作者:[以色列]约拉姆·奥扎赫(Yoram Orzach)
出版社:信息技术第一出版分社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
Wireshark网络分析实战试读:
前言
Wireshark早已成为网络分析领域里的标配工具,随着Internet和TCP/IP网络的极速发展,该工具会受到网络分析专家及排障工程师的热捧,同时也会获得(网络协议或应用程序)研发工程师们的青睐,因为后者需要知道协议在网络中的实际运作方式以及在运行时所碰到问题。
本书的写作立足于实战。本书第1部分(从第1章到第6章)简要介绍了Wireshark软件(的架构)及其各个组件的使用方法。这部分的内容包括Wireshark的启动方法、在网络中的安置方法、信息统计(statistical)工具的使用方法以及专家(Expert)系统的使用方法。本书第2部分(从第7章到第14章)详述了如何使用Wireshark来分析并排除某些常用网络协议的故障;TCP/IP协议栈(特别是TCP性能问题)是这部分的重点内容。此外,还会简要介绍HTTP、SMTP、POP 以及 DNS 等协议,外加数据库、Citrix 和 Microsoft 终端服务器、IP 电话以及多媒体应用所使用的协议,以上协议都属于常用的Internet协议。本书最后一章(第14章)涉及网络安全,介绍了如何利用Wireshark去发现网络中的安全缺陷,同时交代了与安全性有关的其他问题。
本书的书名既然叫《Wireshark网络分析实战》,那么其内容一定是由一系列利用Wireshark对网络故障进行有效性、针对性分析的诀窍所构成。书中包含的每个诀窍都与某一具体的网络故障相关联,在介绍如何使用Wireshark解决相关故障时,作者会指出应关注Wireshark工具的哪些地方、哪些(抓包)内容以及正在处理的故障的起因。为求表述圆满,每个诀窍都会包含相应主题的理论基础知识,好让尚未掌握基础概念的读者先行“武装”自己。
书中包含了许多示例,所有示例均来源于真实案例。作者在处理这些案例时,所花费的时间虽长短不一(有些只花了几分钟时间,有些则要花几小时甚至几天),但所遵循的原则只有一条,那就是:按部就班,选择正确的工具,当应用程序开发者肚里的“蛔虫”,外加从网络的角度思考问题。只要按此原则行事,兼之能活学活用Wireshark,定能将故障查个水落石出。本书的目的也正在于此,享受这一切吧。
本书所含内容
第1章,Wireshark简介,开启了对Wireshark的简要介绍,同时阐述了在有效开展网络分析时,Wireshark 主机(或程序)的布放(或安装)位置问题。在本章,读者会学到如何配置Wireshark的基本(运行)参数、启动窗口、时间参数及配色规则(coloring rules),但本章的重点内容是如何配置首选项窗口(Preferences window)。
第2章,抓包过滤器的用法,介绍了抓包过滤器的使用方法。要让Wireshark只抓取必要的数据包,抓包过滤器不可或缺。本章会详述这一过滤器的配置方法,外加如何使用这一过滤器,让Wireshark只抓取网络工程师“心仪的”数据包。
第3章,显示过滤器的用法,本章说明了显示过滤器的使用方法。通过Wireshark抓取到数据包之后,可定义显示过滤器,让Wireshark只显示出“必要的”数据包。本章会详述这一过滤器的配置方法,同时会介绍如何利用其来帮助排除网络故障。
第4章,基本信息统计工具的用法,说明了Wireshark自带的信息统计工具的基本用法,包括如何用Statistics 菜单下的某些菜单项,生成与相互“沟通”的主机(who is talking)、会话(conversations)及HTTP协议流量等有关的信息统计报表。
第5章,高级信息统计工具的用法,介绍了Wireshark提供的信息统计工具的高级用法,包括如何用Statistics 菜单下的有关菜单项,生成IO 图(IO graph)及TCP流图(TCP stream graph),上述图形可成为网络及应用程序性能分析的重要依据。
第6章,Expert Infos 工具的用法,讲解了如何使用 Wireshark 内置的专家系统(Expert system)工具,该工具的功能极为强大,可对网络中发生的有可能会影响到应用程序正常交付的各种事件(比如,TCP重传、零窗口[zero-window]、TTL过低/路由环路、报文段失序等)“洞察秋毫”。
