介紹

Wireshark是世界上最流行的網(wǎng)絡(luò)分析工具。這個(gè)強(qiáng)大的工具可以捕捉網(wǎng)絡(luò)中的數(shù)據(jù)，并為用戶提供關(guān)于網(wǎng)絡(luò)和上層協(xié)議的各種信息。與很多其他網(wǎng)絡(luò)工具一樣，Wireshark也使用pcap network library來進(jìn)行封包捕捉。可破解局域網(wǎng)內(nèi)QQ、郵箱、msn、賬號(hào)等的密碼。

使用

抓取報(bào)文

下載和安裝好Wireshark之后，啟動(dòng)Wireshark并且在接口列表中選擇接口名，然后開始在此接口上抓包。

例如，如果想要在無線網(wǎng)絡(luò)上抓取流量，點(diǎn)擊無線接口。點(diǎn)擊Capture Options可以配置高級(jí)屬。此處選擇本地連接。

點(diǎn)擊接口名稱之后，就可以看到實(shí)時(shí)接收的報(bào)文。Wireshark會(huì)捕捉系統(tǒng)發(fā)送和接收的每一個(gè)報(bào)文。如果抓取的接口是無線并且選項(xiàng)選取的是混合模式，那么也會(huì)看到網(wǎng)絡(luò)上其他報(bào)文。

上端面板每一行對(duì)應(yīng)一個(gè)網(wǎng)絡(luò)報(bào)文，默認(rèn)顯示報(bào)文接收時(shí)間（相對(duì)開始抓取的時(shí)間點(diǎn)），源和目標(biāo)IP地址，使用協(xié)議和報(bào)文相關(guān)信息。點(diǎn)擊某一行可以在下面兩個(gè)窗口看到更多信息。“+”圖標(biāo)顯示報(bào)文里面每一層的詳細(xì)信息。底端窗口同時(shí)以十六進(jìn)制和ASCII碼的方式列出報(bào)文內(nèi)容。

需要停止抓取報(bào)文的時(shí)候，點(diǎn)擊左上角的停止按鍵。

色彩標(biāo)識(shí)

進(jìn)行到這里已經(jīng)看到報(bào)文以綠色，藍(lán)色，黑色顯示出來。Wireshark通過顏色讓各種流量的報(bào)文一目了然。比如：

默認(rèn)綠色是TCP報(bào)文
深藍(lán)色是DNS
淺藍(lán)是UDP
黑色標(biāo)識(shí)出有問題的TCP報(bào)文——比如亂序報(bào)文。

報(bào)文樣本

比如說你在家安裝了Wireshark，但家用LAN環(huán)境下沒有感興趣的報(bào)文可供觀察，那么可以去Wireshark wiki下載報(bào)文樣本文件。

打開一個(gè)抓取文件相當(dāng)簡單，在主界面上點(diǎn)擊Open并瀏覽文件即可。也可以在Wireshark里保存自己的抓包文件并稍后打開。

過濾報(bào)文:

如果正在嘗試分析問題，比如打電話的時(shí)候某一程序發(fā)送的報(bào)文，可以關(guān)閉所有其他使用網(wǎng)絡(luò)的應(yīng)用來減少流量。但還是可能有大批報(bào)文需要篩選，這時(shí)要用到Wireshark過濾器。最基本的方式就是在窗口頂端過濾欄輸入并點(diǎn)擊Apply（或按下回車）。例如，輸入“dns”就會(huì)只看到DNS報(bào)文。輸入的時(shí)候，Wireshark會(huì)幫助自動(dòng)完成過濾條件。

也可以點(diǎn)擊Analyze菜單并選擇Display Filters來創(chuàng)建新的過濾條件。

另一件很有趣的事情是你可以右鍵報(bào)文并選擇Follow TCP Stream。

你會(huì)看到在服務(wù)器和目標(biāo)端之間的全部會(huì)話。

關(guān)閉窗口之后，你會(huì)發(fā)現(xiàn)過濾條件自動(dòng)被引用了——Wireshark顯示構(gòu)成會(huì)話的報(bào)文。

檢查報(bào)文:

選中一個(gè)報(bào)文之后，就可以深入挖掘它的內(nèi)容了。

也可以在這里創(chuàng)建過濾條件——只需右鍵細(xì)節(jié)并使用Apply as Filter子菜單，就可以根據(jù)此細(xì)節(jié)創(chuàng)建過濾條件。

