1. centos怎樣安裝wireshark
centos下安裝wireshark相當簡單.兩條命令就夠了.這里.主要是記錄寫使用方面的東西
安裝:
1、yum install wireshark。注意這樣並無法使用wireshark命令和圖形界面。但提供了抓包基本功能。
2、yum install wireshark-gnome。這樣就可以方便的使用了。
如果能登錄圖形界面終端.那使用和windows下的無區別.但我們的伺服器都在國外.要管理的話都是SSH登錄只能用命令行了。使用wireshark的命令行工具tshark,在安裝的時候會默認給安裝上的,使用方法很簡單,要捕捉包: tshark -wpacket.txt -i etho -q 這樣就會把捕捉到的網路包存放在packet.txt文件裡面,要查看詳情的話: tshark -rpacket.txt -x -V|more即可.
下面理一下所有參數的作用:
-a
設置一個標准用來指定Wireshark什麼時候停止捕捉文件。標準的格式為 test:value,test值為下面中的一個。
ration:value
當捕捉持續描述超過Value值,停止寫入捕捉文件。
filesize:value
當捕捉文件大小達到Value值kilobytes(kilobytes表示1000bytes,而不是1024 bytes),停止寫入捕捉文件。如果該選項和-b選項同時使用,Wireshark在達到指定文件大小時會停止寫入當前捕捉文件,並切換到下一個文件。
files:value
當文件數達到Value值時停止寫入捕捉文件
-b
如果指定捕捉文件最大尺寸,因為Wireshark運行在」ring buffer」模式,被指定了文件數。在」ring buffer」模式下,Wireshark 會寫到多個捕捉文件。它們的名字由文件數和創建日期,時間決定。
當第一個捕捉文件被寫滿,Wireshark會跳轉到下一個文件寫入,直到寫滿最後一個文件,此時Wireshark會丟棄第一個文件的數據(除非將files設置為0,如果設置為0,將沒有文件數限制),將數據寫入該文件。
如果ration選項被指定,當捕捉持續時間達到指定值的秒數,Wireshark同樣會切換到下個文件,即使文件未被寫滿。
ration:value
當捕捉持續描述超過Value值,即使文件未被寫滿,也會切換到下個文件繼續寫入。
filesize:value
當文件大小達到value值kilobytes時(kelobyte表示1000bytes,而不是1024bytes),切換到下一個文件。
files:value
當文件數達到value值時,從第一個文件重新開始寫入。
-B
僅適合Win32:設置文件緩沖大小(單位是MB,默認是1MB).被捕捉驅動用來緩沖包數據,直到達到緩沖大小才寫入磁碟。如果捕捉時碰到丟包現象,可以嘗試增大它的大小。
-c
實時捕捉中指定捕捉包的最大數目,它通常在連接詞-k選項中使用。
-D
列印可以被Wireshark用於捕捉的介面列表。每個介面都有一個編號和名稱(可能緊跟在介面描述之後?)會被列印,介面名或介面編號可以提供給-i參數來指定進行捕捉的介面(這里列印應該是說在屏幕上列印)。
在那些沒有命令可以顯示列表的平台(例如Windows,或者缺少ifconfig -a命令的UNIX平台)這個命令很有用;介面編號在Windows 2000及後續平台的介面名稱通常是一些復雜字元串,這時使用介面編號會更方便點。
注意,」可以被Wireshark用於捕捉」意思是說:Wireshark可以打開那個設備進行實時捕捉;如果在你的平台進行網路捕捉需要使用有特殊許可權的帳號(例如root,Windows下的Administrators組),在沒有這些許可權的賬戶下添加-D不會顯示任何介面。參數
-f
設置捕捉時的內置過濾表達式
-g 在使用-r參數讀取捕捉文件以後,使用該參數跳轉到指定編號的包。
-h
-h選項請求Wireshark列印該版本的命令使用方法(前面顯示的),然後退出。
-i
設置用於進行捕捉的介面或管道。
網路介面名稱必須匹配Wireshark -D中的一個;也可以使用Wireshark -D顯示的編號,如果你使用UNIX,netstat -i或者ifconfig -a獲得的介面名也可以被使用。但不是所有的UNIX平台都支持-a,ifconfig參數。
如果未指定參數,Wireshark會搜索介面列表,選擇第一個非環回介面進行捕捉,如果沒有非環回介面,會選擇第一個環回介面。如果沒有介面,wireshark會報告錯誤,不執行捕捉操作。
管道名即可以是FIFO(已命名管道),也可以使用」-」讀取標准輸入。從管道讀取的數據必須是標準的libpcap格式。
-k
-k選項指定Wireshark立即開始捕捉。這個選項需要和-i參數配合使用來指定捕捉產生在哪個介面的包。
-l
打開自動滾屏選項,在捕捉時有新數據進入,會自動翻動」Packet list」面板(同-S參數一樣)。
-m
設置顯示時的字體(編者認為應該添加字體範例)
-n
顯示網路對象名字解析(例如TCP,UDP埠名,主機名)。
-N
對特定類型的地址和埠號打開名字解析功能;該參數是一個字元串,使用m可以開啟MAC地址解析,n開啟網路地址解析,t開啟傳輸層埠號解析。這些字元串在-n和-N參數同時存在時優先順序高於-n,字母C開啟同時(非同步)DNS查詢。
-o 設置首選項或當前值,覆蓋默認值或其他從Preference/recent file讀取的參數、文件。該參數的值是一個字元串,形式為 prefname:value,prefnmae是首選項的選項名稱(出現在preference/recent file上的名稱)。value是首選項參數對應的值。多個-o 可以使用在單獨命中中。
設置單獨首選項的例子:
wireshark -o mgcp.display_dissect_tree:TRUE
設置多個首選項參數的例子:
