Wireshark网络分析实战——Wireshark的安装和抓包

Wireshark⽹络分析实战——Wireshark的安装和抓包

⼀、Wireshark简介

本节涵盖以下内容：

1. 安置Wireshark（主机/程序）；

2. 开始抓包；

本书的前⾔曾提到过⽹络排障以及内置于Wireshark能帮助排障的各种⼯具。⼀旦决定动⽤Wireshark协议分析软件，在使⽤之前，则有必

要先确定该软件在⽹络中的部署（或安装）位置。除此之外，还得对该软件做⼀些基本的配置，⾄少应让其界⾯看起来更为友好。

⽤Wireshark执⾏基本的抓包操作，配置起来并不⿇烦，但是该软件也包含了很多⾼级配置选项，可⽤来应对某些特殊情况。这样的特殊情

况包括令Wireshark在某条链路上持续抓取数据包的同时，将抓包⽂件切分为多个较⼩的⽂件；让Wireshark在抓包主窗⼝的数据包列表区

域只显⽰（发包/收包）主机（或设备）的名称⽽⾮IP地址等。本章会介绍如何在Wireshark中配置这些⾼级选项，以应对上述特殊情况。

⼆、安置Wireshark（程序或主机）

看到了⽹络故障的表象，决定通过Wireshark抓包来查明故障原委之前，应确定Wireshark（程序或主机）的（安装新都桥海拔 或部署）位置。为此，

需弄到⼀张精确的⽹络拓扑图（⾄少也得弄清楚故障所波及的那部分⽹络的拓扑结构），如图所⽰。

安置Wireshark的原理⾮常简单。

1. ⾸先，应圈定要抓取哪些（哪台）设备发出的流量；

2. 其次，要把安装了Wireshark的主机（笔记本）连接到受监控设备所连交换机；

3. 最后，开启交换机的端⼝镜像（或端⼝监控）功能，把受监控设备发出的流量“重定向”给Wireshark主机。

可利⽤Wireshark监控LAN端⼝、WAN端⼝、服务器/路由器端⼝或连接到⽹络的任何其他设备的流量。

如图所⽰，利⽤Wireshark软件（安装在交换机左边的PC上）外加交换机的端⼝镜像（也叫做端⼝监控，需在交换机上激活该特性，流量

镜像的⽅向已在图中标出）功能，便可以监控到进、出服务器S2的所有流量。当然，也可以在服务器S2上直接安装Wireshark，如此⾏

事，便能直接在服务器S2上监控进、出该服务器的流量了。

某些⼚商的交换机还⽀持以下流量监控特性。

1. 监控整个VLAN的流量：即监控整个VLAN（服务器VLAN或语⾳VLAN）的流量。可借助该特性，在指定的某⼀具体VLAN内进⾏流

量监控。

2. “多源归⼀”的流量监控⽅式：以图1.1为例，借助该特性，可让Wireshark主机同时监控到服务器S1和S2的流量。

3. ⽅向选择：可选择监控⼊站流量、出站流量或同时监控出、⼊站流量。

2.1准备⼯作

每个Wireshark Windows安装包都会⾃带WinPcap驱动程序的最新稳定版本，WinPcap驱动程序为实时抓包所必不可缺。⽤于抓包的

WinPcap驱动程序为UNIX Libpcap库的Windows版本。

2.2 操作⽅法

现以下图这⼀典型⽹络为例，来简单分析⼀下该⽹络的架构、⽹络中设备的部署及运作⽅式、Wireshark的安置⽅法，以及如何按需配置⽹

络设备。

请读者仔细研究⼀下图所⽰的简单⽽⼜常见的⽹络拓扑结构。

服务器流量监控

像服务器流量监控这样的需求，在实战中⾮常常见。要想监控到某台服务器（收/发）的流量，既可以在交换机上针对连接服务器的端⼝配

置端⼝镜像（如图中的编号①所⽰），将流量“重定向”⾄Wireshark主机，也可以在服务器上直接安装Wireshark。

路由器流量监控

要想监控进、出路由器的流量，监控其LAN端⼝（如图中的编号②和⑥所⽰）或WAN端⼝（如图中的编号⑤所⽰）都可以办到。

路由器LAN端⼝的流量监控起来⽐较简单，只要在交换机上配置端⼝镜像，把与路由器LAN⼝相连的端⼝的流量“重定向”⾄连接

Wireshark主机的端⼝。要想监控路由器WAN⼝的流量，则要在路由器WAN⼝和SP（服务提供商）⽹络之间部署⼀台交换机，在这台交