Wireshark是一個(gè)非常之強(qiáng)大的工具，第一節(jié)只介紹它的最基本用法。網(wǎng)絡(luò)專家用它來debug網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)細(xì)節(jié)，檢查安全問題，網(wǎng)絡(luò)協(xié)議內(nèi)部構(gòu)件等等。

觀察基本網(wǎng)絡(luò)協(xié)議

TCP:

TCP/IP通過三次握手建立一個(gè)連接。這一過程中的三種報(bào)文是：

SYN
SYN/ACK
ACK。

第一步是找到PC發(fā)送到網(wǎng)絡(luò)服務(wù)器的第一個(gè)SYN報(bào)文，這標(biāo)識(shí)了TCP三次握手的開始。

如果你找不到第一個(gè)SYN報(bào)文，選擇Edit -> Find Packet菜單選項(xiàng)。選擇Display Filter，輸入過濾條件：tcp.flags，這時(shí)會(huì)看到一個(gè)flag列表用于選擇。選擇合適的flag，tcp.flags.syn并且加上==1。點(diǎn)擊Find，之后trace中的第一個(gè)SYN報(bào)文就會(huì)高亮出來了。

注意：Find Packet也可以用于搜索十六進(jìn)制字符，比如惡意軟件信號(hào)，或搜索字符串，比如抓包文件中的協(xié)議命令。

一個(gè)快速過濾TCP報(bào)文流的方式是在Packet List Panel中右鍵報(bào)文，并且選擇Follow TCP Stream。這就創(chuàng)建了一個(gè)只顯示TCP會(huì)話報(bào)文的自動(dòng)過濾條件。

這一步驟會(huì)彈出一個(gè)會(huì)話顯示窗口，默認(rèn)情況下包含TCP會(huì)話的ASCII代碼，客戶端報(bào)文用紅色表示服務(wù)器報(bào)文則為藍(lán)色。

窗口類似下圖所示，對(duì)于讀取協(xié)議有效載荷非常有幫助，比如HTTP，SMTP，F(xiàn)TP。

更改為十六進(jìn)制Dump模式查看載荷的十六進(jìn)制代碼，如下圖所示：

關(guān)閉彈出窗口，Wireshark就只顯示所選TCP報(bào)文流。現(xiàn)在可以輕松分辨出3次握手信號(hào)。

注意：這里Wireshark自動(dòng)為此TCP會(huì)話創(chuàng)建了一個(gè)顯示過濾。本例中：(ip.addr eq 192.168.1.2 and ip.addr eq 209.85.227.19) and (tcp.port eq 80 and tcp.port eq 52336)

SYN報(bào)文：

圖中顯示的5號(hào)報(bào)文是從客戶端發(fā)送至服務(wù)器端的SYN報(bào)文，此報(bào)文用于與服務(wù)器建立同步，確保客戶端和服務(wù)器端的通信按次序傳輸。SYN報(bào)文的頭部有一個(gè)32 bit序列號(hào)。底端對(duì)話框顯示了報(bào)文一些有用信息如報(bào)文類型，序列號(hào)。

SYN/ACK報(bào)文：

7號(hào)報(bào)文是服務(wù)器的響應(yīng)。一旦服務(wù)器接收到客戶端的SYN報(bào)文，就讀取報(bào)文的序列號(hào)并且使用此編號(hào)作為響應(yīng)，也就是說它告知客戶機(jī)，服務(wù)器接收到了SYN報(bào)文，通過對(duì)原SYN報(bào)文序列號(hào)加一并且作為響應(yīng)編號(hào)來實(shí)現(xiàn)，之后客戶端就知道服務(wù)器能夠接收通信。

ACK報(bào)文：

8號(hào)報(bào)文是客戶端對(duì)服務(wù)器發(fā)送的確認(rèn)報(bào)文，告訴服務(wù)器客戶端接收到了SYN/ACK報(bào)文，并且與前一步一樣客戶端也將序列號(hào)加一，此包發(fā)送完畢，客戶端和服務(wù)器進(jìn)入ESTABLISHED狀態(tài)，完成三次握手。

ARP & ICMP：

開啟Wireshark抓包。打開windows控制臺(tái)窗口，使用ping命令行工具查看與相鄰機(jī)器的連接狀況。

停止抓包之后，Wireshark如下圖所示。ARP和ICMP報(bào)文相對(duì)較難辨認(rèn)，創(chuàng)建只顯示ARP或ICMP的過濾條件。

