wireshark使用教程

我们为大家介绍一个当前较为流行的网络协议嗅探和分析软件 —Wireshark 。希望我们的介绍能给大家未来的学习和工作提供帮助，通过使用抓包工具，来准确而快速地判断网络问题的所在，大大缩短寻找问题的时间。

　　接下来，我们一起来看一个服装行业应用 VPN 防火墙的成功案例，给广大的经销商一个不错的参考方案。

技术分享

网络管理人员的私人秘书 —Wireshark （一）

　　你是网络管理员吗？你是不是有过这样的经历：在某一天的早上你突然发现网络性能急剧下降，网络服务不能正常提供，服务器访问速度极慢甚至不能访问，网络交换机端口指示灯疯狂地闪烁、网络出口处的路由器已经处于满负荷的工作状态、路由器 CPU 已经到了百分之百的负荷 …… 重启动后没有几分钟现象又重新出现了。

　　这是什么问题？设备坏了吗？不可能几台设备同时出问题。一定是有什么大流量的数据文件，耗尽了网络设备的资源，它们是什么？怎么看到它们？这时就该请你的私人秘书 — 网络抓包工具来帮忙来进行网络的分析了。

　　网络流量分析是指捕捉网络中流动的数据包，并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题，它是网络和系统管理人员进行网络故障和性能诊断的有效工具。通常，人们把网络分析总结为四种方式：基于流量镜像协议分析，基于 SNMP 的流量监测技术，基于网络探针（ Probe ）技术和基于流（ flow ）的流量分析。而我们下面要向大家介绍的 Wireshark 就是基于流量镜像协议分析。

　　流量镜像协议分析方式是把网络设备的某个端口（链路）流量镜像给协议分析仪，通过 7 层协议解码对网络流量进行监测。但该方法主要侧重于协议分析，而非用户流量访问统计和趋势分析，仅能在短时间内对流经接口的数据包进行分析，无法满足大流量、长期的抓包和趋势分析的要求。

　　Wireshark 的前身是著名的 Ethereal 。 Wireshark 是一款免费的网络协议检测程序。它具有设计完美的 GUI 和众多分类信息及过滤选项。下面是 Wireshark 的界面。

用户通过 Wireshark ，同时将网卡插入混合模式，可以用来****所有在网络上被传送的包，并分析其内容。通过查看每一封包流向及其内容，用来检查网络的工作情况，或是用来发现网络程序的 bugs 。 Wireshark 是一个开放源码的网络分析系统，也是是目前最好的开放源码的网络协议分析器，支持 Unix ， Linux 和 Windows 平台。由于 Wireshark 是 Open Source ，更新快，支持的协议多，特别是数据包过滤功能灵活强大。 Wireshark 提供了对 TCP 、 UDP 、 SMB 、 telnet 和 ftp 等常用协议的支持。它在很多情况下可以代替价格昂贵的 Sniffer 。

　　Wireshark 是一个图形用户接口（ GUI ）的网络嗅探器，它依赖于 Pcap 库。因此在安装之前首先要安装 WinPcap ，然后再按照默认值安装 Wireshark 。

WinPcap 下载地址： http://www.winpcap.org/install/default.htm

Wireshark 下载地址： http://www.wireshark.org/

　　安装好后，双击桌面上的 Wireshark 图标， 运行软件。再捕捉数据包之前，首先要对捕获的条件进行设置。点击工具栏里的 “Capture à Options” ，（图一）或者直接点击快捷按钮（图二），打开选项设置页面（图三）。

首先，我们要在 Interface 里选择正确的捕获接口，即要进行报文捕获的网卡。

Wireshark 支持无线 WLAN 的相关协议，具体设置如下：

下面是一些常用设置项的解释：

Interface ：选择捕获接口

Capture packets in promiscuous mode ：表示是否打开混杂模式，打开即捕获所有的报文

Limit each packet ：表示每个报文的大小，缺省情况不。

Capture Filter ：过滤器，只抓取满足过滤规则的包。（可暂时略过）

Capture files ：即捕获数据包的保存的文件名以及保存位置。

其他的选项按照图三的设置即可。 Capture Option 确认选择后，点击 ok 就开始进行抓包。

下面的界面会以协议的不同，统计捕获到报文各占的百分比，此时，点击 stop 即可以停止抓包。

　　当然，如果不想每次打开 Wireshark 都重复上述 Capture Option 的设置，我们也有很好的办法。在 “Edit à Preferences à Capture 和 Name Resolution” 里预先做好网卡和其他选项的设置

做好预设之后，在每次 打开 Wireshark ，直接点击工具栏的开始按钮，就可以开始抓包了。

　　本期向大家介绍了 Wireshark 的简单原理，软件特色， Wireshark 的安装和使用设置。通过本期的介绍，大家已经可以使用 Wireshark 捕获数据包了。在下期，我们将向大家介绍 Wireshark 最有特色并且强大的数据包过滤功能，通过过滤，从而有的放矢的得到我们希望得到的数据包.