第7章,Ethernet、LAN交换以及无线LAN,简要介绍了与Ethernet协议及LAN交换有关的基本概念,探讨了可能会发生在第二层的网络故障。此外,本章还重点介绍了无线 LAN (Wi-Fi)相关知识,包括如何测试该网络,以及如何解决发生在该网络中的故障。
第8章,ARP和IP故障分析,简要介绍了与ARP和IP有关的基本概念,探讨了IP连通性故障及路由环路故障的解决方法。此外,本章还讲解了如何发现IP地址冲突,如何解决DHCP及其他相关故障。
第9章,UDP/TCP故障分析,重点关注第四层协议——UDP和TCP——着重讨论与TCP性能有关的问题。本章包含多个定位 TCP 性能问题的诀窍,TCP 重传问题、重复确认问题(duplicate ACK)、滑动窗口(sliding-window)问题(即window-full和zero-window问题)、重置(reset)问题等都属于TCP性能问题。
第10章,HTTP和DNS,重点关注DNS、HTTP及HTTPS协议,将介绍这三种协议的运作方式,同时还会讲解如何排除与三种协议有关的故障。
第11章,企业网应用程序行为分析,探讨了包括FTP、Mail协议以及与终端服务和数据库有关的常用网络协议,在介绍网络故障对上述应用程序的影响的同时,还会给出基本的排障思路。
第12章,SIP、多媒体和 IP 电话技术,介绍了如何利用 Wireshark,去定位及排除依靠IP 传送的语音及视频(voice and video over IP)故障,此类故障包括VoIP SIP连通性故障、RTP/RTCP 故障和视频故障(比如,画面停顿[picture freezing]和画质不佳)等。
第13章,排除由低带宽或高延迟所引发的故障,介绍了如何利用Wireshark,去定位由低带宽、高延迟及高抖动所引发的故障。本章会细述当网络中存在高延迟及高抖动现象时,TCP的种种表现,同时会交待怎样才能让TCP表现得更好。
第14章,认识网络安全,本章重点关注 TCP/IP 网络的安全性,包括如何发现可能会对网络构成危害的扫描行为及 SYN、DoS/DDoS 等攻击行为。本章还会提供发现攻击流量模式的多个诀窍,同时说明这些攻击是如何发动的。
附录、链接、工具及进阶阅读,提供了进一步学习Wireshark软件的重要链接,包括各种学习资源和其他各种辅助软件等。
阅读准备
阅读本书之前,请先下载并安装Wireshark软件,下载链接为www.wireshark.org。
本书的读者对象
本书的读者对象包括使用Wireshark进行网络分析和排除网络故障的研发工程师、技术支持工程师以及IT行业的技术管理人员。阅读本书的读者需掌握网络的基本概念,但不要求读者对具体的协议或厂商实现有深入的了解。第1章Wireshark简介
本章涵盖以下内容:安置Wireshark(主机/程序);开始抓包;配置启动窗口;配置时间参数;调整配色规则;保存、打印及导出数据;配置用户界面(点击EDIT菜单的Preferences菜单项,会弹出Preferences窗口。所谓配置用户界面,就是配置该窗口中User Interface 配置选项里的内容);配置协议参数(即配置Preferences窗口中Protocol配置选项里的内容)。1.1 Wireshark简介
本章将介绍 Wireshark 所能行使的基本任务。本书的前言曾提到过网络排障以及内置于Wireshark能帮助排障的各种工具。一旦决定动用Wireshark协议分析软件,在使用之前,则有必要先确定该软件在网络中的部署(或安装)位置。除此之外,还得对该软件做一些基本的配置,至少应让其界面看起来更为友好。
用Wireshark执行基本的抓包操作,配置起来并不麻烦,但是该软件也包含了很多高级配置选项,可用来应对某些特殊情况。这样的特殊情况包括令Wireshark在某条链路上持续抓取数据包的同时,将抓包文件切分为多个较小的文件;让Wireshark在抓包主窗口的数据包列表区域只显示(发包/收包)主机(或设备)的名称而非IP地址等。本章会介绍如何在Wireshark中配置这些高级选项,以应对上述特殊情况。