ARP報(bào)文：

地址解析協(xié)議，即ARP（Address Resolution Protocol），是根據(jù)IP地址獲取物理地址的一個(gè)TCP/IP協(xié)議。其功能是：主機(jī)將ARP請(qǐng)求廣播到網(wǎng)絡(luò)上的所有主機(jī)，并接收返回消息，確定目標(biāo)IP地址的物理地址，同時(shí)將IP地址和硬件地址存入本機(jī)ARP緩存中，下次請(qǐng)求時(shí)直接查詢ARP緩存。

最初從PC發(fā)出的ARP請(qǐng)求確定IP地址192.168.1.1的mac地址，并從相鄰系統(tǒng)收到ARP回復(fù)。ARP請(qǐng)求之后，會(huì)看到ICMP報(bào)文。

ICMP報(bào)文：

網(wǎng)絡(luò)控制消息協(xié)定（Internet Control Message Protocol，ICMP）用于TCP/IP網(wǎng)絡(luò)中發(fā)送控制消息，提供可能發(fā)生在通信環(huán)境中的各種問題反饋，通過這些信息，令管理者可以對(duì)所發(fā)生的問題作出診斷，然后采取適當(dāng)?shù)拇胧┙鉀Q。

PC發(fā)送echo請(qǐng)求，收到echo回復(fù)如上圖所示。ping報(bào)文被mark成Type 8，回復(fù)報(bào)文mark成Type 0。

如果多次ping同一系統(tǒng)，在PC上刪除ARP cache，使用如下ARP命令之后，會(huì)產(chǎn)生一個(gè)新的ARP請(qǐng)求。

HTTP：

HTTP協(xié)議是目前使用最廣泛的一種基礎(chǔ)協(xié)議，這得益于目前很多應(yīng)用都基于WEB方式，實(shí)現(xiàn)容易，軟件開發(fā)部署也簡單，無需額外的客戶端，使用瀏覽器即可使用。這一過程開始于請(qǐng)求服務(wù)器傳送網(wǎng)絡(luò)文件。

從上圖可見報(bào)文中包括一個(gè)GET命令，當(dāng)HTTP發(fā)送初始GET命令之后，TCP繼續(xù)數(shù)據(jù)傳輸過程，接下來的鏈接過程中HTTP會(huì)從服務(wù)器請(qǐng)求數(shù)據(jù)并使用TCP將數(shù)據(jù)傳回客戶端。傳送數(shù)據(jù)之前，服務(wù)器通過發(fā)送HTTP OK消息告知客戶端請(qǐng)求有效。如果服務(wù)器沒有將目標(biāo)發(fā)送給客戶端的許可，將會(huì)返回403 Forbidden。如果服務(wù)器找不到客戶端所請(qǐng)求的目標(biāo)，會(huì)返回404。

如果沒有更多數(shù)據(jù)，連接可被終止，類似于TCP三次握手信號(hào)的SYN和ACK報(bào)文，這里發(fā)送的是FIN和ACK報(bào)文。當(dāng)服務(wù)器結(jié)束傳送數(shù)據(jù)，就發(fā)送FIN/ACK給客戶端，此報(bào)文表示結(jié)束連接。接下來客戶端返回ACK報(bào)文并且對(duì)FIN/ACK中的序列號(hào)加1。這就從服務(wù)器端終止了通信。要結(jié)束這一過程客戶端必須重新對(duì)服務(wù)器端發(fā)起這一過程。必須在客戶端和服務(wù)器端都發(fā)起并確認(rèn)FIN/ACK過程。

IO圖形工具分析數(shù)據(jù)流

基本IO Graphs:

IO graphs是一個(gè)非常好用的工具。基本的Wireshark IO graph會(huì)顯示抓包文件中的整體流量情況，通常是以每秒為單位（報(bào)文數(shù)或字節(jié)數(shù)）。默認(rèn)X軸時(shí)間間隔是1秒，Y軸是每一時(shí)間間隔的報(bào)文數(shù)。如果想要查看每秒bit數(shù)或byte數(shù)，點(diǎn)擊“Unit”，在“Y Axis”下拉列表中選擇想要查看的內(nèi)容。這是一種基本的應(yīng)用，對(duì)于查看流量中的波峰/波谷很有幫助。要進(jìn)一步查看，點(diǎn)擊圖形中的任意點(diǎn)就會(huì)看到報(bào)文的細(xì)節(jié)。

