为了适应公司新战略的发展，保障停车场安保新项目的正常、顺利开展，特制定安保从业人员的业务技能及个人素质的培训计划wireshark有关心得体会WireShark使用心得威发系统中国有限公司XX年2月20日Wireshark抓包指导目录第1章WIRESHARK过滤器介绍.3为什么要使用过滤器.3两种过滤器.3第2章IP地址过滤及其他过滤方式.4IP地址过滤的语法结构.4逻辑符的使用.5协议子参数的使用.6其他协议的使用.7第3章其他常用功能.8定时抓取报文并保存在特定文件中.8计算所抓取包大小和速率.10第4章常见问题.11Win7/vista无法识别到无线网卡.11无法抓到无线网卡数据.12抓取带有标签的报文.13Wireshark抓包指导第1章WireShark过滤器介绍为什么要使用过滤器在我们日常的工作中，有时需要从抓取的大量报文中过滤出我们感兴趣的报文，比方说处理客户端获取不到DHCP地址时，抓取客户端与服务器之间的DHCP报文，此时我们只需要看到DHCP报文，对于网络中其他的报文我们并不关心，这时就需要将DHCP报文从所有报文中过滤出来。通过WireShark的过滤功能，能有效提高我们的工作效率。两种过滤器WireShark的过滤器分为两种，一种称之为“显示过滤器”，另一种称之为“抓取过滤器”。“显示过滤器”是在报文抓取结束后，从中过滤出我们想要的报文，例如上面所提到的过滤出DHCP报文的例子，使用的就是显示过滤器。图一中红框部分即为显示过滤器。另外一种“抓取过滤器”需要在抓包开始之前设置，通常用在故障处理期间，等待特定故障报文的出现，该过滤器只抓取符合条件报文，可以尽量缩小抓包文件的大小。图二中红框部分即为抓取过滤器。图一显示过滤器Wireshark抓包指导图二抓取过滤器第2章IP地址过滤及其他过滤方式IP地址过滤的语法结构IP地址的基本语法结构由四部分组成，分别是协议、参数、比较符和值，通常情况下，我们利用这四种参数就可以完成很多基本的操作。表一IP过滤基本组成下面我们用一个具体的例子进行解释。Wireshark抓包指导例一：查询所有报文中目的地址为的报文。语法及显示结果如下：=图三显示结果逻辑符的使用有时我们可能需要过滤多个参数，如需要同时匹配源地址和目的地址，此时我们需要使用逻辑符，具体的逻辑符有以下几种。表二逻辑符逻辑符的使用请看例二。例二：查询目地址为，且协议为HTTP的报文。语法及显示结果如下：学习用wireshark进行抓包分析姓名：罗小嘉学号：首先，运行wireshark，打开captureinterface选择有数据的网卡，点击start便开始进行抓包。我们可以在options里面对包进行过滤。首先，在确保我个人电脑没有arp攻击的情况下。关闭所有可能会请求网络的文件。在点击start后在IE浏览器里面访问.hk后抓到如下数据包。现在我们开始对抓到的包进行分析。为所选取的包的结构。结构的显示是完全按照OSI的七层模型来显示的。从上至下分别是物理层，以太网层，IP层，第3层对应的内容，应用层。为包结构的2进制表示。现在，我们对抓到的包进行具体分析。起始的3个DNS包即对.hk进行翻译。把它译为域名所对应的IP。这里，我电脑由于连接了路由器。地址为。由这个地址向DNS服务器发送请求以返回。然后在TCP/IP协议中，TCP协议提供可靠的连接服务，采用三次握手建立一个连接。第一次握手：建立连接时，客户端A发送SYN包(SYN=j)到服务器B，并进入SYN_SEND状态，等待服务器B确认。第二次握手：服务器B收到SYN包，必须确认客户A的SYN(ACK=j+1)，同时自己也发送一个SYN包(SYN=k)，即SYN+ACK包，此时服务器B进入SYN_RECV状态。第三次握手：客户端A收到服务器B的SYNACK包，向服务器B发送确认包ACK(ACK=k+1)，此包发送完毕，客户端A和服务器B进入ESTABLISHED状态，完成三次握手。