1. centos怎样安装wireshark
centos下安装wireshark相当简单.两条命令就够了.这里.主要是记录写使用方面的东西
安装:
1、yum install wireshark。注意这样并无法使用wireshark命令和图形界面。但提供了抓包基本功能。
2、yum install wireshark-gnome。这样就可以方便的使用了。
如果能登录图形界面终端.那使用和windows下的无区别.但我们的服务器都在国外.要管理的话都是SSH登录只能用命令行了。使用wireshark的命令行工具tshark,在安装的时候会默认给安装上的,使用方法很简单,要捕捉包: tshark -wpacket.txt -i etho -q 这样就会把捕捉到的网络包存放在packet.txt文件里面,要查看详情的话: tshark -rpacket.txt -x -V|more即可.
下面理一下所有参数的作用:
-a
设置一个标准用来指定Wireshark什么时候停止捕捉文件。标准的格式为 test:value,test值为下面中的一个。
ration:value
当捕捉持续描述超过Value值,停止写入捕捉文件。
filesize:value
当捕捉文件大小达到Value值kilobytes(kilobytes表示1000bytes,而不是1024 bytes),停止写入捕捉文件。如果该选项和-b选项同时使用,Wireshark在达到指定文件大小时会停止写入当前捕捉文件,并切换到下一个文件。
files:value
当文件数达到Value值时停止写入捕捉文件
-b
如果指定捕捉文件最大尺寸,因为Wireshark运行在”ring buffer”模式,被指定了文件数。在”ring buffer”模式下,Wireshark 会写到多个捕捉文件。它们的名字由文件数和创建日期,时间决定。
当第一个捕捉文件被写满,Wireshark会跳转到下一个文件写入,直到写满最后一个文件,此时Wireshark会丢弃第一个文件的数据(除非将files设置为0,如果设置为0,将没有文件数限制),将数据写入该文件。
如果ration选项被指定,当捕捉持续时间达到指定值的秒数,Wireshark同样会切换到下个文件,即使文件未被写满。
ration:value
当捕捉持续描述超过Value值,即使文件未被写满,也会切换到下个文件继续写入。
filesize:value
当文件大小达到value值kilobytes时(kelobyte表示1000bytes,而不是1024bytes),切换到下一个文件。
files:value
当文件数达到value值时,从第一个文件重新开始写入。
-B
仅适合Win32:设置文件缓冲大小(单位是MB,默认是1MB).被捕捉驱动用来缓冲包数据,直到达到缓冲大小才写入磁盘。如果捕捉时碰到丢包现象,可以尝试增大它的大小。
-c
实时捕捉中指定捕捉包的最大数目,它通常在连接词-k选项中使用。
-D
打印可以被Wireshark用于捕捉的接口列表。每个接口都有一个编号和名称(可能紧跟在接口描述之后?)会被打印,接口名或接口编号可以提供给-i参数来指定进行捕捉的接口(这里打印应该是说在屏幕上打印)。
在那些没有命令可以显示列表的平台(例如Windows,或者缺少ifconfig -a命令的UNIX平台)这个命令很有用;接口编号在Windows 2000及后续平台的接口名称通常是一些复杂字符串,这时使用接口编号会更方便点。
注意,”可以被Wireshark用于捕捉”意思是说:Wireshark可以打开那个设备进行实时捕捉;如果在你的平台进行网络捕捉需要使用有特殊权限的帐号(例如root,Windows下的Administrators组),在没有这些权限的账户下添加-D不会显示任何接口。参数
-f
设置捕捉时的内置过滤表达式
-g 在使用-r参数读取捕捉文件以后,使用该参数跳转到指定编号的包。
-h
-h选项请求Wireshark打印该版本的命令使用方法(前面显示的),然后退出。
-i
设置用于进行捕捉的接口或管道。
网络接口名称必须匹配Wireshark -D中的一个;也可以使用Wireshark -D显示的编号,如果你使用UNIX,netstat -i或者ifconfig -a获得的接口名也可以被使用。但不是所有的UNIX平台都支持-a,ifconfig参数。
如果未指定参数,Wireshark会搜索接口列表,选择第一个非环回接口进行捕捉,如果没有非环回接口,会选择第一个环回接口。如果没有接口,wireshark会报告错误,不执行捕捉操作。
管道名即可以是FIFO(已命名管道),也可以使用”-”读取标准输入。从管道读取的数据必须是标准的libpcap格式。
-k
-k选项指定Wireshark立即开始捕捉。这个选项需要和-i参数配合使用来指定捕捉产生在哪个接口的包。
-l
打开自动滚屏选项,在捕捉时有新数据进入,会自动翻动”Packet list”面板(同-S参数一样)。
-m
设置显示时的字体(编者认为应该添加字体范例)
-n
显示网络对象名字解析(例如TCP,UDP端口名,主机名)。
-N
对特定类型的地址和端口号打开名字解析功能;该参数是一个字符串,使用m可以开启MAC地址解析,n开启网络地址解析,t开启传输层端口号解析。这些字符串在-n和-N参数同时存在时优先级高于-n,字母C开启同时(异步)DNS查询。
-o 设置首选项或当前值,覆盖默认值或其他从Preference/recent file读取的参数、文件。该参数的值是一个字符串,形式为 prefname:value,prefnmae是首选项的选项名称(出现在preference/recent file上的名称)。value是首选项参数对应的值。多个-o 可以使用在单独命中中。
设置单独首选项的例子:
wireshark -o mgcp.display_dissect_tree:TRUE
设置多个首选项参数的例子:
