wireshark功能及使用技巧(FTP案例额)

一、下载安装wireshark

从http://www.wireshark.org/ 下载安装Windows平台的wireshark，双击安装文件安装即可，在安装过程中注意选择安装winpcap。

二、wireshark的使用

启动wireshark后，选择工具栏中的快捷键（红色标记的按钮）即可Start a new live capture。

主界面上也有一个interface list（如下图红色标记1），列出了系统中安装的网卡，选择其中一个可以接收数据的的网卡也可以开始抓包。

在启动时候也许会遇到这样的问题：弹出一个对话框说 NPF driver 没有启动，无法抓包。在win7或Vista下找到C: \\system\\system32下的cmd.exe 以管理员身份运行，然后输入 net start npf，启动NPf服务。重新启动wireshark就可以抓包了。

抓包之前也可以做一些设置，如上红色图标记2，点击后进入设置对话框，具体设置如下：

Interface：指定在哪个接口（网卡）上抓包（系统会自动选择一块网卡）。

Limit each packet：每个包的大小，缺省情况不。

Capture packets in promiscuous mode：是否打开混杂模式。如果打开，抓取所有的数据包。一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。

Filter：过滤器。只抓取满足过滤规则的包。

File：可输入文件名称将抓到的包写到指定的文件中。

Use ring buffer： 是否使用循环缓冲。缺省情况下不使用，即一直抓包。循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲，还需要设置文件的数目，文件多大时回卷。

Update list of packets in real time：如果复选框被选中，可以使每个数据包在被截获时就实时显示出来，而不是在嗅探过程结束之后才显示所有截获的数据包。

单击“OK”按钮开始抓包，系统显示出接收的不同数据包的统计信息，单击“Stop”按钮停止抓包后，所抓包的分析结果显示在面板中，如下图所示：

为了使抓取的包更有针对性，在抓包之前，开启了QQ的视频聊天，因为QQ视频所使用的是UDP协议，所以抓取的包大部分是采用UDP协议的包。

三、对抓包结果的说明

wireshark的抓包结果整个窗口被分成三部分：最上面为数据包列表，用来显示截获的每个数据包的总结性信息；中间为协议树，用来显示选定的数据包所属的协议信息；最下边是以十六进制形式表示的数据包内容，用来显示数据包在物理层上传输时的最终形式。

使用wireshark可以很方便地对截获的数据包进行分析，包括该数据包的源地址、目的地址、所属协议等。

上图的数据包列表中，第一列是编号（如第1个包），第二列是截取时间（0.000000），第三列source是源地址（115.155.39.93），第四列destination是目的地址（115.155.39.112），第五列protocol是这个包使用的协议（这里是UDP协议），第六列info是一些其它的信息，包括源端口号和目的端口号（源端口：58459，目的端口：54062）。

中间的是协议树，如下图：

通过此协议树可以得到被截获数据包的更多信息，如主机的MAC地址（Ethernet II）、IP地址（Internet protocol）、UDP端口号（user datagram protocol）以及UDP协议的具体内容（data）。

最下面是以十六进制显示的数据包的具体内容，如图：

这是被截获的数据包在物理媒体上传输时的最终形式，当在协议树中选中某行时，与其对应的十六进制代码同样会被选中，这样就可以很方便的对各种协议的数据包进行分析。

四、真实抓包案例分析

实例：访问客户端是192.200.200.110，FTP服务器地址是192.200.200.120，FTP服务器是被动模式。通过访问FTP://192.200.200.120，下载一个东西，抓包进行分析。

1、建立命令通道

图中红框处是建立命令通道的数据包。可以看见客户端首先去请求FTP服务器的21端口，并且用匿名账号进行登录并且成功。第17个包，客户端用被动模式连接FTP服务器，第18个包，FTP服务器告诉要来客户端连接自己的4844端口进行数据传输。如下图所示：

    建立命令通道的包交互过程中，有很多FTP命令，包括了SYST、PWD、CWD等，是FTP的标准命令，网络上都可以查到。

2、建立数据通道

图中红框处是建立数据通道的数据包。可以看见客户端主动去连接服务器的4844端口，第36个包确认了要下载的文件（APM2.0（20111022）.ssu）的大小，FTP服务器在第40个包进行了回应。具体数据如下图：

