当前位置:首页 > 帮助中心 > 如何使用Wireshark分析服务器网络中数据包的10个技巧

如何使用Wireshark分析服务器网络中数据包的10个技巧

发布时间:2020/7/18 11:43:19    来源: A5数据

在任何分组交换网络中,数据包代表服务器之间传输的数据单位。网络工程师和系统管理员都有责任监控和检查数据包,以确保安全和排除故障。

要做到这一点,他们依赖于被称为网络数据包分析器的软件程序,其中Wireshark可能是最受欢迎和使用的,因为它的通用性和易用性。除此之外,Wireshark不仅可以让你实时监控流量,还可以将其保存到文件中,以便日后检查。

在本文中,我们将分享10个关于如何使用Wireshark分析网络中的数据包的技巧。

在Linux服务器中安装Wireshark

要安装Wireshark,请从www.wireshark.org/download.html,为你的操作系统/架构选择正确的安装程序。

如果你使用的是Linux,Wireshark必须直接从你的发行版的仓库中获得,以便在你方便时更容易安装。虽然版本可能不同,但每个版本的选项和菜单应该是相似的。

------------ On Debian/Ubuntu based Distros ------------ 

$ sudo apt-get install wireshark

------------ On CentOS/RHEL based Distros ------------

$ sudo yum install wireshark

------------ On Fedora 22+ Releases ------------

$ sudo dnf install wireshark

在Debian和衍生产品中存在一个已知的错误,可能会阻止列出网络接口,除非你使用sudo启动Wireshark。

Wireshark运行后,你就可以在Capture下选择你想要监控的网络接口。

在本文中,我们将使用eth0,但如果你愿意,你可以选择其他的。先不要点击界面--我们稍后会在回顾了几个Capture功能后再点击。

设置Capture功能选项

我们将考虑的最有用的Capture选项是:

网络接口 –如前所述,我们将仅分析通过eth0传入或传出的数据包。

Capture过滤器 –此选项使我们可以按端口,协议或类型指示要监视的流量类型。

在继续进行提示之前,必须注意一些组织禁止在其网络中使用Wireshark。就是说,如果您不出于个人目的使用Wireshark,请确保您的组织允许使用它。

目前,只需eth0从下拉列表中选择,然后单击按钮上的开始。您将开始看到所有通过该接口的流量。由于检查的数据包量很大,因此对于监视目的并不是真正有用,但这只是一个开始。

在上图中,我们还可以看到图标以列出可用的接口,停止当前Capture并重新启动它(左侧的红色框)以及配置和编辑过滤器(右侧的红色框)。将鼠标悬停在这些图标之一上时,将显示工具提示以指示其功能。

我们将从说明Capture选项开始,而技巧7至#10将讨论如何实际执行Capture操作。

技巧1 –检查HTTP流量

键入http在过滤器框,然后点击应用。启动浏览器,然后转到您想要的任何站点:

要开始随后的所有技巧,请停止实时Capture并编辑Capture过滤器。

技巧2 –检查来自给定IP地址的HTTP流量

在此特定技巧中,我们将前置ip==192.168.0.10&&过滤器节以监视本地计算机和192.168.0.10之间的HTTP通信:

检查IP地址上的HTTP流量

技巧3 –检查到给定IP地址的HTTP流量

与#2紧密相关,在这种情况下,我们将按以下方式将其ip.dst用作Capture过滤器的一部分:

ip.dst==192.168.0.10&&http

监控HTTP网络到IP地址的流量

要结合技巧#2和#3,可以ip.addr在过滤规则中使用代替ip.src或ip.dst。

技巧4 –监视Apache和MySQL网络流量

有时,您可能会对检查符合任何一个(或两个)条件的流量感兴趣。例如,要监视TCP端口80(Web服务器)和3306(MySQL / MariaDB数据库服务器)上的流量,可以OR在Capture过滤器中使用条件:

tcp.port==80||tcp.port==3306

监控Apache和MySQL流量

在技巧2和3中,||和单词or产生相同的结果,&&和and也是一样。

技巧5 –拒绝数据包到给定的IP地址

要排除与过滤规则不匹配的数据包,请使用规则!并将其括在括号中。例如,要排除源自或定向到给定IP地址的软件包,可以使用:

!(ip.addr == 192.168.0.10)

技巧6 –监视本地网络流量(192.168.0.0/24)

以下过滤规则将仅显示本地流量,并排除进出Internet的数据包:

ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24

监控本地网络流量

技巧7 –监视TCP对话的内容

要检查TCP对话(数据交换)的内容,请右键单击给定的数据包,然后选择“Follow TCP stream”。将弹出一个窗口,其中包含对话内容。

如果我们要检查网络流量,则将包括HTTP标头,以及在此过程中传输的任何纯文本凭据(如果有)。

监视TCP会话

技巧8 –编辑着色规则

现在,我确定您已经注意到Capture窗口中的每一行都是彩色的。默认情况下,HTTP流量在绿色背景中显示为黑色文本,而校验和错误在红色文本中显示为黑色背景。

如果要更改这些设置,请单击“编辑着色规则”图标,选择一个给定的过滤器,然后单击“Edit”编辑。

自定义Wireshark颜色输出

技巧9 –将Capture保存到文件

保存Capture的内容将使我们能够更详细地对其进行检查。为此,请转到File → Export,然后从列表中选择一种导出格式:

将Wireshark Capture保存到文件

技巧10-Capture样本练习

Wireshark提供了一系列示Capture获文件,您可以用来练习和学习。您可以下载这些SampleCapture(地址:wiki.wireshark.org/SampleCaptures),并通过File → Import菜单将其导入。

总结

Wireshark是免费的开源软件,如您在官方网站常出现类似的问题,您可以在开始检查之前或之后配置Capture过滤器。该过滤器具有自动完成功能,可让您轻松地搜索最常用的选项,这些选项以后可以自定义。