当前位置：首页 > news >正文

车载以太网测试-3【Wireshark介绍】

news 2025/7/7 5:36:55

1 摘要

Wireshark 是一款开源的网络协议分析工具，广泛用于网络故障排查、协议分析、网络安全检测等领域。它能够捕获网络数据包，并以详细的、可读的格式显示这些数据包的内容。广泛应用于车载网络测试，是车载网络测试工程师必须掌握的工具。

2 Wireshark介绍

2.1主要功能与使用场景

2.1.1 功能

数据包捕获：
- 支持从多种网络接口（如以太网、Wi-Fi、蓝牙等）捕获数据包。
- 可以实时捕获或从文件中读取已捕获的数据包。
协议解析：
- 支持解析数百种网络协议（如 TCP/IP、HTTP、DNS、FTP 等）。
- 能够深入解析协议头部和负载，帮助用户理解网络通信的细节。
过滤功能：
- 提供强大的显示过滤器和捕获过滤器，帮助用户快速定位和分析感兴趣的数据包。
- 支持基于协议、IP地址、端口号等多种条件的过滤。
统计和分析：
- 提供多种统计工具，如流量图、会话统计、协议分层统计等。
- 支持专家系统，自动检测潜在的网络问题（如重传、乱序等）。
文件导出：
- 支持将捕获的数据包导出为多种格式（如 PCAP、CSV、JSON 等），便于进一步分析或分享。

2.1.2 使用场景

网络故障排查：
- 通过分析数据包，定位网络延迟、丢包、连接失败等问题。
网络安全检测：
- 检测异常流量、潜在攻击（如 DDoS、端口扫描等）和恶意软件活动。
协议学习：
- 帮助网络工程师和开发者理解网络协议的实现细节。
应用调试：
- 分析应用程序的网络通信，排查通信问题或优化性能。

2.2安装与使用

2.2.1 安装

Wireshark 支持 Windows、macOS 和 Linux 操作系统。
可以从官方网站（https://www.wireshark.org）下载安装包。
在 Linux 上，也可以通过包管理器安装（如 apt-get install wireshark）。

2.2.2 基本使用

1 快速抓包
在主界面选择想抓包的网卡，点击Start或双击网卡开始抓包

抓包过程中，点击红色stop按钮可以停止抓包，点击绿色start按钮可以抛弃目前的流量重新抓包；

停止抓包后，选择File/文件，可以保存已经抓取的数据包；

也可以直接点击工具栏的保存快捷键
2 Wireshark的界面布局
界面布局如下：
3 View菜单栏
通过勾选可以控制Wireshark界面显示或不显示某些内容。
缩放功能：可以选择放大/缩小/正常比例的界面。
可以通过View菜单栏进入：

或通过工具栏快捷键进入：

在这里插入图片描述

查找功能
查找功能：
通过Edit – Find Packet进入，可以通过过滤器/字节流值或String值来查找特定的数据包。
也可以通过工具栏快捷键进入。
跳转功能：
Back：跳转到上次选中的数据包。
Forward：跳转到下一个选中的数据包。
Go to Packet：跳转到指定的数据包（例如：编号为10的包）。
Previous Packet：跳转到上一个数据包。
Next Packet：跳转到下一个数据包。
First Packet：首个
Last Packet：尾个
……

也可以通过工具栏快捷键进入
在这里插入图片描述

列操作：
1）想要添加某个信息作为一列：
在报文详情解析中，选中相应的信息，然后右键：Apply as Column。

2）想要删除某个现有的列：
在想要操作的列上右键，Remove Column。

在这里插入图片描述
3）想要暂时隐藏某个列：
在该列上右键，Hide Column，或
在显示列的任意位置右键，Displayed Columns中取消勾选

帧标记：

1）想要标记某帧：
在该帧上右键，Mark Packet （toggle），可高亮；
再次点击Mark Packet（toggle），可取消高亮

2）想要忽略某帧：
在该帧上右键，Ignore Packet （toggle），可高亮；
再次点击Ignore Packet（toggle），可取消高亮
注意：忽略某帧只能隐藏帧内容，不能隐藏帧
在这里插入图片描述
3）想要把某帧的时间作为时间基：
在该帧上右键，Set Time Reference（toggle），这一帧的时间会成为计算时间差的时间基；
注意：在此帧前的帧时间不会受到影响。
再次点击可取消

导出特定的帧：

1）想要导出单帧时：
选中一帧后，File-Export Specified Packets-Selected Packet
在这里插入图片描述
2）想要导出多帧时：
和M ark功能结合，先标记多个帧，然后File-Export Specified Packets-Marked Packets；
如果想导出大量帧，可以标记要导出的数据流的头和尾，然后选择First to last marked，或使用Range功能标记区域。
如果该区域内有通过Ignore忽略的包，那么可以在此处选择，在导出文件中把这些包删掉。
在这里插入图片描述

解码工具：
在报文详情区域，Wireshark会根据所应用的协议，将数据包按照不同协议进行解析。

解析功能是由协议解析器完成的，解析方法封装在dll文件中，位置：\plugins\版本号…

两种情况：

Wireshark的解释器并不是每一次都能正确地分辨协议，需要用户手动重新解析；

有时，我们需要自行添加一些dll解析器，用于辅助解析一些Wireshark不自带的车载以太网协议。

1）手动添加dll文件。
将dll文件放置在 \plugins\版本号… 文件夹下。

2）重启Wireshark，选择菜单栏Analyze-Enabled Protocols。
如果dll添加成功，
此处应能找到dll中设定的协议名，如下图

在这里插入图片描述

在dll添加成功后，如果需要的报文依然没有正确解码，可以点击该报文，右键Decode as，选择需要的协议，此格式的报文将都以此协议被解码。

抓包过滤器
抓包过滤器在抓包之前应用，逻辑是只抓取需要的数据包，丢弃其他的数据包。
抓包过滤器的位置：

抓包过滤器的语法格式：BPF（伯克利封包过滤器）
BPF语法的四元素：
1）类型：主机（host）、网段（net）、端口（port）
2）方向：源（src）、目标（dst）
3）协议：ether、tcp、udp、http等
4）逻辑运算符：与（&&）、或（||）、非（!）
将此四元素随意组合即可
src host 192.168.1.1 && dst port 30490
tcp || udp
显示过滤器
显示过滤器在抓包过程中或者查看trace时使用，逻辑是隐藏不需要的数据包，不进行丢弃。
显示过滤器的位置：

显示过滤器语法的五种元素：
1）IP：ip.addr、ip.src、ip.dst
2）端口：tcp.port、tcp.srcport、tcp.dstport
3）协议：tcp、udp、http等
4）比较运算符：>、<、==、>=、<=、!=
5）逻辑运算符：与（and）、或（or）、非（not）、异或（xor）
将此五元素随意组合即可
ip.src == 192.168.1.1
tcp.dstport == 8080

3 总结

以上是Aireshark的简单介绍，大家完成平常项目的测试分析是足够的了，希望能够对大家有所帮助！