2016年9月7日 星期三

S小魚仔S Wireshark 抓網路封包 基本配置(一)

Wireshark」這一套軟體在業界是非常好用的封包分析軟體,「Wireshark」安裝「下一步」到底,不多介紹。

安裝完成,點選「Wireshark Legacy」圖示

點選「Interface List

勾選「實體網卡」在「Packets」會發現有「流量數據」表示這張網卡有「封包數據傳輸」。

點選「Options

1.  選擇「網卡
2. 使用「混雜模式」(將來自接口的所有數據都捕獲)
3. 數據封包「存放路徑
4. 以多個檔名來存放「文件
PS
當您資料量封包需要抓取「1天以上」建議使用此「功能」。
5. 滿足設定「封包數量」 或「時間」 停止抓取
6. 管理網卡

7. 封包窗口「顯示
Update List Of Packets In Real Time = 抓取封包會「即時顯示
Automatically Scroll During Live Capture = 抓取封包會「滾動卷軸
Hide Capture Info Dialog =  不顯示用來抓取封包流量的「網卡」。

8. 名稱解析「選項」 
Resolve Mac Address = 解析 「第二層」MAC 地址 所屬「廠商
Resolve Network-Layer Names = 解析 「第三層」 IP 對應 「主機名稱」 或 「網域名稱」,透過該主機「DNS」進行解析,會出現大量 DNS 解析,可能會造成封包壅塞,請自行評估。
Resolve Transport-Layer Name = 「TCP/UDP」 端口號對應的「應用程序」名稱
Use External Network Name Resolver = 設定外部操作系統指定的名稱「解析程序」如「DNS」..等


Wireshark 在抓取「封包」分為「三」主視窗

Packet List」目前抓取所有數據、包含「封包」、「時間」、「來源 IP」、「目的 IP」、「溝通協議」..等

Packet Details」顯示「封包」內容,展開可以看到「數據」全部

Packet Bytes」顯示「封包」未經過處理的「格式

在擷取封包並不會顯示「無線 (Wireless)」封包,必須「啟用」「View」=>「Wireless Toolbar

設定 完成「Wireless Toolbar」顯示

透過「Filter」可以篩選需要瀏覽封包如「DNS」,輸入完成需要點「Apply

 點選「資料夾」圖示,進行「存檔

點選該「圖示」表示不要即時「捲動視窗

在「Packet Details」視窗,可將需要數據如「Total Length」加入「Packet List」視窗

設定結果如下圖

點選「Total Length」欄位 => 「右鍵」=>「Remove Column」即可進行移除


以前上「網路課程」老師曾經說過,電腦只認識「0101010」二進制,「Wireshark」Packet Bytes 視窗 就可以顯示「二進制」表示法。

點選「右鍵」=>「Bits View

神奇事情發生..這就是「0」與「1」 完美結合,只要您看得懂就行。

基本配置 和 介紹 就到這邊嚕,之後有時間再繼續寫..

沒有留言:

張貼留言