Wireshark 手册速览

csdn_tom_168

于 2025-06-23 00:05:43 发布

阅读量547

点赞数 15

CC 4.0 BY-SA版权

分类专栏：网络文章标签： wireshark 测试工具网络学习

本文链接：https://blog.youkuaiyun.com/csdn_tom_168/article/details/148833429

网络专栏收录该内容

16 篇文章

订阅专栏

Wireshark 手册速览

一、工具基础介绍

1.1 核心功能定位

Wireshark 是开源网络协议分析工具，提供以下核心能力：

全包捕获：支持千兆/万兆网络实时抓包
深度协议解析：内置2000+种协议解码器（含5G/IoT/工业协议）
三平面分析：物理层/链路层/应用层数据可视化
专家诊断系统：自动检测TCP重传、RST包等异常
多平台支持：Windows/macOS/Linux全覆盖

1.2 版本演进

版本	发布时间	核心改进
1.0	2006	首次跨平台支持
2.0	2014	重新设计GUI，支持IPv6/TLSv1.2
3.0	2019	引入QML界面，支持25GHz时钟捕获
4.0	2023	集成AI分析引擎，支持DPDK硬件加速

1.3 工作原理

二、核心功能详解

2.1 实时捕获配置

接口选择：

物理接口：eth0/en0
虚拟接口：veth0（Docker网络）
远程捕获：rpcap://remote-host/eth0

捕获过滤器：

# 语法：BPF语法
host 192.168.1.100 and port 80

# 高级示例
(tcp or udp) and (src net 10.0.0.0/8 or dst net 172.16.0.0/12)

捕获选项：

参数	功能说明	推荐值
缓冲区	避免丢包	1024KB（Linux）
混杂模式	捕获所有流量	启用（需管理员权限）
限速模式	限制捕获带宽	1Gbps（万兆网络）
文件分割	避免单个文件过大	1GB/15分钟

2.2 协议解析引擎

层次化解析：

Frame 1: 66 bytes on wire (528 bits), 66 bytes captured
Ethernet II, Src: 00:1a:2b:3c:4d:5e, Dst: ff:ff:ff:ff:ff:ff
Internet Protocol Version 4, Src: 192.168.1.100, Dst: 8.8.8.8
Transmission Control Protocol, Src Port: 54321, Dst Port: 443
Hypertext Transfer Protocol
    GET / HTTP/1.1\r\n
    Host: example.com\r\n
    ...

协议字段提取：

TCP窗口大小：tcp.window_size
HTTP状态码：http.response.code
DNS查询类型：dns.qry.type
TLS证书指纹：ssl.handshake.certificates

2.3 显示过滤器语法

基础过滤：

# 协议过滤
tcp || udp || icmp

# 地址过滤
ip.addr == 192.168.1.100

# 端口过滤
tcp.port == 8080

高级过滤：

# 检测TCP重传
tcp.analysis.retransmission

# 查找零窗口事件
tcp.analysis.zero_window

# 识别DNS隧道
dns.flags.response == 1 && dns.qry.name contains ".exe"

# 分析HTTP/2帧
http2.stream.id == 1 && http2.headers.name == ":method"

2.4 统计分析功能

IO图表：

TCP流图：Statistics > IO Graph
- 配置Y轴：SUM(tcp.len)tcp.len > 0
- 时间窗口：1秒/10秒/1分钟

会话统计：

TCP会话：Statistics > Conversations
- 按字节/包数排序
- 导出为CSV格式

协议分层：

协议层级：Statistics > Protocol Hierarchy
- 展开TLS层查看应用协议分布
- 过滤加密流量：ssl.handshake.type == 1

三、典型应用场景

3.1 协议深度分析

HTTP/2性能分析：

启用http2协议解析
使用过滤器：http2.stream.id == 1
关键指标：
- HEADERS帧大小
- DATA帧间隔
- WINDOW_UPDATE频率

QUIC协议解码：

安装QUIC协议插件
配置过滤器：quic.header.connection_id == 0x1a2b3c4d
分析0-RTT握手过程

3.2 故障排查实战

网络延迟诊断：

捕获ICMP回显请求
添加时间列：View > Time Display Format > Seconds Since Beginning of Capture
计算RTT：icmp.time - delta_time_displayed

TCP连接失败：

查找SYN包：tcp.flags.syn == 1
检测SYN重传：tcp.analysis.retransmission
分析RST原因：tcp.flags.reset == 1

DNS解析异常：

过滤DNS响应：dns.flags.response == 1
检查NXDOMAIN：dns.qry.type == 1 && dns.flags.rcode == 3
验证DNSSEC：dns.sec.ds.digest_type == 2

3.3 安全审计应用

恶意流量检测：

识别C2通信：dns.qry.name contains "weird-domain.com"
检测数据泄露：tcp contains "password="
分析加密流量：ssl.handshake.extension.server_name == "malware-site.com"

APT攻击追踪：

重建TCP流：Follow > TCP Stream
识别Beaconing：tcp.time_delta > 60
分析DNS隧道：dns.count > 100