為了講解方便，點(diǎn)擊示例報(bào)文包，或用自己的wireshark點(diǎn)擊Statistics – IO Graphs。這個(gè)抓包是HTTP下載遇到報(bào)文丟失的情況。

注意：過濾條件為空，此圖形顯示所有流量。

這個(gè)默認(rèn)條件下的顯示在大多數(shù)troubleshooting中并不是非常有用。將Y軸改為bits/tick這樣就可以看到每秒的流量。從這張圖可以看到峰值速率是300kbps左右。如果你看到有些地方流量下降為零，那可能是一個(gè)出問題的點(diǎn)。這個(gè)問題在圖上很好發(fā)現(xiàn)，但在看報(bào)文列表時(shí)可能不那么明顯。

過濾：

每一個(gè)圖形都可以應(yīng)用一個(gè)過濾條件。這里創(chuàng)建兩個(gè)不同的graph，一個(gè)HTTP一個(gè)ICMP。可以看到過濾條件中Graph 1使用“http”Graph 2使用“icmp”。圖中可以看到紅色I(xiàn)CMP流量中有些間隙，進(jìn)一步分析。

創(chuàng)建兩個(gè)圖形，一個(gè)顯示ICMP Echo（Type=8）一個(gè)顯示ICMP Reply（Type=0）。正常情況下對(duì)于每一個(gè)echo請(qǐng)求會(huì)有一個(gè)連續(xù)的reply。這里的情況是：

可以看到紅色脈沖線(icmp type==0 – ICMP Reply)中間有間隙，而整張圖中ICMP請(qǐng)求保持連續(xù)。這意味著有些reply沒有接收到。這是由于報(bào)文丟失導(dǎo)致的reply drop。CLI中看到的ping信息如下：

常用排錯(cuò)過濾條件:

對(duì)于排查網(wǎng)絡(luò)延時(shí)/應(yīng)用問題有一些過濾條件是非常有用的：

tcp.analysis.lost_segment：表明已經(jīng)在抓包中看到不連續(xù)的序列號(hào)。報(bào)文丟失會(huì)造成重復(fù)的ACK，這會(huì)導(dǎo)致重傳。

tcp.analysis.duplicate_ack：顯示被確認(rèn)過不止一次的報(bào)文。大涼的重復(fù)ACK是TCP端點(diǎn)之間高延時(shí)的跡象。

tcp.analysis.retransmission：顯示抓包中的所有重傳。如果重傳次數(shù)不多的話還是正常的，過多重傳可能有問題。這通常意味著應(yīng)用性能緩慢和/或用戶報(bào)文丟失。

tcp.analysis.window_update：將傳輸過程中的TCP window大小圖形化。如果看到窗口大小下降為零，這意味著發(fā)送方已經(jīng)退出了，并等待接收方確認(rèn)所有已傳送數(shù)據(jù)。這可能表明接收端已經(jīng)不堪重負(fù)了。

tcp.analysis.bytes_in_flight：某一時(shí)間點(diǎn)網(wǎng)絡(luò)上未確認(rèn)字節(jié)數(shù)。未確認(rèn)字節(jié)數(shù)不能超過你的TCP窗口大小（定義于最初3此TCP握手），為了最大化吞吐量你想要獲得盡可能接近TCP窗口大小。如果看到連續(xù)低于TCP窗口大小，可能意味著報(bào)文丟失或路徑上其他影響吞吐量的問題。

tcp.analysis.ack_rtt：衡量抓取的TCP報(bào)文與相應(yīng)的ACK。如果這一時(shí)間間隔比較長那可能表示某種類型的網(wǎng)絡(luò)延時(shí)（報(bào)文丟失，擁塞，等等）。

在抓包中應(yīng)用以上一些過濾條件：

注意：Graph 1是HTTP總體流量，顯示形式為packets/tick，時(shí)間間隔1秒。Graph 2是TCP丟失報(bào)文片段。Graph 3是TCP 重復(fù)ACK。Graph 4是TCP重傳。

