网络流量分析工具：linux下wireshark安装和使用

www_xylove

Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据，并为用户提供关于网络和上层协议的各种信息。
与很多其他网络工具一样，Wireshark也使用pcap network library来进行封包捕捉。
Wireshark的优势：
- 安装方便。
- 简单易用的界面。
- 提供丰富的功能。
Wireshark的原名是Ethereal，新名字是2006年起用的。当时Ethereal的主要开发者决定离开他原来供职的公司，并继续开发这个软件。但由于Ethereal这个名称的使用权已经被原来那个公司注册，Wireshark这个新名字也就应运而生了。
系统要求：
libpcap库对于Ethereal和Wireshark都非常重要，它们需要使用这个库的功能进行封包捕捉工作。
如果您的系统中没有安装libpcap或者其它必要的组件，当您使用"apt-get"安装Ethereal或Wireshark时，它们都会被自动添加。请参考
Wireshark tutorial
。
使用如下命令，可以得到Ethereal或Wireshark的详细依赖关系列表。
#apt-cache depends wireshark
#apt-cache depends ethereal
这是在我们的系统上得到的结果：
# apt-cache depends ethereal
ethereal
Dépend: libadns1
Dépend: libatk1.0-0
Dépend: libc6
Dépend: libcairo2
Dépend: libcap1
Dépend: libfontconfig1
Dépend: libglib2.0-0
Dépend: libgnutls12
Dépend: libgtk2.0-0
Dépend: libpango1.0-0
Dépend: libpcap0.8
Dépend: libpcre3
Dépend: libx11-6
Dépend: libxcursor1
Dépend: libxext6
Dépend: libxfixes3
Dépend: libxi6
Dépend: libxinerama1
Dépend: libxrandr2
Dépend: libxrender1
Dépend: zlib1g
Dépend: ethereal-common
Recommande: gksu
安装：
使用安装包安装：
需要强调的是，Wireshark并没有提供针对Ubuntu edgy(6.10)之前版本的安装包，也没有直接提供能在Debian上稳定运行的版本。
在这些情况下，您需要下载Ethereal的包，或者直接下载Wireshark的源代码然后自行编译。
Ubuntu
Ubuntu Edgy (6.10) 之前的版本：
#apt-get install ethereal
Ubuntu Edgy (6.10)之后的版本（包括Edgy）：
#apt-get install wireshark
Debian
截止到2007年3月，还没有一个版本的Wireshark能在Debian上稳定运行。因此您可以选择下载Ethereal Ethereal
#apt-get install ethereal
或者从
debian package website
下载和使用不稳定版本的Wireshark。
若要在Debian或者Ubuntu下运行Wireshark或者Ethereal：
#ethereal
#wireshark
手动安装：
安装编译工具：
#apt-get install build-essantial 为了成功编译Wireshark，您需要安装GTK+的开发文件和GLib库（libraries）。
#apt-get install libgtk2.0-dev libglib2.0-dev 安装
Checkinstall
以便管理您系统中直接由源代码编译安装的软件。
#apt-get install checkinstall
下载
并解压缩Wireshark的源代码：
#tar -xvf wireshark-0.99.5.tar.gz检查Wireshark的依赖关系：
#cd wireshark-0.99.5
#./configure 如果出现如下错误信息，说明您需要安装GTK+和GLib库（请参照前述步骤）：
checking for GTK+ - version >= 2.0.0... no
*** Could not run GTK+ test program, checking why...
*** The test program failed to compile or link. See the file config.log for the
*** exact error that occured. This usually means GTK+ is incorrectly installed.
checking for pkg-config... (cached) /usr/bin/pkg-config
checking for GLIB - version >= 2.0.0... no
*** Could not run GLIB test program, checking why...
*** The test program failed to compile or link. See the file config.log for the
*** exact error that occured. This usually means GLIB is incorrectly installed.
configure: error: GLib2 distribution not found.
编译和安装：
#make
#checkinstall 运行Wireshark：
#wireshark
安装TSHARK:
您可以方便的通过如下方法安装Tshark（命令行模式工具）：
#apt-get install tshark
运行：
在这篇教程中，我们将要介绍如何使用默认设置运行Wireshark。
您可以从
Wireshark User's Guide
中获得更多帮助。

运行Wireshark或者Ethereal: (
Ethereal与Wireshak的区别是什么？
)
#wireshark
#ethereal


选择需要捕捉的设备。
Capture -> Options
选择您想要捕捉的设备后点击Start。


Wireshark的运行结果。

为了更加高效的使用Wireshark，详细
了解其各项功能
以及学习
如何管理和使用过滤器
找到自己想要的结果也是十分必要的。
界面说明：
在成功
运行Wireshark
之后，我们就可以进入下一步，更进一步了解这个强大的工具。
下面是一张地址为192.168.1.2的计算机正在访问“openmaniak.com”网站时的截图。