四、高级功能集成

4.1 命令行工具tshark

基础用法：

# 提取HTTP GET请求
tshark -r capture.pcap -Y "http.request.method == GET" -T fields -e http.request.full_uri

# 生成流量摘要
tshark -qz io,stat,1

自动化脚本：

#!/bin/bash
tshark -i eth0 -f "port 53" -T json | jq '.[] | select(.dns.qry.name=="evil-domain.com")'

4.2 Python集成

PyShark示例：

import pyshark

cap = pyshark.FileCapture('capture.pcap', display_filter='http.request.method == POST')
for pkt in cap:
    if 'HTTP' in pkt:
        print(f"POST请求: {pkt.http.request.full_uri}")
        print(f"载荷大小: {len(pkt.http.file_data)}字节")

Scapy集成：

from scapy.all import *

packets = rdpcap('capture.pcap')
http_packets = [p for p in packets if p.haslayer(HTTPRequest)]
for p in http_packets:
    print(p[HTTPRequest].Method.decode(), p[HTTPRequest].Path.decode())

4.3 Lua扩展脚本

自定义协议解析：

-- 注册新协议
local custom_proto = Proto("CUSTOM","Custom Protocol")
local f_magic = ProtoField.uint32("custom.magic", "Magic Number", base.HEX)
custom_proto.fields = { f_magic }

function custom_proto.dissector(buffer, pinfo, tree)
    pinfo.cols.protocol = "CUSTOM"
    local subtree = tree:add(custom_proto, buffer())
    subtree:add(f_magic, buffer(0,4))
end

-- 注册到端口4444
local tcp_table = DissectorTable.get("tcp.port")
tcp_table:add(4444, custom_proto)

五、性能优化技巧

5.1 硬件加速方案

DPDK捕获：

安装DPDK驱动：modprobe uio_pci_generic
绑定网卡：dpdk-devbind.py --bind=igb_uio 0000:01:00.0
启动Wireshark：WIRESHARK_RUN_FROM_BUILD_DIRECTORY=1 ./wireshark -k -i dpdk0

PF_RING支持：

# 安装PF_RING
git clone https://github.com/ntop/PF_RING
cd PF_RING/kernel
make && sudo make install

# 启动Wireshark
wireshark -i zc:eth0

5.2 过滤表达式优化

避免正则表达式：

# 低效写法
http.request.uri matches "user=\d+"

# 高效写法
http.request.uri contains "user=" && tcp.len > 20

使用字段哈希：

# 快速查找特定IP
ip.addr == 192.168.1.100

# 替代写法
frame contains "c0.a8.01.64"

5.3 捕获文件管理

文件分片：

# 按时间分片
wireshark -b filesize:1000 -b files:10 -w capture

# 按包数分片
editcap -c 100000 capture.pcap split_

文件压缩：

# 实时压缩捕获
wireshark -w - | gzip > capture.pcap.gz

# 解压分析
wireshark -r <(gzip -dc capture.pcap.gz)

六、生态工具链

6.1 协同工具

工具名称	功能描述	集成方式
CloudShark	云端pcap分析	上传至https://www.cloudshark.org
NetworkMiner	取证分析	文件 > 导入 > 选择NetworkMiner格式
tcpflow	流重建	运行后选择Wireshark数据包

6.2 扩展插件

插件名称	功能描述	安装方式
Lua插件	自定义协议解析	放入`~/.config/wireshark/plugins`
Dissector插件	增强协议支持	通过插件管理器安装
ColorRules	自定义着色规则	编辑`colorfilters`文件

七、最佳实践指南

7.1 捕获策略

明确目标：确定需要分析的协议/端口/IP
最小化捕获：使用捕获过滤器减少数据量
分段存储：设置文件分片避免单个文件过大
时间同步：启用NTP保证时间戳准确性

7.2 分析流程

全局概览：使用IO图表识别流量峰值
协议分层：通过Protocol Hierarchy定位异常协议
会话跟踪：Follow TCP Stream重建通信内容
专家诊断：查看专家信息提示的警告/错误

7.3 性能调优

内存优化：设置Edit > Preferences > Capture > Allow subdissector to reassemble TCP streams为Off
显示优化：禁用View > Auto Scroll in Live Capture
硬件加速：启用DPDK/PF_RING捕获引擎

八、常见问题解决

8.1 权限问题

现象：Could not open interface eth0

解决方案：

# Linux
sudo setcap 'CAP_NET_RAW+eip' /usr/bin/wireshark

# macOS
sudo chmod 644 /dev/bpf*

8.2 性能问题

现象：分析万兆流量时丢包

优化方案：

启用DPDK捕获
关闭实时解码：Capture > Options > Update list of packets in real time设为Off
使用环形缓冲区：-b ringbuffer:1024

8.3 解码问题

现象：协议显示为DATA

解决方案：

右键数据包 > Decode As > 选择正确协议
安装对应协议插件：Help > About Wireshark > Plugins
更新协议定义文件：Help > Check for Updates