Wireshark分析器及Profile设置Wireshark网络分析实例集锦大学霸

Wireshark分析器及Profile设置Wireshark网络分析实例集锦大学霸

Wireshark分析数据的过程中，通常会经过五个分析器。在Wireshark中的所有配置都保存在Profile中，Profile实际是一个目录。用户可以手动创建和切换Profile。本节将介绍Wireshark的分析器及Profile的相关设置，Wireshark分析器及Profile设置Wireshark网络分析实例集锦大学霸。

2.2.1  Wireshark分析器

分析包是Wireshark最强大的功能之一。分析数据流过程就是将数据转换为可以理解的请求、应答、拒绝和重发等。帧包括了从捕获引擎或监听库到核心引擎的信息。Wireshark中的格式由成千上万的协议和应用程序使用，它可以调用各种各样的分析器，以可读的格式将字段分开并显示它们的含义。下面将介绍详细分析Wireshark的包信息。

例如，一个以太网网络中的主机向Web网站发送HTTP GET请求时，这个包将由五个处理器进行处理。分别如下所示：

1.帧分析器

帧分析器用来检测和显示捕获文件的基本信息，如每个帧的时间戳，如图2.14所示。然后帧分析器传递帧给以太网分析器。

图2.14  帧分析器Wireshark分析器及Profile设置Wireshark网络分析实例集锦大学霸。

从该界面可以看到第5帧中的一些基本信息。例如，帧的编号为5（捕获时的编号），帧的大小为268个字节，帧被捕获的日期和时间，该帧和前一个帧的捕获时间差以及和第一个帧的捕获时间差等。

2.以太网分析器

以太网分析器用来解码、显示以太网帧（Ethernet II）头部的字段、字段类型的内容等。然后传递给下一个分析器，也就是IPv4分析器。如图2.15所示，该字段类型值为0x0806，0x0806表示是一个IP头部。

图2.15  以太网分析器

从该界面可以看到在以太网帧头部中封装的信息，包括发送方的源MAC地址和目标MAC地址。

3.IPv4分析器

IPv4分析器用来解码IPv4头部的字段，并基于协议字段的内容传递包到下一个分析器。如图2.16所示，该界面显示了IPv4分析器中的内容。

图2.16  IPv4分析器

从该界面可以看到TCP协议字段的值为6。

4.TCP分析器接管Wireshark分析器及Profile设置Wireshark网络分析实例集锦大学霸。

TCP分析器用于解码TCP头部的字段，并基于端口字段的内容，将帧传递给下一个分析器。如图2.17所示，该界面显示了TCP分析器中的内容。图2.17  TCP分析器

从该界面可以看到，目标端口为HTTP协议的80端口。在下一节，将介绍Wireshark如何处理运行在非标准端口上的流量。

5.HTTP分析器接管

在本例中，HTTP分析器解码HTTP包的字段。在该包中没有嵌入式的协议或应用程序，所以这是帧中应用的最后一个分析器，如图2.18所示。

图2.18  HTTP分析器

从该界面可以看到，客户端口请求了www.baidu.com网站。

2.2.2  分析非标准端口号流量

应用程序运行使用非标准端口号总是网络分析专家最关注的。关注该应用程序是否有意涉及使用非标准端口，或暗中想要尝试通过防火墙。

1.分配给另一个程序的端口号

当某数据包使用非标准端口上，如果被Wireshark识别出是使用另一个程序，则说明Wireshark可能使用了错误的分析器，如图2.19所示。

图2.19  使用非标准端口

从该界面Packet List面板中的Info列，可以看到显示了NetBIOS的信息。但正常的NetBIOS流量看起来不是这样的。当Info列的端口区域显示netbios-ns时，Protocol列显示的都使用的是TCP协议。此时查看该文件，发现Info列不包含正常的NetBIOS名称服务细节。

2.手动强制解析数据Wireshark分析器及Profile设置Wireshark网络分析实例集锦大学霸。

手动强制解析数据有两个原因，分别如下：

Wireshark使用了错误的解析器，因为非标准端口已经关联了一个分析器。

Wireshark不能为数据类型启动解析器。

强制解析器解析数据，右键单击在Packet List面板中的不能解析的/解析错误的包，并选择Decode AS。如图2.19所示，通常TCP建立连接使用三次握手。客户端与服务器端之间共三个TCP包，建立成功后应该是HTTP协议。但是该界面都是TCP协议，说明有未正确解析的数据。这里选择第4个包，右键单击选择Decode AS，将弹出如图2.20所示的界面。

图2.20  选择解码器

在该界面选择正确的解码协议（这里选择HTTP），然后单击OK按钮。这时，正确解码后显示界面如图2.21所示。

图2.21  使用HTTP解码器

从该界面可以看到Protocol和Info列的信息都发生了变化。

3.怎样启动解析器

启动解析器的过程如图2.22所示。

图2.22  启动解析器过程

启动解析器过程如下所示：

（1）Wireshark将数据传递给第一个可用的启动器。如果该解析器中没有解析器端口，则传递给下一个匹配的解析器。

（2）如果该解析器能解析发生来数据的端口，则使用该解析器。如果不能解析，则再传递给下一个匹配的解析器。

（3）如果该解析器匹配，则使用并结束解析。如果仍然不能解析，再次将数据传递。依次类推，指定结束。

（4）如果直到结束仍不匹配，则需要自定义数据。

4.调整解析器Wireshark分析器及Profile设置Wireshark网络分析实例集锦大学霸。

如果确定在网络中运行了非标准端口的数据，此时可以在HTTP协议的首选项设置中添加该端口。例如，用户想要Wireshark解析来自81端口号的HTTP数据。添加过程如下：

（1）在工具栏中依次选择Edit|Preferences|Protocols|HTTP，将显示如图2.23所示的界面。

图2.23  HTTP协议首选项

（2）在该界面右侧，可以看到默认设置的端口号。在TCP Ports对应的文本框中，添加81端口号。添加完后，单击OK按钮，Wireshark分析器及Profile设置Wireshark网络分析实例集锦大学霸。