1. MENUS（菜单）

程序上方的8个菜单项用于对Wireshark进行配置：
- "File"（文件）
- "Edit" （编辑）
- "View"（查看）
- "Go" （转到）
- "Capture"（捕获）
- "Analyze"（分析）
- "Statistics" （统计）
- "Help" （帮助）
打开或保存捕获的信息。
查找或标记封包。进行全局设置。
设置Wireshark的视图。
跳转到捕获的数据。
设置捕捉过滤器并开始捕捉。
设置分析选项。
查看Wireshark的统计信息。
查看本地或者在线支持。
2. SHORTCUTS（快捷方式）

在菜单下面，是一些常用的快捷按钮。
您可以将鼠标指针移动到某个图标上以获得其功能说明。
3. DISPLAY FILTER（显示过滤器）

显示过滤器用于查找捕捉记录中的内容。
请不要将捕捉过滤器和显示过滤器的概念相混淆。请参考
Wireshark过滤器
中的详细内容。
4. PACKET LIST PANE（封包列表）


封包列表中显示所有已经捕获的封包。在这里您可以看到发送或接收方的MAC/IP地址，TCP/UDP端口号，协议或者封包的内容。
如果捕获的是一个OSI layer 2的封包，您在Source（来源）和Destination（目的地）列中看到的将是MAC地址，当然，此时Port（端口）列将会为空。
如果捕获的是一个OSI layer 3或者更高层的封包，您在Source（来源）和Destination（目的地）列中看到的将是IP地址。Port（端口）列仅会在这个封包属于第4或者更高层时才会显示。
您可以在这里添加/删除列或者改变各列的颜色：
Edit menu -> Preferences
5. PACKET DETAILS PANE（封包详细信息）

这里显示的是在封包列表中被选中项目的详细信息。
信息按照不同的OSI layer进行了分组，您可以展开每个项目查看。下面截图中展开的是HTTP信息。

6. DISSECTOR PANE（16进制数据）

“解析器”在Wireshark中也被叫做“16进制数据查看面板”。这里显示的内容与“封包详细信息”中相同，只是改为以16进制的格式表述。
在上面的例子里，我们在“封包详细信息”中选择查看TCP端口（80），其对应的16进制数据将自动显示在下面的面板中（0050）。
7. MISCELLANOUS（杂项）

在程序的最下端，您可以获得如下信息：
- - 正在进行捕捉的网络设备。
- 捕捉是否已经开始或已经停止。
- 捕捉结果的保存位置。
- 已捕捉的数据量。
- 已捕捉封包的数量。(P)
- 显示的封包数量。(D) (经过显示过滤器过滤后仍然显示的封包)
- 被标记的封包数量。(M)
过滤器：
正如您在Wireshark教程第一部分看到的一样，安装、运行Wireshark并开始分析网络是非常简单的。
使用Wireshark时最常见的问题，是当您使用默认设置时，会得到大量冗余信息，以至于很难找到自己需要的部分。
过犹不及。
这就是为什么过滤器会如此重要。它们可以帮助我们在庞杂的结果中迅速找到我们需要的信息。
-
-
捕捉过滤器：用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。
显示过滤器：在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。那么我应该使用哪一种过滤器呢？
两种过滤器的目的是不同的。
捕捉过滤器是数据经过的第一层过滤器，它用于控制捕捉数据的数量，以避免产生过大的日志文件。
显示过滤器是一种更为强大（复杂）的过滤器。它允许您在日志文件中迅速准确地找到所需要的记录。
两种过滤器使用的语法是完全不同的。我们将在接下来的几页中对它们进行介绍：
1. 捕捉过滤器
捕捉过滤器的语法与其它使用Lipcap（Linux）或者Winpcap（Windows）库开发的软件一样，比如著名的
TCPdump
。捕捉过滤器必须在开始捕捉前设置完毕，这一点跟显示过滤器是不同的。
设置捕捉过滤器的步骤是：
- 选择 capture -> options。
- 填写"capture filter"栏或者点击"capture filter"按钮为您的过滤器起一个名字并保存，以便在今后的捕捉中继续使用这个过滤器。
- 点击开始（Start）进行捕捉。