wireshark -o mgcp.display_dissect_tree:TRUE -o mgcp.udp.callagent_port:2627-p
不將介面設置為雜收模式。注意可能因為某些原因依然出於雜收模式;這樣,-p不能確定介面是否僅捕捉自己發送或接受的包以及到該地址的廣播包,多播包
-Q
禁止Wireshark在捕捉完成時退出。它可以和-c選項一起使用。他們必須在出現在-i -w連接詞中。
-r
指定要讀取顯示的文件名。捕捉文件必須是Wireshark支持的格式。
-R
指定在文件讀取後應用的過濾。過濾語法使用的是顯示過濾的語法,,不匹配的包不會被顯示。
-s
設置捕捉包時的快照長度。Wireshark屆時僅捕捉每個包位元組的數據。
-S
Wireshark在捕捉數據後立即顯示它們,通過在一個進程捕捉數據,另一個進程顯示數據。這和捕捉選項對話框中的」Update list of packets in real time/實時顯示數據」功能相同。
-t
設置顯示時間戳格式。可用的格式有
r 相對的,設置所有包時間戳顯示為相對於第一個包的時間。
a absolute,設置所有包顯示為絕對時間。
ad 絕對日期,設置所有包顯示為絕對日期時間。
d delta 設置時間戳顯示為相對於前一個包的時間
e epoch 設置時間戳顯示為從epoch起的妙數(1970年1月1日 00:00:00起)
-v
請求Wireshark列印出版本信息,然後退出
-w
在保存文件時以savefile所填的字元為文件名。
-y
如果捕捉時帶有-k參數,-y將指定捕捉包中數據鏈接類型。The values reported by -L are the values that can be used.
-X
設置一個選項傳送給TShark 模塊。eXtension 選項使用extension_key:值形式,extension_key:可以是:
lua_script:lua_script_filename,它告訴Wireshark載入指定的腳本。默認腳本是Lua scripts.
-z
得到Wireshark的多種類型的統計信息,顯示結果在實時更新的窗口。
用LogParser分析WireShark的包
2. 關於ping命令和WIRESHARK的使用
(1)可靠 ,可靠性100%,因為丟包是客觀事實,時間也是按照本地時間來得。ping不管對方是什麼設備,只要其尅有ip定址。
(2)wireshark是一個可以看到網路包的捕獲軟體。只能看到ack之類的和對方可以接受的。擁塞窗口不可以直接讀取。backlog不可以【這玩意是你創建server的時候設定的可以同時接收的客戶端,再多的就要排隊等待了,不會在網路包上體現出來,所以不可以】,網路可用帶寬不可以。丟包率可以,往返時間需要自己算。
wireshark類只是個軟體,你只能根據tcp協議和截包判斷這些是否可得。不是什麼參數都可以得到的。
3. 如何使用wireshark查看ssl內容
1,要查看ssl的內容,需要得到server的server rsa key
2, 打開wireshark, 找到如下路徑, Edit -> Preferences -> protocols -> SSL
然後點擊 RSA Keys List: Edit,
在新的RSA編輯界面創建一個新的RSA key
其中
IP address 是伺服器的IP
Port 一般是443
protocol 一般填寫http
key file 可以選擇自己伺服器上的rsa key。 這個RSA Key需要是一個解密了的 PKCS#8 PEM 格式的(RSA) key
password 一般不填寫,如果key file需要一個密碼,可以在這里填寫。
3,由於wireshark低版本(低於或者是1.10)不支持session ticket, 所以如果伺服器配置的ssl是TLSv1,同時在mac的safari上面訪問,需要session ticket。 這是就要升級wireshark版本到1.12以上。
如果是ubuntu 14.04, 可以通過如下命令升級
[plain] view plain
sudo apt-add-repository 'deb http://ppa.launchpad.net/wireshark-dev/stable/ubuntu trusty main'
sudo apt-get update<pre name="code" class="plain"><span style="font-family: Arial, Helvetica, sans-serif;">sudo apt-get upgrade</span>
sudo apt-get upgrade wiresharksudo apt-get install wireshark
這就可以在wireshark解密https,查看http的內容了。
4,注意點
1, 有時候Diffie-Hellman 的CipherSuite不能解密,所以可以嘗試如下的CipherSuite。
SSLCipherSuite RC4-SHA
2, 有時候session cache會有影響,可以在mods-available/ssl.conf修改SSLSessionCache如下
[plain] view plain
SSLSessionCache none
#SSLSessionCacheTimeout 300
[plain] view plain
3,restart the apache using
[plain] view plain
sudo service apache2 restart
4. wireshark 僅僅顯示UDP命令
在那個網卡的Option中點下,然後就有個對話框出來,然後,再找裡面好像是有個Capture
Filter的按鈕,點擊在出來的對話框中選擇UDP
Only就OK
了,然後,開始抓包,就都是UDP的協議數據了。
祝你好運!