從這張圖可以看到：相比于整體HTTP流量，有很多數(shù)量的重傳以及重復(fù)ACK。從這張圖中，可以看到這些事件發(fā)生的時(shí)間點(diǎn)，以及在整體流量中所占的比例。

函數(shù):

IO Graphs有六個(gè)可用函數(shù)：SUM, MIN, AVG, MAX, COUNT, LOAD。

MIN( ), AVG( ), MAX( )

首先看一下幀之間的最小，平均和最大時(shí)間，這對(duì)于查看幀/報(bào)文之間的延時(shí)非常有用。我們可以將這些函數(shù)結(jié)合“frame.time_delta”過濾條件看清楚幀延時(shí)，并使得往返延時(shí)更為明顯。如果抓包文件中包含不同主機(jī)之間的多個(gè)會(huì)話，而只想知道其中一個(gè)pair，可將“frame.time_delta”結(jié)合源和目標(biāo)主機(jī)條件如“ip.addr==x.x.x.x &&ip.addr==y.y.y.y”。如下圖所示：

我們做了以下步驟：

將Y軸設(shè)置為“Advanced”，讓Caculation域可見。不做這一步就看不到計(jì)算選項(xiàng)。
X軸時(shí)間間隔1秒，所以每個(gè)柱狀圖代表1秒間隔的計(jì)算結(jié)果。
過濾出兩個(gè)特定IP地址的HTTP會(huì)話，使用條件：“(ip.addr==192.168.1.4&& ip.addr==128.173.87.169) && http”。
使用3個(gè)不同的graph，分別計(jì)算Min(), Avg(), Max()。
對(duì)每一個(gè)計(jì)算結(jié)果應(yīng)用條件“frame.time_delta”，將style設(shè)置成“FBar”，顯示效果最佳。

從上圖可見，在第106秒時(shí)數(shù)據(jù)流的MAX frame.delta_time達(dá)到0.7秒，這是一個(gè)嚴(yán)重延時(shí)并且導(dǎo)致了報(bào)文丟失。如果想要深入研究，只需要點(diǎn)擊圖中這一點(diǎn)，就會(huì)跳轉(zhuǎn)至相應(yīng)幀。對(duì)應(yīng)于本例抓包文件中第1003個(gè)報(bào)文。如果你看見幀之間平均延時(shí)相對(duì)較低但突然某一點(diǎn)延時(shí)很長，可點(diǎn)擊這一幀，看看這一時(shí)間點(diǎn)究竟發(fā)生了什么。

Count( )

此函數(shù)計(jì)算時(shí)間間隔內(nèi)事件發(fā)生的次數(shù)，在查看TCP分析標(biāo)識(shí)符時(shí)很有用，例如重傳。例圖如下：

Sum( )

該函數(shù)統(tǒng)計(jì)事件的累加值。有兩種常見的用例是看在捕獲TCP數(shù)據(jù)量，以及檢查TCP序列號(hào)。讓我們看看第一個(gè)TCP長度的例子。創(chuàng)建兩個(gè)圖，一個(gè)使用客戶端IP 192.168.1.4為源，另一個(gè)使用客戶端IP作為一個(gè)目的地址。每個(gè)圖我們將sum()功能結(jié)合tcp.len過濾條件。拆分成兩個(gè)不同的圖我們就可以看到在一個(gè)單一的方向移動(dòng)的數(shù)據(jù)量。

從圖表中我們可以看到，發(fā)送到客戶端的數(shù)據(jù)量（IP.DST = = 192.168.1.4過濾條件）比來自客戶端的數(shù)據(jù)量要高。在圖中紅色表示。黑條顯示從客戶端到服務(wù)器的數(shù)據(jù)，相對(duì)數(shù)據(jù)量很小。這是有道理的，因?yàn)榭蛻糁皇钦?qǐng)求文件和收到之后發(fā)送確認(rèn)數(shù)據(jù)，而服務(wù)器發(fā)送大文件。很重要的一點(diǎn)是，如果你交換了圖的順序，把客戶端的IP作為圖1的目標(biāo)地址，并且客戶端IP作為圖2的源地址，采用了FBAR的時(shí)候可能看不到正確的數(shù)據(jù)顯示。因?yàn)閳D編號(hào)越低表示在前臺(tái)顯示，可能會(huì)覆蓋較高圖號(hào)。

現(xiàn)在讓我們看一下同一個(gè)數(shù)據(jù)包丟失和延遲的TCP序列號(hào)。