注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

phperwuhan的博客

记载一个phper的历程!phperwuhan.blog.163.com

 
 
 

日志

 
 

WireShark安装和使用  

2009-08-13 12:51:16|  分类: tcp/ip |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

来源:http://hi.baidu.com/luomahu22/blog/item/2f1e7531347f8910eac4af75.html

WireShark是数据包分析软件,安装前必须安装抓包工具winpcap,WireShark软件自带winpcap

WireShark1.0.7使用winpcap4.0.2

WireShark的早期版本Ethereal使用winpcap3.1

安装WireShark到一半时,会弹出pcap的安装界面,有些服务器上安装pcap时,会弹出提示,选仍然继续后正常安装

有时装好后,不能抓包,提示can't find wpcap.dll...之类,可能是system32/npptoold.dll这个文件的权限被去掉了,要加上才可以

安装完成后启动WireShark,选择Edit-->Preferencces进行设置

WireShark安装和使用 - phperwuhan - phperwuhan的博客

在设置里选中Capture,右边的选项中选择当前使用的网卡,去掉Hide capture info diaglog的勾,这样每次抓包会弹出窗口显示各种类型包的数目(如下图)。如果选中Capture packets in promiscuous mode的勾,将在混杂模式下抓包,这时会抓到局域网中其他IP的数据包。只要抓和自己IP有关的数据包时,可以去掉这个勾

WireShark安装和使用 - phperwuhan - phperwuhan的博客

WireShark安装和使用 - phperwuhan - phperwuhan的博客

点击start a live caputure按钮(最中间那个),开始抓包。

WireShark安装和使用 - phperwuhan - phperwuhan的博客

如果要对抓包选项进行更多设置,可以选择Capture-->Options进行设置

WireShark安装和使用 - phperwuhan - phperwuhan的博客

Capture Options里可以设置抓包规则(Capture Filter),这个是pcap的功能,规则可以查询pcap的相关手册,在

Stop Capture里可以设置在抓取指定数量/指定字节/指定时间后停止抓包(有攻击,服务器卡,数据包多时比较有用)

WireShark安装和使用 - phperwuhan - phperwuhan的博客

停止抓包后将显示数据得到的数据包内容,在Filter里写显示规则(Display Filter),可以筛选显示需要的包,显示规则是WireShark的功能,可以查询WireShark的手册或者其他抓包工具如Tcpdump的手册。

WireShark安装和使用 - phperwuhan - phperwuhan的博客

抓包后选择Statistics-->Endpoints,可以查看抓取的各MAC和IP的包的数量并可以直接选择某个IP作为筛选规则

WireShark安装和使用 - phperwuhan - phperwuhan的博客

WireShark安装和使用 - phperwuhan - phperwuhan的博客

第一栏为数据包,不同协议用不同颜色显示。一般TCP为绿色,UDP为深蓝色,ARP为浅蓝色。其中从Time的间隔可以看出流量大小

   第二栏为对选中数据包的各层分析。Ethernet层主要看源目的MAC地址。IP层主要看源目的IP。TCP层主要看源目的端口。HTTP层主要看Host字段的域名

   第三栏为包的全部内容,基本上看不出什么

   一般10M/s的流量,数据包在2000/s左右,当每秒有4000数据包以上时,流量就有些不正常了,每秒上万数据包时,为典型的攻击。

   File--->Save as,保存抓包文件,保存时要加后缀.pcap,软件不会给文件加后缀。

   常见过滤规则及显示规则

   显示规则

   ip.addr        IP地址

   ip.src        源IP地址

   ip.dst        目的IP地址

   http.request    显示所有HTTP请求的资源

   http.request.uri matches "mp3|wmv|wma|flv|mpg|exe|rar"        显示带有mp3这类的可能是大流量下载的资源

   http.host==www.zgsj.com        显示关于某个域名的请求

   tcp.flags.syn==1 && tcp.flags.ack==0 或者是 tcp.flags==0x02        显示所有的syn包

没写完

大流量站点

抓包后选择Statistic--->Endpoints-->IPv4,排在前几位的IP如果比较大,说明可能有大流量的下载,显示其中某个IP的包,并把规则改为

ip.addr==IP && http.request

可以筛选出HTTP请求,是在请求什么资源。另外在HTTP的HOST字段里可以看到在访问哪个域名。如果是MP3,rar等资源,网站的内容也不正常,可以确定这个站点有问题。

或者直接在抓到的所有包中选择

http.request.uri matches "mp3|wmv|wma|flv|mpg|exe|rar"

引号中为想匹配的正则表达式,可以大概看下哪个站点请求的这类资源最多

WireShark安装和使用 - phperwuhan - phperwuhan的博客

域名攻击

抓包规则里写

ip.dst==服务器IP && http        或者是        http.request

如果得到的HOST内容都为同一个域名,而且包很多,time间隔很小,可以确认是针对域名的攻击

SYN flood

如果是SYN flood,抓包规则里写

tcp.flags.ack==0 && tcp.flags.syn==1        或者是        tcp.flags==0x02

基本就可以看到现象如果IP是有规律的网段可以在防火墙或者是安全策略里屏蔽IP段如果是没有规律的可以用Endpoint看看是不是某个IP攻击比较厉害封掉前面几个发包多的IP

  评论这张
 
阅读(3309)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017