把Wireshark主机(或程序)安置(或安装)在网络中的哪个地方,令其行使抓包功能,是本章的一大重点。应将 Wireshark 置于防火墙“身前”还是“身后”呢?应置于路由器的WAN一侧,还是LAN一侧呢?到底应在上述的哪些地方才能正确采集到自己想要的数据呢?这些问题的答案、安置Wireshark的诀窍以及更多与Wireshark抓包有关的内容请见1.2节。
如何配置Wireshark时间参数(亦即如何配置Wireshark,让其按网管人员的意愿,来显示数据包的收、发时间的格式),是本章的又一重点内容。在抓取时间敏感型应用程序数据,且希望弄清隶属于同一条TCP连接或UDP流的数据包间的“交互”时间时,如何配置Wireshark时间参数将显得尤为重要。
1.4 节会介绍 Wireshark 数据文件的操作,包括:如何保存抓包数据(是完整还是部分保存);如何保存经过过滤的数据文件;如何以各种文件格式来导出抓包数据;如何合并抓包文件(比如,将两份Wireshark抓包文件合二为一,这两份抓包文件中的数据分别抓取自不同路由器上的以太网接口)等。
本章还会介绍如何调整Wireshark配色规则。所谓调整配色规则,是指配置Wireshark,令其以不同的颜色来显示不同类型(或不同协议)的数据包。虽然Wireshark默认开启了一套配色方案,但在某些特殊情况下,网管人员可能需要对配色方案进行调整,让受监控的特殊协议的数据包或让 Wireshark 把识别出的某些值得关注的错误/事件,以引人注目的颜色显示。1.6节将包括这些内容。
本章最后两节会讨论Wireshark首选菜单项的配置。这两节会讲解Wireshark用户界面的配置(包括如何配置Wireshark主界面;如何在抓包面板中添加或删除数据包属性栏;如何查看数据包属性栏等),以及针对具体协议的配置(包括如何将某个TCP端口号默认解析为应用服务名称;如何验证TCP/UDP校验和;如何验证TCP时间戳;如何解码数据包中各协议头部内的各个字段等)。1.2 安置Wireshark(程序或主机)
看到了网络故障的表象,决定通过Wireshark抓包来查明故障原委之前,应确定Wireshark (程序或主机)的(安装或部署)位置。为此,需弄到一张精确的网络拓扑图(至少也得弄清楚故障所波及的那部分网络的拓扑结构),如图1.1所示。
安置Wireshark的原理非常简单。首先,应圈定要抓取哪些(哪台)设备发出的流量;其次,要把安装了Wireshark的主机(笔记本)连接到受监控设备所连交换机;最后,开启交换机的端口镜像(或端口监控)功能,把受监控设备发出的流量“重定向”给Wireshark主机。图1.1
可利用Wireshark监控LAN端口、WAN端口、服务器/路由器端口或连接到网络的任何其他设备的流量。
如图1.1所示,利用Wireshark软件(安装在交换机左边的PC上)外加交换机的端口镜像(也叫做端口监控,需在交换机上激活该特性,流量镜像的方向已在图中标出)功能,便可以监控到进、出服务器S2的所有流量。当然,也可以在服务器S2上直接安装Wireshark,如此行事,便能直接在服务器S2上监控进、出该服务器的流量了。
某些厂商的交换机还支持以下流量监控特性。监控整个VLAN的流量:即监控整个VLAN(服务器VLAN 或语音VLAN)的流量。可借助该特性,在指定的某一具体VLAN内进行流量监控。“多源归一”的流量监控方式:以图1.1 为例,借助该特性,可让Wireshark 主机同时监控到服务器S1和S2的流量。方向选择:可选择监控入站流量、出站流量或同时监控出、入站流量。
1.2.1 准备工作
使用Wireshark抓包之前,请先访问Wireshark官网,下载并安装最新版本的Wireshark。
Wireshark软件的后续更新会发布在其官网http://www.wireshark.org的Download页面下,其最新的稳定版本也可以从该页面下载。
每个Wireshark Windows安装包都会自带WinPcap 驱动程序的最新稳定版本,WinPcap 驱动程序为实时抓包所必不可缺。用于抓包的WinPcap 驱动程序为UNIX Libpcap 库的Windows版本。
1.2.2 操作方法
现以图1.2这一典型网络为例,来简单分析一下该网络的架构、网络中设备的部署及运作方式、Wireshark的安置方法,以及如何按需配置网络设备。图1.2
