1、 Wireshark 使用手册 长 园 深 瑞 继 保 自 动 化 有 限 公 司 第 1 页 Wireshark使用手册 编写 : 工程平台组 1. 软件介绍 wireshark 的原名是 Ethereal,新名字是 2006 年起用的。当时 Ethereal 的主要开发者决定离开他原来供职的公司,并继续开发这个软件。但由于 Ethereal 这个名称的使用权已经被原来那个公司注册, Wireshark 这个新名字也就应运而生了。 目前我们在工程现场可以利用 Wireshark 进行 103、 104、 61850 站控层、 61850 过程层报文的捕获和分析 。 2. 软件界面简介 2.1
2、. MENUS(菜单) 程序上方的菜单项用于对 Wireshark 进行配置: - “File“(文件) - “Edit“ (编辑) - “View“(查看) - “Go“ (转到) 打开或保存捕获的信息。 查找或标记封包。进行全局设置。 设置 Wireshark 的视图。 跳转到捕获的数据。 Wireshark 使用手册 长 园 深 瑞 继 保 自 动 化 有 限 公 司 第 2 页 - “Capture“(捕获) - “Analyze“(分析) - “Statistics“ (统计) - “Help“ (帮助) 设置捕捉过滤器并开始捕捉。 设置分析选项。 查看 Wireshark 的统计信
3、息。 查看本地或者在线支持。 工具栏可进行基本的抓包操作 可获取的网卡列表 捕获选项 开始捕获 (需要先选定一个网卡 ) 停止捕获 重新开始捕获 2.2. DISPLAY FILTER(显示过滤器) 显示过滤器用于查找捕捉记录中的内容。请不要将捕捉过滤器和显示过滤器的概念相混淆。请参考 Wireshark 过滤器 中的详细内容 。 显示过滤器将是我们在分析报文的过程中经常会使用到的一个工具,通过“显示过滤器”我们可以筛选指定的封包报文,例如在捕获的 61850 过程层报文中 我们可以通过“显示过滤器”筛选指定发送源 MAC 地址的封包数据。 2.3. PACKET LIST PANE(封包列表
4、) 封包列表中显示所有已经捕获的封包。在这里您可以看到发送或接收方的 MAC/IP 地址,TCP/UDP 端口号,协议或者封包的内容。如果捕获的是一个 OSI layer 2 的封包,您在 Source(来源)和 Destination(目的地)列中看到的将是 MAC 地址,当然,此时 Port(端口)列将会为空。如果捕Wireshark 使用手册 长 园 深 瑞 继 保 自 动 化 有 限 公 司 第 3 页 获的是一个 OSI layer 3 或者更高层的封包,您在 Source(来源)和 Destination(目的地)列中看到的将是 IP 地址。 Port(端口)列仅会在这个封包属于第
5、 4 或者更高层时才会显示。 我们 可以在这里添加 /删除列或者改变各列的颜色: Edit menu - Preferences 2.4. PACKET DETAILS PANE(封包详细信息) 这里显示的是在封包列表中被选中项目的详细信息。信息按照不同 的 OSI layer 进行了分组,您可以展开每个项目查看。下面截图中展开的是 HTTP 信息 2.5. DISSECTOR PANE( 16进制数据) “解析器 ”在 Wireshark 中也被叫做 “16进制数据查看面板 ”。这里显示的内容与 “封包详细信息 ”中相同,只是改为以 16 进制的格式表述。 在上面的例子里,我们在 “封包详细
6、信息 ”中选择查看 TCP 端口( 80),其对应的 16 进制数据将自动显示在下面的面板中( 0050)。 2.6. MISCELLANOUS(杂项) 在程序的最下端,您可以获得如下信息: - 正在进行捕捉的网络设备。 - 捕捉是否已经开始或已经停止。 - 捕捉结果的保存位置。 - 已捕捉的数据量。 Wireshark 使用手册 长 园 深 瑞 继 保 自 动 化 有 限 公 司 第 4 页 - 已捕捉封包的数量。 (P) - 显示的封包数量。 (D) (经过显示过滤器过滤后仍然显示的封包 ) - 被标记的封包数量。 (M) 3. 如何使用 WireShark 关于 WireShark 的使