完成三次握手，客户端与服务器开始传送数据。由我向服务器发送请求，服务器分析请求后，返回确认收到，我确认服务器的返回信息后，服务器开始发送我请求的数据。如下图这些包都是服务器在向我传送数据，包括PNG,TEXT等文件。其中的TCPsegmentofareassembledPDU的意义是：主机响应一个查询或者命令时如果要回应很多数据而这些数据超出了TCP的最大MSS时，主机会通过发送多个数据包来传送这些数据。对wireshark来说这些对相应同一个查询命令的数据包被标记了“TCPsegmentofareassembledPDU”。wireshark根据sequencenumber识别多个数据包是对同一个查询数据包的响应，这些数据包ACKnumber是相同的，当然number的数值与查询数据包中的nextsequencenumber也是一样的。上图为抓到的最后几个包。TCP的终止通过双方的四次握手实现。发起终止的一方执行主动关闭，响应的另一方执行被动关闭。1.发起方(client)更改状态为FIN_WAIT_1，关闭应用程序进程，发出一个TCP的FIN段；2.接收方收到FIN段，返回一个带确认序号的ACK，同时向自己对应的进程发送一个文件结束符EOF，同时更改状态为CLOSE_WAIT(server)，发起方接到ACK后状态更改为FIN_WAIT_2(client)；3.接收方关闭应用程序进程，更改状态为LAST_ACK(server)，并向对方发出一个TCP的FIN段；4.发起方接到FIN后状态更改为TIME_WAIT(client)，并发出这个FIN的ACK确认。ACK发送成功后(2MSL内)双方TCP状态变为CLOSED。我们不难看出上面的显示的结果的意思。根据TCP协议，主动发起关闭的一方，会进入TIME_WAIT状态(TCP实现必须可靠地终止连接的两个方向(全双工关闭)，持续2*MSL(MaxSegmentLifetime)，缺省为240秒.第一次挥手：客户端A发送一个FIN，用来关闭客户A到服务器B的数据传送；第二次挥手：服务器B收到这个FIN，它发回一个ACK，确认序号为收到的序号加1，和SYN一样，一个FIN将占用一个序号；第三次挥手：服务器B关闭与客户端A的连接，发送一个FIN给客户端A；第四次挥手：客户端A发回ACK报文确认，并将确认序号设置为收到序号加1。但由收到的包发现并没有产生4次挥手。而出现的是如下的包这可能是由于在发送完数据前我过早的关闭了浏览器。现在任意的以一个包的结构为例对包结构进行分析。在这儿我选了如下一个DNS包。现在对包的结构的各个部分分别分析。第一行。结构2，发送77字节的报文，抓到77字节的报文。具体内容如下分别说明了，包的到达时间，抓取间隔时间，包的标号，包的大小，是否标记、忽略等。接下来以太网层。分别告知目的地和来源。这儿可以看出，destination为路由器分配的地址，source对应的address则为gemtekte_38:cb:1c对于IP层vision：4表示结构为4报头长为20字节无网络分区服务标志(转载于:写论文网:wireshark有关心得体会)位为0采用UDP协议报头检查正确。用户的数据协议，从端口64455到区域端口53Checksum：0x4045表示确认失败区域名系统Responsein：3表示在frame3中响应。交换地址的16进制表示为0xf823对于标志flags，对应英文理解就是了，这儿不做衍叙。其它的包可以按照相同方法进行分析。计算机网络实验报告学院计算机与通信工程学院专业网络工程班级1401班学号一、实验名称：网络协议分析器Wireshark二、实验目的：了解Wireshark的界面组成，熟悉Wireshark的基本操作，掌握捕捉过滤器和显示过滤器的使用三、实验环境：局域网中的任意一台主机PC，Wireshark四、实验步骤：使用Wireshark捕获数据包的一般过程为：步骤