换机上配置端⼝镜像，如图所⽰。

在SP⽹络与路由器WAN⼝之间部署⼀台交换机，是⼀项会导致断⽹的操作。不过，真要如此⾏事的话，⽹络中断的时间最多也就⼀两分

钟。

监控路由器的流量时，有⼀点请务必留意：发往路由器的数据包并不⼀定都会得到转发。有些数据包或许会在途中“⾛失”关于桥的诗 ，⽽路由器既有

可能会因缓存溢出⽽对部分数据包“忍痛割爱”，也有可能会把某些数据包从接收端⼝“原路送回”。

执⾏上述流量监控任务时，可能会⽤到以下两种设备。

TAP：可在受监控链路上⽤⼀种叫做分路器（Test Access Point ，TAP）的设备来取代图中的交换机，这是⼀种简单的“三通”（三端

⼝）设备，执⾏流量监控时，其所起作⽤跟交换机相同。与交换机相⽐，TAP不但便宜⽽且使⽤⽅便。此外，TAP还会把错包原样传递给

Wireshark，⽽LAN交换机则会把错包完全丢弃。交换机不但价格⾼昂，⽽且还需要花时间来配置，当然它所⽀持的监控功能也更多（⽐

如，⼀般的LAN交换机都⽀持简单⽹络管理协议[SNMP]）。排除⽹络故障时，最好能⽤可⽹管交换机，哪怕是功能没那么丰富的可⽹管交

换机也好。

HUB：可在受监控的链路上⽤⼀台HUB来取代图中的交换机。HUB属于半双⼯设备，藉此设备，路由器和SP设备之间穿⾏的每⼀个数据包

都能被Wireshark主机“看”的⼀清⼆楚。使⽤HUB最⼤的坏处是，会显著加剧流量的延迟，从⽽对流量采集产⽣影响。如今，监控

1Gbit/s端⼝的流量可谓是家常便饭，在这种情况下使⽤HUB，将会使速率骤降⾄100Mbit/s，这会对抓包产⽣严重影响。所以说，在抓

包时⼀般都不⽤HUB。

防⽕墙流量监控

防⽕墙流量监控的⼿段有两种，⼀种是监控防⽕墙内⼝（如图中的编号③所⽰）的流量，另外⼀种是监控防⽕墙外⼝（如图中的编号④所

⽰）的流量。若监控防⽕墙内⼝，则可以“观看”到内⽹⽤户发起的所有访问Internet的流量，其源IP地址均为分配给内⽹⽤户的内部IP地

址；若监控防⽕墙外⼝，则能“观看”到的所有（经过防⽕墙放⾏的）访问Internet的流量，这些流量的源IP地址均为外部IP地址（拜NAT

所赐，分配给内⽹⽤户的内部IP地址被转换成了外部IP地址）；⽽由内⽹⽤户发起，但防⽕墙未予放⾏的流量，监控防⽕墙外⼝是观察不到

的[① 译者注：原⽂是“On the internal port you will e all the internal address and all traffic initiated by the urs working

in the internal network, while on the external port you will e the external address that we go out with (translated by NAT

from the internal address); you will not e requests from the internal network that were blocked by the firewall”。原⽂较

差，译⽂酌改。]。若有⼈（通过Internet）发动对防⽕墙（或内⽹）的攻击，要想“观察”到攻击流量，观测点也只能是防⽕墙外⼝。

要想弄清端⼝镜像（端⼝监控）的运作原理，需先理解LAN交换机的运作⽅式。LAN交换机执⾏数据包转发任务时的“举动”如下所列。

1．LAN交换机会“坚持不懈”地学习接⼊本机的所有设备的MAC地址。

2．收到发往某MAC地址的数据帧时，LAN交换机只会将其从学得此MAC地址的端⼝外发。

3．收到⼴播帧时，交换机会从除接收端⼝以外的所有端⼝外发。

4．收到多播帧时，若未启⽤Cisco组管理协议（Cisco Group Management Protocol，CGMP）或Internet组管理协议（Internet

Group Management Protocol，IGMP）监听特性，LAN交换机会从除接收端⼝以外的所有端⼝外发；若启⽤了以上两种特性之⼀，LAN

交换机将会通过连接了相应多播接收主机的端⼝，外发多播帧。

5．收到⽬的MAC地址未知的数据帧时（这种情况⽐较罕见），交换机会从除接收端⼝以外的所有端⼝外发。

综上所述，在LAN交换机上配置端⼝镜像去监控某个端⼝时，可“采集”到进、出该端⼝的所有流量。若只是将⼀台安装了Wireshark的笔

记本接⼊LAN交换机，未在交换机上开启端⼝镜像功能，则只能抓到流⼊或流出该笔记本的所有单播流量，以及同⼀VLAN⾥的多播及⼴播

流量。

2.3 拾遗补缺

使⽤Wireshark抓包时，还需提防⼏种特殊情况。

其中的⼀个特殊情况是，抓取整个VLAN的流量（VLAN流量监控）。在基于VLAN执⾏抓包任务时，有⼏个重要事项需要铭记。第⼀个要

注意的地⽅是，Wireshark主机只能采集到与其直连的交换机承载的同⼀VLAN的流量。⽐⽅说，在⼀个交换式⽹络（LAN）内，有多台交

换机都拥有⾪属于VLAN 做什么挣钱 10的端⼝，要是只让Wireshark主机直连某台接⼊层交换机，那必然采集不到VLAN 10内其他接⼊层交换机上的

主机访问直连核⼼层交换机的服务器的流量。

请看上图所⽰的⽹络，⽤户⼀般会分布在各个楼层，跟所在楼层的接⼊层交换机相连。各台接⼊层交换机会跟⼀台或两台（为了冗余）核⼼

层交换机相连。Wireshark主机要想抓全某个VLAN的流量，必须与承载此VLAN流量的交换机直接相连，才能采集到相应VLAN的流量。

因此，要想抓全VLAN 10的流量，Wireshark主机必须直连核⼼层交换机。

在上图中，若Wireshark主机直连SW2，且在SW2上激活了相关端⼝镜像功能，开始监控VLAN 30的流量，则其只能抓取到进、出SW2

P2、P4、P5端⼝的流量，以及由SW2承载的同⼀VLAN的流量。该Wireshark主机绝不可能采集到SW3和SW1之间来回穿⾏的VLAN

30的流量。

基于整个VLAN来实施抓包任务时，可能会抓到重复的数据包，是另外⼀个需要注意的地⽅。之所以会出现这种情况，是因为启⽤端⼝镜像

时，对于在不同交换机端⼝之间交换的同⼀VLAN的流量，Wireshark主机会在流量接收端⼝的流⼊（input）⽅向及流量发送端⼝的流出

（output）⽅向分别抓取⼀遍。

如下图所⽰，在交换机上已激活了端⼝镜像功能，对VLAN 30的流量实施监控。对于服务器S4向S2发送的数据包，当其（从连接S4的交

换机端⼝）流⼊VLAN 30时，Wireshark主机将抓取⼀次；当其从（从连接S2的交换机端⼝）流出VLAN 30时，Wireshark主机会再抓

取⼀次。这么⼀来，便采集到了重复的流量。

2.4 进阶阅读

欲深⼊了解端⼝镜像相关信息，请参阅各⽹络设备⼚商提供的操作⼿册。有些⼚商也把端⼝镜像称为“端⼝监控”或SPAN（Switched

Port Analyzer）（Cisco公司）。

某些⼚商的交换机⽀持远程流量监控（能让直连本地交换机的Wireshark主机采集到远程交换机端⼝的流量）以及⾼级过滤功能（⽐如，在

把流量重定向给Wireshark主机的同时，过滤掉具有特定MAC地址的主机发出的流量）。还有些⾼端交换机本⾝就具备抓取并分析数据包

的功能。某些交换机还能⽀持虚拟端⼝（例如，聚合端⼝或以太⽹通道端⼝）的流量监控。有关详情，请阅读交换机的随机⽂档。

三、开始抓包

本节⾸先将介绍如何启动Wireshark，然后会讲解布放好Wireshark之后，如何对其进⾏配置，以应对重逢打一字 不同的抓包场景。

3.1 准备⼯作

点击应⽤程序菜单-》互联⽹-》Wireshark，运⾏该数据包分析软件。

Wireshark⼀旦运⾏，便会弹出图所⽰的窗⼝（Wireshark1.10.6运⾏窗⼝）。

3.2 操作⽅法

要想让Wireshark软件能抓到数据包，有以下三种途径：点击Capture菜单下的相关菜单项；点击快速启动⼯具栏⾥的绿⾊图标；点击

Wireshark主窗⼝左侧居中的Start区域⾥的相关选项，如图1.6所⽰。此外，在抓包之前，还可对Wireshark的某抓包选项进⾏配置。

如何选择实际⽤来抓包的⽹卡

若只是点击图所⽰Wireshark快速启动⼯具栏⾥的绿⾊图标（正数第三个图标），Wireshark在抓包时，实际使⽤的⽹卡将会是该软件默认

指定的⽹卡（如何更改这⼀默认配置，详见3.3节）。

要选择Wireshark抓包时实际使⽤的⽹卡，请点击快速启动栏⾥左边第⼀个图标（List the available capture interfaces图

标），Wireshark Capture Interfaces窗⼝会⽴刻弹出，如图所⽰。

要想得知哪块⽹卡为有效⽹卡，最佳途径是观察其是否能够收发流量。通过上图，可以得知Wireshark感知到的各块⽹卡正在收、发的数据

包的个数（Packets列）及速率（Packets/s列）。

若Wireshark的版本不低于1.10.2，则可以选择⼀块以上的⽹卡来同时抓包。如此⾏事的好处是，只要Wireshark主机配有多块⽹卡，便可

同时监控多个服务器端⼝、多个路由器（或其他⽹络设备）端⼝的流量。下图所⽰为这样的⼀个应⽤场景。

如何配置实际⽤来抓包的⽹卡 要想对实际⽤来抓包的⽹卡做进⼀步的配置，请点击Capture菜单中的Options菜单项，Wireshark

Capture Options窗⼝会⽴刻弹出，如下图所⽰。

在上图所⽰的Wireshark Capture Options窗⼝中，可配置以下参数。

1．在Wireshark Capture Options窗⼝的上半部分区域，可以点选实际⽤来抓包的⽹卡。

2．在Wireshark Capture Options窗⼝的左中区域有⼀个U promiscuous mode on all interfaces复选框。选中时，会让Wireshark

主机抓取交换机（端⼝镜像功能）重定向给⾃⼰的所有数据包，哪怕数据包的⽬的（MAC/IP）地址不是本机地址；否则，Wireshark主机

只能抓取到⽬的（MAC/IP）地址为本机地址的数据包，外加⼴播及多播数据包。

3．在某些情况下，选中该复选框后，Wireshark将不会从⽆线⽹卡抓包。因此，若选⽤⽆线⽹卡抓包，且⼀⽆所获时，请取消勾选该复选

框。

4．在U promiscuous mode on all interfaces复选框下有Capture Files字样，其后有个files输⼊栏，可在栏内输⼊⼀个⽂件名，然后

再点选u multiple files复选框。这么⼀点，Wireshark不但会把所抓数据保存在由其命名的⽂件内（其系统路径可由⽤户指定），⽽且

还可根据特定的需求，以多个⽂件的形式存储。当以多个⽂件的形式存储时，在同⼀⽬录下，Wireshark会⾃动在原始⽂件名后添加后

缀“_xxxxx_具体时间”来加以区分。若所要抓取的数据较多，Wireshark的这⼀功能便⾮常有⽤。譬如，在⽹卡收到的流量较⾼，或需要

长期抓取数据的情况下，就可以利⽤这⼀多⽂件存储功能，基于特定的时间间隔（点选第⼆个next file every复选框）或希望保存的每个抓

包⽂件的⼤⼩（点选第⼀个next file every复谙的组词 选框），让Wireshark另⾏打开⼀个新的⽂件来保存所抓取的数据。

5．在Wireshark Capture Options窗⼝的左下区域，有Stop Capture Automatically字样。可点选其名下的三个复选框，让Wireshark

根据抓包时长、所保存的抓包⽂件的⼤⼩或所抓取的数据包的数量，来决定是否停⽌抓包任务。

6．在Wireshark Capture Options窗⼝的右中区域，有Display Options字样。可点选其名下的三个复选框，来配置Wireshark抓包主窗

⼝的显⽰选项。点选Update list of packets in real time复选框，Wireshark抓包主窗⼝将会实时显⽰抓取到的所有数据包；点选

Automatically scroll during live capture复选框，Wireshark抓包主窗⼝会在实时显⽰数据包时⾃动滚屏；点选Hide capture ia卡和n卡 nfo

dialog复选框，Wireshark将不再弹出与实际⽤来抓包的⽹卡相关联的流量统计窗⼝。⼀般⽽⾔，⽆需改变Wireshark软件的上述任何⼀项

默认配置。

7．在Wireshark Capture Options窗⼝的右下西安到大连 区域，李宁广告语 有name resolution字样。可点选其名下的4个复选框，来调整与名字解析有关的配

置。点选前三个复选框，就会让Wireshark在显⽰数据时，解析出与MAC地址、IP地址以及第四层协议端⼝号相对应的名称（⽐如，MAC

地址所⾪属的⼚商名、与IP地址相对应的主机名或域名、与TCP/UDP端⼝号相对应的应⽤程序名等）；点选最后⼀个复选框U external

network name resolver，Wireshark便会调⽤由操作系统指明的名字解析程序（⽐如，DNS解析程序），来解析上述名称。

3.3 幕后原理

Wireshark的抓包原理⾮常简单。把Wireshark主机上的⽹卡接⼊有线或⽆线梦见白猪 ⽹络开始抓包时，介于有线（或⽆线）⽹卡和抓包引擎之间的

软件驱动程序便会参与其中。在Windows和UNIX平台上，这⼀软件驱动程序分别叫做WinPcap和Libcap驱动程序；对于⽆线⽹卡，⾏使

抓包任务的软件驱动程序名为AirPacP驱动程序。

3.4 拾遗补缺

若（数据包的收、发）时间是⼀个重要因素，且还要让Wireshark主机从⼀块以上的⽹卡抓包，则Wireshark主机就必须与抓包对象（受监

控主机或服务器）同步时间，可利⽤NTP（⽹络时间协议）让Wireshark主机/抓包对象与某个中⼼时钟源同步时间。

当⽹管⼈员既需观察Wireshark抓包⽂件，也需检查抓包对象所⽣成的⽇志记录，以求寻得排障线索时，Wireshark主机与抓包对象的系统

时钟是否同步将会变得⽆⽐重要。⽐⽅说，Wireshark抓包⽂件显⽰的发⽣TCP重传的时间点，与受监控服务器（⽣成的）⽇志显⽰的发⽣

应⽤程序报错的时间点相吻合，则可以判断TCP重传是拜服务器（上运⾏的应⽤程序）所赐，与⽹络⽆关。

Wireshark软件所采⽤的时间取⾃操作系统（Windows、Linux等）的系统时钟。⾄于不同OS中NTP的配置⽅法，请参考相关操作系统配

置⼿册。

以下所列为在Microsoft Windows 7操作系统内配置时间同步的⽅法。

1．单击任务栏最右学下象棋入门 边的时间区域，会出现时间窗⼝。

2．在时间窗⼝中点击“更改⽇期和时间设置”，会弹出“⽇期和时间”窗⼝。

3．在“⽇期和时间”窗⼝中，点击“Internet时间”标签，再点击“更改设置”，会弹出“Internet时间设置”窗⼝。

4．在“Internet时间设置”窗⼝中，选中“与Internet时间服务器同步”复选框，在“服务器”后的输⼊栏内输⼊时间服务器（NTP）的

IP地址，再点确定按钮。 注 意 在Microsoft Windows 7及后续版本的操作系统中，默认包含了⼏个时间服务器（格式为域名）。可选择

⼀个时间服务器，让⽹络内的所有主机都与其同步时间。

RFC 1059（NTPv1）是定义NTP的第⼀份标准⽂档，RFC 1119（NTPv2）则是第⼆份；⽬前常⽤的NTPv3和v4则分别定义于RFC

1305和RFC 5905。