wireshark -o mgcp.display_dissect_tree:TRUE -o mgcp.udp.callagent_port:2627-p
不将接口设置为杂收模式。注意可能因为某些原因依然出于杂收模式;这样,-p不能确定接口是否仅捕捉自己发送或接受的包以及到该地址的广播包,多播包
-Q
禁止Wireshark在捕捉完成时退出。它可以和-c选项一起使用。他们必须在出现在-i -w连接词中。
-r
指定要读取显示的文件名。捕捉文件必须是Wireshark支持的格式。
-R
指定在文件读取后应用的过滤。过滤语法使用的是显示过滤的语法,,不匹配的包不会被显示。
-s
设置捕捉包时的快照长度。Wireshark届时仅捕捉每个包字节的数据。
-S
Wireshark在捕捉数据后立即显示它们,通过在一个进程捕捉数据,另一个进程显示数据。这和捕捉选项对话框中的”Update list of packets in real time/实时显示数据”功能相同。
-t
设置显示时间戳格式。可用的格式有
r 相对的,设置所有包时间戳显示为相对于第一个包的时间。
a absolute,设置所有包显示为绝对时间。
ad 绝对日期,设置所有包显示为绝对日期时间。
d delta 设置时间戳显示为相对于前一个包的时间
e epoch 设置时间戳显示为从epoch起的妙数(1970年1月1日 00:00:00起)
-v
请求Wireshark打印出版本信息,然后退出
-w
在保存文件时以savefile所填的字符为文件名。
-y
如果捕捉时带有-k参数,-y将指定捕捉包中数据链接类型。The values reported by -L are the values that can be used.
-X
设置一个选项传送给TShark 模块。eXtension 选项使用extension_key:值形式,extension_key:可以是:
lua_script:lua_script_filename,它告诉Wireshark载入指定的脚本。默认脚本是Lua scripts.
-z
得到Wireshark的多种类型的统计信息,显示结果在实时更新的窗口。
用LogParser分析WireShark的包
2. 关于ping命令和WIRESHARK的使用
(1)可靠 ,可靠性100%,因为丢包是客观事实,时间也是按照本地时间来得。ping不管对方是什么设备,只要其尅有ip寻址。
(2)wireshark是一个可以看到网络包的捕获软件。只能看到ack之类的和对方可以接受的。拥塞窗口不可以直接读取。backlog不可以【这玩意是你创建server的时候设定的可以同时接收的客户端,再多的就要排队等待了,不会在网络包上体现出来,所以不可以】,网络可用带宽不可以。丢包率可以,往返时间需要自己算。
wireshark类只是个软件,你只能根据tcp协议和截包判断这些是否可得。不是什么参数都可以得到的。
3. 如何使用wireshark查看ssl内容
1,要查看ssl的内容,需要得到server的server rsa key
2, 打开wireshark, 找到如下路径, Edit -> Preferences -> protocols -> SSL
然后点击 RSA Keys List: Edit,
在新的RSA编辑界面创建一个新的RSA key
其中
IP address 是服务器的IP
Port 一般是443
protocol 一般填写http
key file 可以选择自己服务器上的rsa key。 这个RSA Key需要是一个解密了的 PKCS#8 PEM 格式的(RSA) key
password 一般不填写,如果key file需要一个密码,可以在这里填写。
3,由于wireshark低版本(低于或者是1.10)不支持session ticket, 所以如果服务器配置的ssl是TLSv1,同时在mac的safari上面访问,需要session ticket。 这是就要升级wireshark版本到1.12以上。
如果是ubuntu 14.04, 可以通过如下命令升级
[plain] view plain
sudo apt-add-repository 'deb http://ppa.launchpad.net/wireshark-dev/stable/ubuntu trusty main'
sudo apt-get update<pre name="code" class="plain"><span style="font-family: Arial, Helvetica, sans-serif;">sudo apt-get upgrade</span>
sudo apt-get upgrade wiresharksudo apt-get install wireshark
这就可以在wireshark解密https,查看http的内容了。
4,注意点
1, 有时候Diffie-Hellman 的CipherSuite不能解密,所以可以尝试如下的CipherSuite。
SSLCipherSuite RC4-SHA
2, 有时候session cache会有影响,可以在mods-available/ssl.conf修改SSLSessionCache如下
[plain] view plain
SSLSessionCache none
#SSLSessionCacheTimeout 300
[plain] view plain
3,restart the apache using
[plain] view plain
sudo service apache2 restart
4. wireshark 仅仅显示UDP命令
在那个网卡的Option中点下,然后就有个对话框出来,然后,再找里面好像是有个Capture
Filter的按钮,点击在出来的对话框中选择UDP
Only就OK
了,然后,开始抓包,就都是UDP的协议数据了。
祝你好运!
