來會詢問是否要安裝WinPcap。
13
Wireshark安裝方式(10/12)
(Windows平台的安裝)
接下來會跳出安裝WinPcap的安裝畫面,選擇「Next」直
到安裝完畢。
14
Wireshark安裝方式(11/12)
(Windows平台的安裝)
到目前為止Wireshark安裝就算是完成了,可以勾選馬上執
行Wireshark,或是稍後再啟動。
15
Wireshark安裝方式(12/12)
(Windows平台的安裝)
可以從選單執行Wireshark,路徑如下。
16
Wireshark的通訊協定
http://wireshark.org/docs/dfref,查到Wireshark
所支援的通信協定。
17
Wireshark的主要視窗
←篩選工具列,語法錯誤時欄位背景會呈
現紅色
←封包清單窗格
(packet list pane)
←封包內容窗格
(packet details pane)
←封包位元組窗格
(packet bytes pane)
18
使用Wireshark擷取網路封包(1/6)
以下使用例子來說明擷取封包取得帳密。
1. 選取「Capture」→「Interfaces」→「Start」
19
使用Wireshark擷取網路封包(2/6)
在輸入帳號、密碼,以便讓Wireshark擷取封包。
20
使用Wireshark擷取網路封包(3/6)
這是登入之後,Wireshark所擷取到的封包資
料。
21
使用Wireshark擷取網路封包(4/6)
使用「Follow TCP Stream」將會顯示出HTTP的
TCP會談結果。
22
使用Wireshark擷取網路封包(5/6)
我們可以看到兩台主機在TCP會談整個過程,可
看到完整的HTTP表頭。
23
使用Wireshark擷取網路封包(6/6)
「封包清單窗格」會將你所需要的IP位址,過濾
出來。
過濾的條件→
24
過濾資訊(1/2)
也可以在「封包清單窗格」中,使用視窗介面選擇你要的
條件,如圖。
1.
4.
3.
2.
25
過濾資訊(2/2)
條件設定:tcp.port == 80。
26
接收端的埠口:
005016= 80
發送端的埠口:
0dbd16= 3517 TCP表頭長度:
TCP分析 5個32位元
確認碼:
a8 0c 0d bb16=2819362253
順序碼:
58 f9 be 8c16=1492762252
TC
P的
資
料
區
27
發送端的IP位址: 目的端的IP位址:
IP協定版本: cb.40.80.0816= cb.40.84.4a16=
IP分析 4 203.64.128.8 203.64.132.74
IP表頭長度:
此IP封包的TTL:
5個32位元
8016=128
經過的router數?
IP所負載的協定: IP
0616=6)TCP協定 的
資
IP封包長度 料
(含表頭與資料區)
0298
區
0298+e=02a6
e=? 28
Ethernet所負載的協定
Ethernet分析 目的端MAC位址
080016)IP協定
Ethernet的表頭共
6+6+2=14byte
=e16byte
來源端MAC位址
29
TCP資料區的起點
第0036個
02a6-0036=27016
=624
TCP資料區的終點
第02a6個
30
~END~
參考來源:
網路安全理論與實務,楊中皇著
http://www.wireshark.org/,Wireshark官方網站
31