请读者仔细研究一下图1.2所示的简单而又常见的网络拓扑结构。
服务器流量监控
像服务器流量监控这样的需求,在实战中非常常见。要想监控到某台服务器(收/发)的流量,既可以在交换机上针对连接服务器的端口配置端口镜像(如图 1.2 中的编号①所示),将流量“重定向”至Wireshark主机,也可以在服务器上直接安装Wireshark。
路由器流量监控
要想监控进、出路由器的流量,监控其LAN端口(如图1.2中的编号②和⑥所示)或WAN端口(如图1.2中的编号⑤所示)都可以办到。
路由器LAN端口的流量监控起来比较简单,只要在交换机上配置端口镜像,把与路由器LAN口相连的端口的流量“重定向”至连接Wireshark主机的端口。要想监控路由器WAN口的流量,则要在路由器 WAN 口和 SP(服务提供商)网络之间部署一台交换机,在这台交换机上配置端口镜像,如图1.3所示。图1.3
在SP网络与路由器WAN口之间部署一台交换机,是一项会导致断网的操作。不过,真要如此行事的话,网络中断的时间最多也就一两分钟。
监控路由器的流量时,有一点请务必留意:发往路由器的数据包并不一定都会得到转发。有些数据包或许会在途中“走失”,而路由器既有可能会因缓存溢出而对部分数据包“忍痛割爱”,也有可能会把某些数据包从接收端口“原路送回”。
执行上述流量监控任务时,可能会用到以下两种设备。TAP:可在受监控链路上用一种叫做分路器(Test Access Point ,TAP)的设备来取代图 1.3 中的交换机,这是一种简单的“三通”(三端口)设备,执行流量监控时,其所起作用跟交换机相同。与交换机相比,TAP不但便宜而且使用方便。此外,TAP还会把错包原样传递给Wireshark,而LAN交换机则会把错包完全丢弃。交换机不但价格高昂,而且还需要花时间来配置,当然它所支持的监控功能也更多(比如,一般的LAN交换机都支持简单网络管理协议[SNMP])。排除网络故障时,最好能用可网管交换机,哪怕是功能没那么丰富的可网管交换机也好。HUB:可在受监控的链路上用一台HUB来取代图1.3中的交换机。HUB属于半双工设备,藉此设备,路由器和SP设备之间穿行的每一个数据包都能被Wireshark主机“看”的一清二楚。使用HUB最大的坏处是,会显著加剧流量的延迟,从而对流量采集产生影响。如今,监控1Gbit/s端口的流量可谓是家常便饭,在这种情况下使用HUB,将会使速率骤降至100Mbit/s,这会对抓包产生严重影响。所以说,在抓包时一般都不用HUB。
防火墙流量监控
防火墙流量监控的手段有两种,一种是监控防火墙内口(如图1.2中的编号③所示)的流量,另外一种是监控防火墙外口(如图1.2中的编号④所示)的流量。若监控防火墙内口,则可以“观看”到内网用户发起的所有访问Internet的流量,其源IP地址均为分配给内网用户的内部IP地址;若监控防火墙外口,则能“观看”到的所有(经过防火墙放行的)访问Internet的流量,这些流量的源IP地址均为外部IP地址(拜NAT所赐,分配给内网用户的内部IP地址被转换成了外部IP地址);而由内网用户发起,但防火墙未予放行的流量,监控防火墙外口是观察不到的。若有人(通过Internet)发动对防火墙(或内网)的攻击,要想“观察”到攻击流量,观测点也只能是防火墙外口。
1.2.3 幕后原理
要想弄清端口镜像(端口监控)的运作原理,需先理解LAN交换机的运作方式。LAN交换机执行数据包转发任务时的“举动”如下所列。
1.LAN交换机会“坚持不懈”地学习接入本机的所有设备的MAC地址。
2.收到发往某MAC地址的数据帧时,LAN交换机只会将其从学得此MAC地址的端口外发。
3.收到广播帧时,交换机会从除接收端口以外的所有端口外发。
4.收到多播帧时,若未启用 Cisco 组管理协议(Cisco Group Management Protocol, CGMP)或Internet组管理协议(Internet Group Management Protocol,IGMP)监听特性,LAN交换机会从除接收端口以外的所有端口外发;若启用了以上两种特性之一, LAN交换机将会通过连接了相应多播接收主机的端口,外发多播帧。
5.收到目的MAC地址未知的数据帧时(这种情况比较罕见),交换机会从除接收端口以外的所有端口外发。