5. 如何通过wireshark进行抓包的分析
这个问题比较简单就可以实现,首先,你要先在交换机上镜像出来一组你需要监控的数据。
然后,打开wireshark,选择列出抓包接口,选择要抓包的接口,
这时候别点开始,点倒数第二个按钮,【选项】。
在出来的窗口里面,双击你刚才选中接口,又弹出一个窗口,
这时候,在最下面填上过滤条件【tcp】,
点击【确定】。
然后点击下面的【开始】,
就可以了,抓出来的包全是tcp的。
如果抓之前,你没过滤,已经把所有的包都抓出来了,
这时候,把数据包打开,在最上面的过滤条件里面输入tcp,就可以了。
过滤条件有很多命令格式,多记住几个经常用的就可以了。
6. 如何进入wireshark命令行
首先,安装只要一个命令行(由于之前装过了,所以没有在安装什么了):sudo apt-get install wireshark 上一步,已经将wireshark安装完毕,接下来我没就可以通过:wireshark 用来启动它的图形界面。 然而,mpcap需要root权限才能使用的,以普通用...
7. wireshark开始抓包助手才能收到
wireshark开始抓包助手才能收到使用wireshark工具抓取ping命令操作的示例,如下
1、打开wireshark 2.6.5,
2、选择菜单栏上Capture -> Option,勾选WLAN网卡(这里需要根据各自电脑网卡使用情况选择,简单的办法可以看使用的IP对应的网卡)。点击Start。启动抓包。
8. mac wireshark 怎么对iphone抓包
1、在mac上打开wireshark 2、在wireshark上键入抓包命令 3、显示命令执行后的结果 4、使用成功
9. wireshark在linux下怎么用
一、安装 以root用户运行:yum install wireshark
二、运行
在终端中键入命令:
#wireshark
bash:wireshark:command not found
#whereis wireshark
wireshark: /usr/lib/wireshark /usr/share/wireshark
#cd /usr/lib/wireshark
#ls
plugins
#cd /usr/share/wireshark; ls
AUTHORS-SHORT dtds mergecap.html tshark.html
capinfos.html mpcap.html radius wimaxasncp
cfilters editcap.html rawshark.html wireshark-filter.html
colorfilters help services wireshark.html
COPYING idl2wrs.html smi_moles ws.css
dfilters ipmap.html text2pcap.html
diameter manuf tpncp
10. ubuntu中怎样安装wireshark
首先,安装只要一个命令行(由于之前装过了,所以没有在安装什么了):sudo apt-get install wireshark
上一步,已经将wireshark安装完毕,接下来我没就可以通过:wireshark 用来启动它的图形界面。
然而,mpcap需要root权限才能使用的,以普通用户打开Wireshark,Wireshark当然没有权限使用mpcap进行截取封包。虽然可以用:sudo wireshark来完成。但是,以sudo的方式用root打开Wireshark显然是不安全的,也不是很方便,因为得到的封包数据也属于root用户。
于是,我们提供下面的方法来完成普通用户下的操作。
1.添加wireshark用户组
#sudo groupadd wireshark
2.将mpcap更改为wireshark用户组
#sudo chgrp wireshark /usr/bin/mpcap
3.让wireshark用户组有root权限使用mpcap #sudo chmod 4755 /usr/bin/mpcap
4.将需要使用的普通用户名加入wireshark用户组,我的用户是“cai”(需要根据具体用户名修改!在#前面可以找到哟),则需要使用命令:
#sudo gpasswd -a dengyi wireshark
接下来你就可以以普通用户登陆打开Wireshark,也会有权限进行抓包了。