网络管理人员的私人秘书 —Wireshark (一)
你是网络管理员吗?你是不是有过这样的经历:在某一天的早上你突然发现网络性能急剧下降,网络服务不能正常提供,服务器访问速度极慢甚至不能访问,网络交换机端口指示灯疯狂地闪烁、网络出口处的路由器已经处于满负荷的工作状态、路由器 CPU 已经到了百分之百的负荷 …… 重启动后没有几分钟现象又重新出现了。
这是什么问题?设备坏了吗?不可能几台设备同时出问题。一定是有什么大流量的数据文件,耗尽了网络设备的资源,它们是什么?怎么看到它们?这时就该请你的私人秘书 — 网络抓包工具来帮忙来进行网络的分析了。
网络流量分析是指捕捉网络中流动的数据包,并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题,它是网络和系统管理人员进行网络故障和性能诊断的有效工具。通常,人们把网络分析总结为四种方式:基于流量镜像协议分析,基于 SNMP 的流量监测技术,基于网络探针( Probe )技术和基于流( flow )的流量分析。而我们下面要向大家介绍的 Wireshark 就是基于流量镜像协议分析。
流量镜像协议分析方式是把网络设备的某个端口(链路)流量镜像给协议分析仪,通过 7 层协议解码对网络流量进行监测。但该方法主要侧重于协议分析,而非用户流量访问统计和趋势分析,仅能在短时间内对流经接口的数据包进行分析,无法满足大流量、长期的抓包和趋势分析的要求。
Wireshark 的前身是著名的 Ethereal 。 Wireshark 是一款免费的网络协议检测程序。它具有设计完美的 GUI 和众多分类信息及过滤选项。下面是 Wireshark 的界面。
用户通过 Wireshark ,同时将网卡插入混合模式,可以用来监视所有在网络上被传送的包,并分析其内容。通过查看每一封包流向及其内容,用来检查网络的工作情况,或是用来发现网络程序的 bugs 。 Wireshark 是一个开放源码的网络分析系统,也是是目前最好的开放源码的网络协议分析器,支持 Unix , Linux 和 Windows 平台。由于 Wireshark 是 Open Source ,更新快,支持的协议多,特别是数据包过滤功能灵活强大。 Wireshark 提供了对 TCP 、 UDP 、 SMB 、 telnet 和 ftp 等常用协议的支持。它在很多情况下可以代替价格昂贵的 Sniffer 。
Wireshark 是一个图形用户接口( GUI )的网络嗅探器,它依赖于 Pcap 库。因此在安装之前首先要安装 WinPcap ,然后再按照默认值安装 Wireshark 。
WinPcap 下载地址: http://www.winpcap.org/install/default.htm
Wireshark 下载地址: http://www.wireshark.org/
安装好后,双击桌面上的 Wireshark 图标 , 运行软件。再捕捉数据包之前,首先要对捕获的条件进行设置。点击工具栏里的 “Capture à Options” ,(图一)或者直接点击快捷按钮(图二),打开选项设置页面(图三)。 
首先,我们要在 Interface 里选择正确的捕获接口,即要进行报文捕获的网卡。 
Wireshark 支持无线 WLAN 的相关协议,具体设置如下:
下面是一些常用设置项的解释:
Interface :选择捕获接口
Capture packets in promiscuous mode :表示是否打开混杂模式,打开即捕获所有的报文
Limit each packet :表示限制每个报文的大小,缺省情况不限制。
Capture Filter :过滤器,只抓取满足过滤规则的包。(可暂时略过)
Capture files :即捕获数据包的保存的文件名以及保存位置。
其他的选项按照图三的设置即可。 Capture Option 确认选择后,点击 ok 就开始进行抓包。
下面的界面会以协议的不同,统计捕获到报文各占的百分比,此时,点击 stop 即可以停止抓包。 
当然,如果不想每次打开 Wireshark 都重复上述 Capture Option 的设置,我们也有很好的办法。在 “Edit à Preferences à Capture 和 Name Resolution” 里预先做好网卡和其他选项的设置 
做好预设之后,在每次 打开 Wireshark ,直接点击工具栏的开始按钮,就可以开始抓包了。 
本期向大家介绍了 Wireshark 的简单原理,软件特色, Wireshark 的安装和使用设置。通过本期的介绍,大家已经可以使用 Wireshark 捕获数据包了。在下期,我们将向大家介绍 Wireshark 最有特色并且强大的数据包过滤功能,通过过滤,从而有的放矢的得到我们希望得到的数据包。 |