5. 如何通過wireshark進行抓包的分析
這個問題比較簡單就可以實現,首先,你要先在交換機上鏡像出來一組你需要監控的數據。
然後,打開wireshark,選擇列出抓包介面,選擇要抓包的介面,
這時候別點開始,點倒數第二個按鈕,【選項】。
在出來的窗口裡面,雙擊你剛才選中介面,又彈出一個窗口,
這時候,在最下面填上過濾條件【tcp】,
點擊【確定】。
然後點擊下面的【開始】,
就可以了,抓出來的包全是tcp的。
如果抓之前,你沒過濾,已經把所有的包都抓出來了,
這時候,把數據包打開,在最上面的過濾條件裡面輸入tcp,就可以了。
過濾條件有很多命令格式,多記住幾個經常用的就可以了。
6. 如何進入wireshark命令行
首先,安裝只要一個命令行(由於之前裝過了,所以沒有在安裝什麼了):sudo apt-get install wireshark 上一步,已經將wireshark安裝完畢,接下來我沒就可以通過:wireshark 用來啟動它的圖形界面。 然而,mpcap需要root許可權才能使用的,以普通用...
7. wireshark開始抓包助手才能收到
wireshark開始抓包助手才能收到使用wireshark工具抓取ping命令操作的示例,如下
1、打開wireshark 2.6.5,
2、選擇菜單欄上Capture -> Option,勾選WLAN網卡(這里需要根據各自電腦網卡使用情況選擇,簡單的辦法可以看使用的IP對應的網卡)。點擊Start。啟動抓包。
8. mac wireshark 怎麼對iphone抓包
1、在mac上打開wireshark 2、在wireshark上鍵入抓包命令 3、顯示命令執行後的結果 4、使用成功
9. wireshark在linux下怎麼用
一、安裝 以root用戶運行:yum install wireshark
二、運行
在終端中鍵入命令:
#wireshark
bash:wireshark:command not found
#whereis wireshark
wireshark: /usr/lib/wireshark /usr/share/wireshark
#cd /usr/lib/wireshark
#ls
plugins
#cd /usr/share/wireshark; ls
AUTHORS-SHORT dtds mergecap.html tshark.html
capinfos.html mpcap.html radius wimaxasncp
cfilters editcap.html rawshark.html wireshark-filter.html
colorfilters help services wireshark.html
COPYING idl2wrs.html smi_moles ws.css
dfilters ipmap.html text2pcap.html
diameter manuf tpncp
10. ubuntu中怎樣安裝wireshark
首先,安裝只要一個命令行(由於之前裝過了,所以沒有在安裝什麼了):sudo apt-get install wireshark
上一步,已經將wireshark安裝完畢,接下來我沒就可以通過:wireshark 用來啟動它的圖形界面。
然而,mpcap需要root許可權才能使用的,以普通用戶打開Wireshark,Wireshark當然沒有許可權使用mpcap進行截取封包。雖然可以用:sudo wireshark來完成。但是,以sudo的方式用root打開Wireshark顯然是不安全的,也不是很方便,因為得到的封包數據也屬於root用戶。
於是,我們提供下面的方法來完成普通用戶下的操作。
1.添加wireshark用戶組
#sudo groupadd wireshark
2.將mpcap更改為wireshark用戶組
#sudo chgrp wireshark /usr/bin/mpcap
3.讓wireshark用戶組有root許可權使用mpcap #sudo chmod 4755 /usr/bin/mpcap
4.將需要使用的普通用戶名加入wireshark用戶組,我的用戶是「cai」(需要根據具體用戶名修改!在#前面可以找到喲),則需要使用命令:
#sudo gpasswd -a dengyi wireshark
接下來你就可以以普通用戶登陸打開Wireshark,也會有許可權進行抓包了。