Wireshark 網路封包分析器 - 翻轉工作室

Wireshark(以前稱 Ethereal) 是一個免費的網路封包分析軟體，他僅由網路上擷取封包，並不會對網路發生任何影響。

它不是入侵偵測軟體，網路發生異常現象，也不會發出 ... 網路規劃與管理技術：第 一章 實習環境建立   上一頁     1-2Wireshark網路封包分析器 內容： 1-2-1下載 Wireshark套件 1-2-2操作視窗說明 1-2-3封包擷取操作 1-2-4封包篩選條件組合 Wireshark(以前稱Ethereal)是一個免費的網路封包分析軟體，他僅由網路上擷取封包，並不會對網路發生任何影響。

它不是入侵偵測軟體，網路發生異常現象，也不會發出警告訊息。

我們僅能利用它擷取封包，再來分析網路狀況，能提供下列協助： ●檢測網路問題、 ●檢查網路安全相關問題、 ●開發者對新的協定偵錯、 ●學習網路協定相關知識(此為我們主要目地)。

1-2-1下載Wireshark套件 (A)搜尋官方網站 在Google上搜尋Wireshark即可，如下：(選擇WindowsInstaller(64bit) (B)安裝步驟 (只要繼續按下一步即可) 1-2-2操作視窗說明 (A)選擇介面卡： 進入後選擇由哪一個介面卡擷取封包。

一般如安裝在Windows7/10主機上，則只有主機上的網路架面卡。

(B)擷取封包： 點選介面卡之後，立即開始擷取封包，須按“暫停”才會暫停擷取。

於擷取視窗(2)是擷取到的每一個IP封包，可點選某一個封包，則在視窗(3)出現該封包的分析資料，而封包內的詳細資料如視窗(4)所示，畫面如下： 擷取封包紀錄視窗中有五個欄位，說明如下： (1) No 欄位：擷取封包數。

(2)Time 欄位：封包擷取時間，預設值由0開始計時。

(3) Source 欄位：封包傳送的來源位址。

(4) Destination 欄位：封包傳送的目地位址。

(5) Length 欄位：封包的長度(Bytes)。

(6) Info 欄位：有關封包的訊息，譬如TCP、UDP封包標頭的訊息。

點選封包紀錄中某一筆資料，則在下一個視窗顯示該筆封包的展開內容。

譬如點選一筆UDP紀錄，則依序由EthernetII、IPv4、UDP顯示其標頭內容，最後再顯示UDP所承載的資料。

1-2-3封包擷取操作 擷取封包必須注意事項如下： ● 選取介面卡：在操作電腦上也許會有多片實體網路卡，或經過虛擬機(如VMwarePlayer)產生的介面卡，需選擇由哪一個介面卡擷取封包。

● 擷取篩選條件：如沒有設定擷取條件的話，封包數量將會非常多，很難找到所欲觀察的封包。

即是，符合條件的封包材擷取，譬如僅擷取某一只IP位址發送或接收的封包。

● 顯示篩選條件：雖然經過擷取篩選後，所產生的封包也許還是很多，則可設定顯示篩選條件，譬如，僅顯示TCP封包。

擷取步驟如下圖所示，分別說明之： (1)設定『擷取篩選條件』 ●點選擷取條件鍵，則出現各種條件顯則、 ●選擇某一擷取條件，譬如ip位址、 ●再輸入相關資訊，譬如120.118.165.107之ip位址。

再輸入IP位址，如下： (2)設定顯示篩選 由左上角點選『顯示篩選條件』按鈕，再選擇顯示條件，如下圖所示。

(3)選擇介面卡 最後點選欲由哪一片網路卡擷取封包，如下： (4)暫停/繼續擷取 (5)下拉式選單操作 當然也可以由下拉式選單操作，如下：(請自行操作練習) 1-2-4封包篩選條件組合 (1)篩選條件運算子 篩選條件運算子如下： 關係 運算子 範例 等於 Eq、== ip.proto==1 不等於 Ne、!= Ip.proto!=1 大於 Gt、> Frame.pkt_len>100 小於 Lt、< Frame.pkt_len<100 (2)常用過濾範例 常用過濾範例如下： 類型 說明 範例 eth dst 目的 MAC Eth.dst==ff:ff:ff:ff:ff:ff src 來源 MAC Eth.src==01:34:45:56:a2:c2 addr MAC 位址 Eth.addr==01:34:45:56:a2:c2 type 下一層協定 Eth.type==0x0800(IP) Eth.type==0x0806(ARP) ip dst 目的 IP Ip.dst==192.168.10.3 src 來源 IP Ip.src==192.168.10.4 addr IP 位址 Ip.addr==192.168.10.5 proto 下一層協定 Ip.proto==0x06(TCP) Ip.proto==0x01(ICMP) Ip.proto==0x11(UDP) tcp dstport 目的 Port Tcp.dstport==80(HTTP) srcport 來源 Port Tcp.srcport==21(FTP) port 埠口編號 Tcp.port==23(telnet) udp dstport 目的 Port Udp.dstport==53(DNS) srcport 來源 Port Udp.srcport==53 port 埠口編號 Udp.port==53 (3)篩選條件的邏輯運算子 篩選條件運算子如下： 邏輯 運算子 範例 AND and ip.proto==1andip.dst==192.168.10.2 && ip.proto==1&&ip.dst==192.168.10.2 OR or ip.proto==1orip.dst==192.168.10.2 || ip.proto==1||ip.dst==192.168.10.2 NOT not not(ip.proto==1) ! !(ip.proto==1) 翻轉工作室：粘添壽   網路規劃與管理技術： 第一章實習環境建立 1-1PacketTracer套件 1-2Wireshark網路封包分析器 第二章Internet網路簡介 第三章CiscoIOS命令彙集 第四章TCP/IP協定與分析 第五章應用系統協定與分析 第六章網路基本連線實作 第七章路由規劃與設定 第八章VLAN網路規劃與管理 第九章防火牆規劃與管理 第十章VPN網路規劃與管理     翻轉電子書系列： 資訊與網路安全技術 電子商務安全概論 Java程式設計(一)含程式邏輯 Java 程式設計(二)含物件導向 資料庫系統概論(含邏輯設計) 資料庫程式設計-PHP+MySQL 網路規劃與管理技術 電腦網路與連結技術 TCP/IP協定與Internet網路 Linux伺服器管理-CentOS Unix/Linux系統管理實務