综上所述,在LAN交换机上配置端口镜像去监控某个端口时,可“采集”到进、出该端口的所有流量。若只是将一台安装了Wireshark的笔记本接入LAN交换机,未在交换机上开启端口镜像功能,则只能抓到流入或流出该笔记本的所有单播流量,以及同一 VLAN 里的多播及广播流量。
1.2.4 拾遗补缺
使用Wireshark抓包时,还需提防几种特殊情况。
其中的一个特殊情况是,抓取整个VLAN的流量(VLAN流量监控)。在基于VLAN执行抓包任务时,有几个重要事项需要铭记。第一个要注意的地方是,Wireshark 主机只能采集到与其直连的交换机承载的同一VLAN的流量。比方说,在一个交换式网络(LAN)内,有多台交换机都拥有隶属于VLAN 10 的端口,要是只让Wireshark 主机直连某台接入层交换机,那必然采集不到VLAN 10 内其他接入层交换机上的主机访问直连核心层交换机的服务器的流量。
请看图 1.4 所示的网络,用户一般会分布在各个楼层,跟所在楼层的接入层交换机相连。各台接入层交换机会跟一台或两台(为了冗余)核心层交换机相连。Wireshark主机要想抓全某个VLAN的流量,必须与承载此VLAN流量的交换机直接相连,才能采集到相应 VLAN 的流量。因此,要想抓全 VLAN 10 的流量,Wireshark 主机必须直连核心层交换机。
在图1.4中,若Wireshark主机直连SW2,且在SW2上激活了相关端口镜像功能,开始监控VLAN 30 的流量,则其只能抓取到进、出SW2 P2、P4、P5 端口的流量,以及由SW2承载的同一VLAN的流量。该Wireshark主机绝不可能采集到SW3和SW1之间来回穿行的VLAN 30 的流量。
基于整个 VLAN 来实施抓包任务时,可能会抓到重复的数据包,是另外一个需要注意的地方。之所以会出现这种情况,是因为启用端口镜像时,对于在不同交换机端口之间交换的同一VLAN的流量,Wireshark主机会在流量接收端口的流入(input)方向及流量发送端口的流出(output)方向分别抓取一遍。
如图1.5 所示,在交换机上已激活了端口镜像功能,对VLAN 30的流量实施监控。对于服务器S4 向S2 发送的数据包,当其(从连接S4 的交换机端口)流入VLAN 30 时,Wireshark主机将抓取一次;当其从(从连接S2 的交换机端口)流出VLAN 30 时,Wireshark 主机会再抓取一次。这么一来,便采集到了重复的流量。图1.4图1.5
1.2.5 进阶阅读
欲深入了解端口镜像相关信息,请参阅各网络设备厂商提供的操作手册。有些厂商也把端口镜像称为“端口监控”或SPAN(Switched Port Analyzer)(Cisco 公司)。
某些厂商的交换机支持远程流量监控(能让直连本地交换机的Wireshark主机采集到远程交换机端口的流量)以及高级过滤功能(比如,在把流量重定向给Wireshark主机的同时,过滤掉具有特定 MAC 地址的主机发出的流量)。还有些高端交换机本身就具备抓取并分析数据包的功能。某些交换机还能支持虚拟端口(例如,聚合端口或以太网通道端口)的流量监控。有关详情,请阅读交换机的随机文档。1.3 开始抓包
本节首先将介绍如何启动Wireshark,然后会讲解布放好Wireshark之后,如何对其进行配置,以应对不同的抓包场景。
1.3.1 准备工作
安装过Wireshark之后,需点击桌面→开始→程序菜单或快速启动栏上相应的图标,运行该数据包分析软件。
Wireshark一旦运行,便会弹出图1.6所示的窗口(Wireshark1.10.2运行窗口)。图1.6
1.3.2 操作方法
要想让Wireshark软件能抓到数据包,有以下三种途径:点击Capture菜单下的相关菜单项;点击快速启动工具栏里的绿色图标;点击Wireshark主窗口左侧居中的Start区域里的相关选项,如图1.6所示。此外,在抓包之前,还可对Wireshark的某抓包选项进行配置。
如何选择实际用来抓包的网卡
若只是点击图 1.7 所示 Wireshark 快速启动工具栏里的绿色图标(正数第三个图标), Wireshark在抓包时,实际使用的网卡将会是该软件默认指定的网卡(如何更改这一默认配置,详见1.3.3节)。要选择Wireshark抓包时实际使用的网卡,请点击快速启动栏里左边第一个图标(List the available capture interfaces 图标),Wireshark Capture Interfaces 窗口会立刻弹出,如图1.8所示。图1.7