第41个包确认了此文件最后修改的日期，第43个包要求下载此文件，具体分析不再赘述。

建立数据通道的包交互过程中，有很多FTP命令，包括了SIZE、MDTM、RETR等，也是FTP的标准命令，网络上可查。

3、传输数据

从第44个包开始，就开始正式下载数据了。可以看见FTP服务器传输几个包后，客户端会回应一个ACK表示收到了次包。比如说FTP服务器发送的第44和45个包，客户端在第47个包进行了回应表示收到了这2个包。可以通过查看下图红框处的Next sequence number和Acknowledgement number来判断：

有没有发生丢包，也可以通过此方法进行判断。

4、错误包说明

可以发现上图中有很多红色的包，看起来像是有些问题。如下图：

操作系统偷懒，把计算校验和的工作扔给了网卡，网卡在包发出去才加上校验和，wireshark在OS层抓包的时候，包的校验和还没被添加，是0x0000，于是认为header checksum incorrect，对数据包传输没有影响。

如果确实要解决这个问题，让OS自己加校验和，参考如下方法：

1)单击 开始、单击 运行，键入 regedit，然后单击 确定。

2)找到并单击以下注册表子项： 

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters

3)在右窗格中确保 DisableTaskOffload 注册表项存在。如果此项不存在，请按照下列步骤以将项添加操作： 

a)在 编辑 菜单上指向 新建，然后单击 DWORD 值。

b)键入 DisableTaskOffload，然后按 ENTER 键。

4)单击 DisableTaskOffload。

5)在 编辑 菜单上单击 修改。

6)在 数值数据 框中键入 1，然后按 ENTER 键。

7)退出注册表编辑器。

8)重启电脑。

所以，我们用wireshark抓包，不是红色的包就都是错误的，大家一定要认识到。

五、其他扩展

1、多用FOLLOW TCP STREAM

如果处理TCP协议，想要查看TCP流中的应用层数据，“Follow TCP Stream”功能将会很有用。比如，查看telnet流中的密码。

在列表中选择一个你感兴趣的TCP包，点击右键选择Follow TCP Stream。然后，wireshark就会创建合适的显示过滤器，并弹出一个对话框显示TCP流的所有数据，如下图所示：

图中，红色表示A到B的数据，蓝色表示B到A的数据。

2、Capture Filter 语法

Capture Filter可以设置抓包条件，它的语法如下图所示：

Protocol（协议）:

可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.

如果没有特别指明是什么协议，则默认使用所有支持的协议 

Direction（方向）:

    可能的值: src, dst, src and dst, src or dst

    如果没有特别指明来源或目的地，则默认使用 “src or dst” 作为关键字。

    例如，“host 192.168.2.111”与“src or dst host 192.168.2.111”是一样的。 

Host(s):

    可能的值： net, port, host, portrange.

    如果没有指定此值，则默认使用“host”关键字。

    例如，"src 192.168.2.111"与"src host 192.168.2.111"相同。

Logical Operations（逻辑运算）:

可能的值：not, and, or.

否(“not”)具有最高优先级。或(“or”)和与(“and”)具有相同的优先级，运算时从左至右进行。

    例，“not tcp port 3128 and tcp port 23”与“(not tcp port 3128) and tcp port 23”相同。

"not tcp port 3128 and tcp port 23"与"not (tcp port 3128 and tcp port 23)"不同。 

实例:

1)udp dst port 4569 （显示目的UDP端口为4569的包）

2)ip src host 192.168.4.7（显示源IP地址为192.168.4.7的包）

3)host 192.168.4.7（显示目的或源IP地址为192.168.4.7的包）

4)src portrange 2000-5000（显示源为TCP或UDP，并且端口在2000~5000范围内的包）

5)src host 172.17.12.1 and not dst net 192.168.2.0/24（显示源IP地址为172.17.12.1，但目的地址不是192.168.2.0/24的包）

6)(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8（显示源IP为10.4.1.12或者来源网络为10.6.0.0/16，目的地TCP端口号在200至10000之间，并且目的位于网络10.0.0.0/8内的所有包）