成功案例

成功案例本色服饰

客户简介

客户： NATURE 本色，服饰连锁销售品牌公司

目标：安全地连接广泛分布在全国各地的分公司、连锁店和库房

解决方案：中怡数宽 IPSec VPN 防火墙解决方案

方案优势：

■ 保护关键数据安全

■ 高性价比

■ VPN 自动连接

■ 分点的访问权限

解决方案

　　四川本色服饰有限公司是集服装开发、生产、销售，拥有“本色”品牌，以经营本色品牌服装的私营企业。拥有成都、上海、杭州等 30 多个分公司，在全国各大、中城市建有完善的营销网络，公司的管理资讯网络、人才机制和电子商务系统。本色公司经过十三年的发展，已经建成了健全的的管理资讯网络和电子商务系统。 在全国各个大中城市拥有 200 多个专卖店，各地分公司对全国几百个加盟店进行管理和物流支持，随着公司运营和管理的成本也不断上升的同时，本色的商业需求和基础设施也不断增长，需要大量使用“服装进销存 ERP 软件和财务软件”来支持企业各个分店的库存信息处理，租用电信专线的高成本让公司网络管理处望而却步，同时安全需求也迅速增加。

　　本色服装一共拥有 200 多个分点，客户不仅要求网络防护的安全，而且对成本预算也要求很高，因此我们推荐了性价比很高的 SAFEcon5 使用在各个分点， SAFEcon5 设备几乎可以在任何宽带接入环境下运行，提供高达 80Mbps 的防火墙吞吐量，并支持 10 条并行隧道，和高达 5M 的 3DES Ipsec 加密数据吞吐量（ 10 条满载）。

　　而中心点我们采用了高性能的 SAFEcon100 防火墙，因此该设备不仅可以接近 100M 线速运行，而且还支持 400 条 IPSecVPN 隧道，足够符合本色 VPN 项目的分点连接。

　　同时为了降低运营成本，本色服装除了在总部采用固定 IP ，其他各分支机构均采用 ADSL 拨号上网，而且是包时计费的，所以在不使用 VPN 数据传输的时候，互联网是一定需要断掉，这样一来，就要求下一次连接互联网进行数据传输的时候， VPN 一定需要自动快速连接到总部。而中怡数宽 SAFEcon 系列防火墙具有 DPD 侦测的功能，每隔 5 秒会侦测一次 VPN 的连接状况，如果发现断线会快速重新建立连接，保证 VPN 网络的稳定性。同时配合 IKE 维持 VPN 链接的功能，保证建立连接后不会断线。因此这个功能正好满足了项目的需求。

　　“非常感激中怡数宽的快速服务，在项目规划和实施的初期，技术人员一直陪着我们的技术人员调试，得以保证项目如期快速完成，从安装到至今，我们使用的应用和网络使用都很畅通。”本色公司郭总说到。 中怡数宽的 VPN 防火墙和服装进销存 ERP 软件和财务软件完美整合，为本色公司业务迅速增长提供了安全和稳定的 VPN 网络平台，而中怡数宽本地强大的研发和技术支持实力，也为该项目的后续支持提供了强大的保障。

系统拓扑图

达成效果

1. 利用中怡数宽的 SAFEcon 系列防火墙，本色能够将各地的连锁店、仓库连接到总部，并在 VPN 上运作服装管理软件，不仅缩短了库存的周转，提高了公司的工作效率，而且可以实时了解和掌握目前公司运营情况。

2. 利用中怡数宽防火墙的访问控制功能，了本色服装各个分店除了使用 VPN 连接，使用 ERP 软件之外，其他的任何访问，包括浏览网页、 QQ 聊天等功能都不能使用，保障了企业的信息安全。

3. 利用中怡数宽 SAFEcon 系列防火墙的 DPD 侦测功能，每隔 5 秒会侦测一次 VPN 的连接状况，如果发现断线会快速重新建立连接，保证 VPN 网络的稳定性。同时配合 IKE 维持 VPN 链接的功能，保证建立连接后不会断线。因此让客户各个分点可以采用包时计费的节约方式去租赁宽带。

4. 中怡数宽的 VPN 防火墙的远程服务功能，方便了总部的管理人员实时对各个分点的防火墙进行远程管理，远程升级和远程重启。