要想得知哪块网卡为有效网卡,最佳途径是观察其是否能够收发流量。通过图1.8,可以得知Wireshark感知到的各块网卡正在收、发的数据包的个数(Packets列)及速率(Packets/s列)。图1.8
若Wireshark的版本不低于1.10.2,则可以选择一块以上的网卡来同时抓包。如此行事的好处是,只要Wireshark主机配有多块网卡,便可同时监控多个服务器端口、多个路由器(或其他网络设备)端口的流量。图1.9所示为这样的一个应用场景。图1.9
如何配置实际用来抓包的网卡
要想对实际用来抓包的网卡做进一步的配置,请点击Capture菜单中的Options菜单项, Wireshark Capture Options窗口会立刻弹出,如图1.10 所示。图1.10
在图1.10 所示的Wireshark Capture Options 窗口中,可配置以下参数。
1.在Wireshark Capture Options 窗口的上半部分区域,可以点选实际用来抓包的网卡。
2.在 Wireshark Capture Options 窗口的左中区域有一个 Use promiscuous mode on all interfaces复选框。选中时,会让Wireshark主机抓取交换机(端口镜像功能)重定向给自己的所有数据包,哪怕数据包的目的(MAC/IP)地址不是本机地址;否则, Wireshark 主机只能抓取到目的(MAC/IP)地址为本机地址的数据包,外加广播及多播数据包。
3.在某些情况下,选中该复选框后,Wireshark将不会从无线网卡抓包。因此,若选用无线网卡抓包,且一无所获时,请取消勾选该复选框。
4.在Use promiscuous mode on all interfaces 复选框下有Capture Files 字样,其后有个files 输入栏,可在栏内输入一个文件名,然后再点选use multiple files 复选框。这么一点,Wireshark 不但会把所抓数据保存在由其命名的文件内(其系统路径可由用户指定),而且还可根据特定的需求,以多个文件的形式存储。当以多个文件的形式存储时,在同一目录下,Wireshark会自动在原始文件名后添加后缀“_xxxxx_具体时间”来加以区分。若所要抓取的数据较多,Wireshark的这一功能便非常有用。譬如,在网卡收到的流量较高,或需要长期抓取数据的情况下,就可以利用这一多文件存储功能,基于特定的时间间隔(点选第二个next file every复选框)或希望保存的每个抓包文件的大小(点选第一个next file every复选框),让Wireshark另行打开一个新的文件来保存所抓取的数据。
5.在Wireshark Capture Options 窗口的左下区域,有Stop Capture Automatically 字样。可点选其名下的三个复选框,让 Wireshark 根据抓包时长、所保存的抓包文件的大小或所抓取的数据包的数量,来决定是否停止抓包任务。
6.在Wireshark Capture Options 窗口的右中区域,有Display Options 字样。可点选其名下的三个复选框,来配置Wireshark抓包主窗口的显示选项。点选Update list of packets in real time复选框,Wireshark抓包主窗口将会实时显示抓取到的所有数据包;点选Automatically scroll during live capture 复选框,Wireshark抓包主窗口会在实时显示数据包时自动滚屏;点选Hide capture info dialog复选框,Wireshark 将不再弹出与实际用来抓包的网卡相关联的流量统计窗口。一般而言,无需改变 Wireshark 软件的上述任何一项默认配置。
