網路規劃與管理技術第 一章 實習環境建立   上一頁    

1-2 Wireshark 網路封包分析器

內容:

  • 1-2-1 下載 Wireshark 套件

  • 1-2-2 操作視窗說明

  • 1-2-3 封包擷取操作

  • 1-2-4 封包篩選條件組合

Wireshark(以前稱 Ethereal) 是一個免費的網路封包分析軟體,他僅由網路上擷取封包,並不會對網路發生任何影響。它不是入侵偵測軟體,網路發生異常現象,也不會發出警告訊息。我們僅能利用它擷取封包,再來分析網路狀況,能提供下列協助:

檢測網路問題、

檢查網路安全相關問題、

開發者對新的協定偵錯、

學習網路協定相關知識(此為我們主要目地)。

1-2-1 下載 Wireshark 套件

(A) 搜尋官方網站

Google 上搜尋 Wireshark 即可,如下:(選擇 Windows Installer(64bit)

(B) 安裝步驟

(只要繼續按下一步即可)

1-2-2 操作視窗說明

(A) 選擇介面卡:

進入後選擇由哪一個介面卡擷取封包。一般如安裝在 Windows 7/10 主機上,則只有主機上的網路架面卡。

(B) 擷取封包:

點選介面卡之後,立即開始擷取封包,須按暫停才會暫停擷取。於擷取視窗 (2) 是擷取到的每一個 IP 封包,可點選某一個封包,則在視窗 (3) 出現該封包的分析資料,而封包內的詳細資料如視窗 (4) 所示,畫面如下:

擷取封包紀錄視窗中有五個欄位,說明如下:

(1) No 欄位:擷取封包數。

(2) Time 欄位:封包擷取時間,預設值由 0 開始計時。

(3) Source 欄位:封包傳送的來源位址。

(4) Destination 欄位:封包傳送的目地位址。

(5) Length 欄位:封包的長度(Bytes)

(6) Info 欄位:有關封包的訊息,譬如 TCPUDP 封包標頭的訊息。

點選封包紀錄中某一筆資料,則在下一個視窗顯示該筆封包的展開內容。譬如點選一筆 UDP紀錄,則依序由 Ethernet IIIPv4UDP 顯示其標頭內容,最後再顯示 UDP 所承載的資料。

1-2-3 封包擷取操作

擷取封包必須注意事項如下:

選取介面卡:在操作電腦上也許會有多片實體網路卡,或經過虛擬機(如 VMware Player) 產生的介面卡,需選擇由哪一個介面卡擷取封包。

擷取篩選條件:如沒有設定擷取條件的話,封包數量將會非常多,很難找到所欲觀察的封包。即是,符合條件的封包材擷取,譬如僅擷取某一只 IP 位址發送或接收的封包。

顯示篩選條件:雖然經過擷取篩選後,所產生的封包也許還是很多,則可設定顯示篩選條件,譬如,僅顯示 TCP 封包。

擷取步驟如下圖所示,分別說明之:

(1) 設定『擷取篩選條件』

點選擷取條件鍵,則出現各種條件顯則、

選擇某一擷取條件,譬如 ip 位址、

再輸入相關資訊,譬如 120.118.165.107 之 ip 位址。

再輸入 IP 位址,如下:

(2) 設定顯示篩選

由左上角點選『顯示篩選條件』按鈕,再選擇顯示條件,如下圖所示。

(3) 選擇介面卡

最後點選欲由哪一片網路卡擷取封包,如下:

(4) 暫停/繼續擷取

(5) 下拉式選單操作

當然也可以由下拉式選單操作,如下:(請自行操作練習)

1-2-4 封包篩選條件組合

(1) 篩選條件運算子

篩選條件運算子如下:

關係

運算子

範例

等於

Eq==

ip.proto == 1

不等於

Ne!=

Ip.proto != 1

大於

Gt>

Frame.pkt_len > 100

小於

Lt<

Frame.pkt_len < 100

(2) 常用過濾範例

常用過濾範例如下:

類型

說明

範例

eth

dst

目的 MAC

Eth.dst == ff:ff:ff:ff:ff:ff

src

來源 MAC

Eth.src == 01:34:45:56:a2:c2

addr

MAC 位址

Eth.addr == 01:34:45:56:a2:c2

type

下一層協定

Eth.type == 0x0800 (IP)

Eth.type == 0x0806 (ARP)

ip

dst

目的 IP

Ip.dst == 192.168.10.3

src

來源 IP

Ip.src == 192.168.10.4

addr

IP 位址

Ip.addr == 192.168.10.5

proto

下一層協定

Ip.proto == 0x06 (TCP)

Ip.proto == 0x01 (ICMP)

Ip.proto == 0x11 (UDP)

tcp

dstport

目的 Port

Tcp.dstport == 80 (HTTP)

srcport

來源 Port

Tcp.srcport == 21 (FTP)

port

埠口編號

Tcp.port == 23 (telnet)

udp

dstport

目的 Port

Udp.dstport == 53 (DNS)

srcport

來源 Port

Udp.srcport == 53

port

埠口編號

Udp.port == 53

(3) 篩選條件的邏輯運算子

篩選條件運算子如下:

邏輯

運算子

範例

AND

and

ip.proto == 1 and ip.dst == 192.168.10.2

&&

ip.proto == 1 && ip.dst == 192.168.10.2

OR

or

ip.proto == 1 or ip.dst == 192.168.10.2

||

ip.proto == 1 || ip.dst == 192.168.10.2

NOT

not

not(ip.proto == 1)

!

!(ip.proto == 1)

翻轉工作室:粘添壽

 

網路規劃與管理技術:

 

 

翻轉電子書系列: