4、安装Wireshark
Wireshark可以在http://www.wireshark.org/download.html上下载,该软件有极其方便和友好的图形用户界面,并且能够使得用户通过图形界面的配置和选择,针对多块网卡、多个协议进行显示,效果非常好。目前最新版本为:Wireshark 1.0.3。安装该软件请按照如下步骤进行:
1. //将下载的最新版本软件拷贝到临时文件夹 2. # cp wireshark-1.0.3.tar.gz /usr/local/src/ 3. //切换到临时文件夹目录 4. # cd /usr/local/src/ 5. //解压缩文件 6. # tar -xvf wireshark-1.0.3.tar.gz |
另外,同Tcpdump一样,在编译Ethereal之前应先确定已经安装pcap库(libpcap),这是编译Wireshark时所必需的。如果该库已经安装,就可以执行下面的命令来编译并安装Wireshark:
1. # cd wireshark-1.0.3 2. # ./configure 3. # make 4. # make install |
当编译并安装好Wireshark后,就可以执行“wireshark”命令来启动Wireshark。
5、使用Wireshark
(1)捕包选项
抓包是进行协议分析的第一步骤,在Wireshark中,有几个抓包的相关选项需要尤其注意(如图1和2所示):
◆Interface:指定在哪个接口(网卡)上抓包。一般情况下都是单网卡,所以使用缺省的就可以了Limit each packet: 限制每个包的大小,缺省情况不限制。
◆Capture packets in promiscuous mode:确定是否打开混杂模式。如果打开,抓取所有的数据包。一般情况下只需要监听本机收到或者发出的包,因此应该关闭这个选项。
◆Filter:过滤器。只抓取满足过滤规则的包。
◆File:如果需要将抓到的包写到文件中,在这里输入文件名称。use ring buffer:是否使用循环缓冲。缺省情况下不使用,即一直抓包。值得注意的是:循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲,还需要设置文件的数目,文件多大时回卷。其他的项选择缺省的就可以了。
图1 Wireshark的捕包界面
图2 Wireshark捕包选项设置示意图