7.在Wireshark Capture Options 窗口的右下区域,有name resolution字样。可点选其名下的4个复选框,来调整与名字解析有关的配置。点选前三个复选框,就会让Wireshark在显示数据时,解析出与MAC地址、IP地址以及第四层协议端口号相对应的名称(比如,MAC地址所隶属的厂商名、与IP地址相对应的主机名或域名、与TCP/UDP端口号相对应的应用程序名等);点选最后一个复选框 Use external network name resolver,Wireshark便会调用由操作系统指明的名字解析程序(比如,DNS解析程序),来解析上述名称。
1.3.3 幕后原理
Wireshark的抓包原理非常简单。把Wireshark主机上的网卡接入有线或无线网络开始抓包时,介于有线(或无线)网卡和抓包引擎之间的软件驱动程序便会参与其中。在 Windows 和UNIX平台上,这一软件驱动程序分别叫做WinPcap和Libcap驱动程序;对于无线网卡,行使抓包任务的软件驱动程序名为AirPacP驱动程序。
1.3.4 拾遗补缺
若(数据包的收、发)时间是一个重要因素,且还要让Wireshark主机从一块以上的网卡抓包,则 Wireshark 主机就必须与抓包对象(受监控主机或服务器)同步时间,可利用 NTP (网络时间协议)让Wireshark主机/抓包对象与某个中心时钟源同步时间。
当网管人员既需观察Wireshark抓包文件,也需检查抓包对象所生成的日志记录,以求寻得排障线索时,Wireshark 主机与抓包对象的系统时钟是否同步将会变得无比重要。比方说, Wireshark抓包文件显示的发生TCP重传的时间点,与受监控服务器(生成的)日志显示的发生应用程序报错的时间点相吻合,则可以判断 TCP重传是拜服务器(上运行的应用程序)所赐,与网络无关。
Wireshark软件所采用的时间取自操作系统(Windows、Linux等)的系统时钟。至于不同OS中NTP的配置方法,请参考相关操作系统配置手册。
以下所列为在Microsoft Windows 7操作系统内配置时间同步的方法。
1.单击任务栏最右边的时间区域,会出现时间窗口。
2.在时间窗口中点击“更改日期和时间设置”,会弹出“日期和时间”窗口。
3.在“日期和时间”窗口中,点击“Internet时间”标签,再点击“更改设置”,会弹出“Internet时间设置”窗口。
4.在“Internet时间设置”窗口中,选中“与Internet时间服务器同步”复选框,在“服务器”后的输入栏内输入时间服务器(NTP)的IP地址,再点确定按钮。
注意
在Microsoft Windows 7及后续版本的操作系统中,默认包含了几个时间服务器(格式为域名)。可选择一个时间服务器,让网络内的所有主机都与其同步时间。
NTP 是一种网络协议,网络设备之间可藉此协议同步各自的时间。可把网络设备(路由器、交换机、防火墙)及服务器配置为NTP客户端,令它们与同一台NTP时间服务器(时钟源)对时(同步时间),时间精度要取决于那台时间服务器所处的层级(stratum)或等级(level)。NTP时间服务器所处层级越高,其所提供的时间也就越精确。直连原子时钟并提供NTP对时服务的设备被称为1级时钟源,其精度也最高。
RFC 1059(NTPv1)是定义NTP的第一份标准文档,RFC 1119(NTPv2)则是第二份;目前常用的NTPv3和v4 则分别定义于RFC 1305和RFC 5905。
NTP服务器IP地址表可从多处下载,比如http://support.ntp.org/bin/view/Servers/StratumOneTimeServers 和http://wpollock.com/AUnix2/NTPstratum1Public Servers.htm。
1.3.5 进阶阅读
可浏览以下站点,来了解与PACP驱动程序有关的信息。WinPcap:http://www.winpcap.orgLibPcap:http://www.tcpdump.org1.4 配置启动窗口
本节会介绍与Wireshark启动窗口有关的基本配置,同时会介绍抓包主窗口、文件格式以及可视选项的配置。
1.4.1 准备工作
启动Wireshark软件,首先映入眼帘的就是启动窗口。可在此窗口中调整以下各项配置参数,来满足抓包需求:工具条配置;抓包主窗口配置;时间格式;名字解析;所抓数据包的配色;抓包时是否自动滚屏;字体大小;主窗口数据包属性栏的配置;配色规则。
先来熟悉一下Wireshark启动窗口内几个常用的工具条(栏),如图1.11所示。
试读结束[说明:试读内容隐藏了图片]