7、用,在工程现场我们主要关注“捕捉过滤器”和“显示过滤器”的使用 。即,如何进行报文捕获,如何对捕获的报文进行筛选。 3.1. 捕捉过滤器 (仅介绍,此功能现场较少使用) 设置捕捉过滤器的步骤是: - 选择 capture - options。 - 填写 “capture filter“栏或者点击 “capture filter“按钮为您的过滤器起一个名字并保存,以便在 后的捕捉中继续使用这个过滤器。 - 点击开始( Start)进行捕捉。 Wireshark 使用手册 长 园 深 瑞 继 保 自 动 化 有 限 公 司 第 5 页 语法: Protocol Direction Host(s)
8、Value LogicalOperations Other expression 例子: tcp dst 10.1.1.1 80 and tcp dst 10.2.2.2 3128 Protocol(协议) : 可能的值 : ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 如果没有特别指明是什么协议,则默认使用所有支持的协议。 Direction(方向) : 可能的值 : src, dst, src and dst, src or dst 如果没有特别指明来源或目的地,则默认使用 “src or
9、dst“ 作为关键字。 例如, “host 10.2.2.2“与 “src or dst host 10.2.2.2“是一样的。 Host(s): 可能 的值: net, port, host, portrange. 如果没有指定此值,则默认使用 “host“关键字。 Wireshark 使用手册 长 园 深 瑞 继 保 自 动 化 有 限 公 司 第 6 页 例如, “src 10.1.1.1“与 “src host 10.1.1.1“相同。 Logical Operations(逻辑运算) : 可能的值: not, and, or. 否 (“not“)具有最高的优先级。或 (“or“)和与
10、 (“and“)具有相同的优先级,运算时从左至右进行。 例如, “not tcp port 3128 and tcp port 23“与 “(not tcp port 3128) and tcp port 23“相同。 “not tcp port 3128 and tcp port 23“与 “not (tcp port 3128 and tcp port 23)“不同。 3.2. 显示过滤器(重要) 3.2.1. 显示过滤器可在过滤规则框中输入过滤条件 过滤源 ip、目的 ip。在 wireshark 的过滤规则框 Filter 中输入过滤条件。如查找目的地址为192.168.101.8 的
11、包, ip.dst=192.168.101.8;查找源地址为 ip.src=1.1.1.1; 端口过滤。如过滤 80 端口,在 Filter 中输入, tcp.port=80,这条规则是把源端口和目的端口为 80 的都过滤出来。使用 tcp.dstport=80 只过滤目的端口为 80 的, tcp.srcport=80 只过滤源端口为 80 的包; 协议过滤比较简单,直接在 Filter 框中直接输入协议名即可,如过滤 HTTP 的协议; http 模式过滤。如过滤 get 包, http.request.method=“GET“,过滤 post 包,http.request.method=
12、“POST“;连接符 and 的使用。过滤两种条件时,使用 and 连接,如过滤 ip 为 192.168.101.8 并且为 http 协议的, ip.src=192.168.101.8 and http。 3.2.2. 根据已捕获的报文进行过滤器设置 以一段 SV 报文举例,找到指定来源的 SV 报文。 Wireshark 使用手册 长 园 深 瑞 继 保 自 动 化 有 限 公 司 第 7 页 首先找到需要筛选的 SV 报文,例如图中 找到 MT6622 合并单元发送的一帧 SV 报文 在 Sorce 一栏右键 选择“ Apply as Filter” -“ Selected”可将源地址作为筛选条件,即可筛选指定来源报文 对于不同的筛选需求,可在设置显示过滤器时选用不同的规则,例如需要对目标( Destination)进行筛选时 即在 Destination 位置右键进行筛选,在 Apply as Filter 菜单栏下的不同选项可实现不同的筛选逻辑。 4. 结语 本文仅针对 WireShark 基本菜单以及两种过滤器的基本功能进行介绍,部分内容参照百度知道,如有错误还请指正。