语法：
Protocol
Direction
Host(s)
Value
Logical Operations
Other expression
例子：
tcp
dst
10.1.1.1
80
and
tcp dst 10.2.2.2 3128
Protocol（协议）:
可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.
如果没有特别指明是什么协议，则默认使用所有支持的协议。
Direction（方向）:
可能的值: src, dst, src and dst, src or dst
如果没有特别指明来源或目的地，则默认使用 "src or dst" 作为关键字。
例如，"host 10.2.2.2"与"src or dst host 10.2.2.2"是一样的。
Host(s):
可能的值： net, port, host, portrange.
如果没有指定此值，则默认使用"host"关键字。
例如，"src 10.1.1.1"与"src host 10.1.1.1"相同。
Logical Operations（逻辑运算）:
可能的值：not, and, or.
否("not")具有最高的优先级。或("or")和与("and")具有相同的优先级，运算时从左至右进行。
例如，
"not tcp port 3128 and tcp port 23"与"(not tcp port 3128) and tcp port 23"相同。
"not tcp port 3128 and tcp port 23"与"not (tcp port 3128 and tcp port 23)"不同。
例子：
tcp dst port 3128
显示目的TCP端口为3128的封包。
ip src host 10.1.1.1
显示来源IP地址为10.1.1.1的封包。
host 10.1.2.3
显示目的或来源IP地址为10.1.2.3的封包。
src portrange 2000-2500
显示来源为UDP或TCP，并且端口号在2000至2500范围内的封包。
not imcp
显示除了icmp以外的所有封包。（icmp通常被ping工具使用）
src host 10.7.2.12 and not dst net 10.200.0.0/16
显示来源IP地址为10.7.2.12，但目的地不是10.200.0.0/16的封包。
(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8
显示来源IP为10.4.1.12或者来源网络为10.6.0.0/16，目的地TCP端口号在200至10000之间，并且目的位于网络10.0.0.0/8内的所有封包。
注意事项：
当使用关键字作为值时，需使用反斜杠“\”。
"ether proto \ip" (与关键字"ip"相同).
这样写将会以IP协议作为目标。
"ip proto \icmp" (与关键字"icmp"相同).
这样写将会以ping工具常用的icmp作为目标。
可以在"ip"或"ether"后面使用"multicast"及"broadcast"关键字。
当您想排除广播请求时，"no broadcast"就会非常有用。
查看
TCPdump的主页
以获得更详细的捕捉过滤器语法说明。
在
Wiki Wireshark website
上可以找到更多捕捉过滤器的例子。
2. 显示过滤器：
通常经过捕捉过滤器过滤后的数据还是很复杂。此时您可以使用显示过滤器进行更加细致的查找。
它的功能比捕捉过滤器更为强大，而且在您想修改过滤器条件时，并不需要重新捕捉一次。
语法：
Protocol
.

String 1
.

String 2

Comparison
operator

Value

Logical
Operations

Other
expression
例子：
ftp
passive
ip
==
10.2.3.4
xor
icmp.type

Protocol（协议）:
您可以使用大量位于OSI模型第2至7层的协议。点击"Expression..."按钮后，您可以看到它们。
比如：IP，TCP，DNS，SSH


您同样可以在如下所示位置找到所支持的协议：



Wireshark的网站提供了对各种
协议以及它们子类的说明
。

String1, String2 (可选项):
协议的子类。
点击相关父类旁的"+"号，然后选择其子类。



Comparison operators （比较运算符）:
可以使用6种比较运算符：
英文写法：
C语言写法：
含义：
eq
==
等于
ne
!=
不等于
gt
>
大于
lt
小于
ge
>=
大于等于
le
小于等于

Logical expressions（逻辑运算符）:
英文写法：
C语言写法：
含义：
and
&&
逻辑与
or
||
逻辑或
xor
^^
逻辑异或
not
!
逻辑非
被程序员们熟知的逻辑异或是一种排除性的或。当其被用在过滤器的两个条件之间时，只有当且仅当其中的一个条件满足时，这样的结果才会被显示在屏幕上。
让我们举个例子：
"tcp.dstport 80 xor tcp.dstport 1025"
只有当目的TCP端口为80或者来源于端口1025（但又不能同时满足这两点）时，这样的封包才会被显示。
例子：
snmp || dns || icmp
显示SNMP或DNS或ICMP封包。
ip.addr == 10.1.1.1显示来源或目的IP地址为10.1.1.1的封包。
ip.src != 10.1.2.3 or ip.dst != 10.4.5.6显示来源不为10.1.2.3或者目的不为10.4.5.6的封包。
换句话说，显示的封包将会为：
来源IP：除了10.1.2.3以外任意；目的IP：任意
以及
来源IP：任意；目的IP：除了10.4.5.6以外任意
ip.src != 10.1.2.3 and ip.dst != 10.4.5.6显示来源不为10.1.2.3并且目的IP不为10.4.5.6的封包。
换句话说，显示的封包将会为：
来源IP：除了10.1.2.3以外任意；同时须满足，目的IP：除了10.4.5.6以外任意
tcp.port == 25
显示来源或目的TCP端口号为25的封包。
tcp.dstport == 25
显示目的TCP端口号为25的封包。
tcp.flags
显示包含TCP标志的封包。
tcp.flags.syn == 0x02
显示包含TCP SYN标志的封包。如果过滤器的语法是正确的，表达式的背景呈绿色。如果呈红色，说明表达式有误。

表达式正确

表达式错误您可以在
Wireshark官方网站
或
Wiki Wireshark website
上找到关于显示过滤器的补充信息。

来源：
http://netsecurity.51cto.com/art/200906/131979.htm


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u3/94782/showart_1980037.html