如何用wireshark抓包判斷網路環路

⑴ 網路環路怎麼查

1通過交換機上燈閃爍情況排除。
2通過對每個交換機斷電檢查網路是否正常排除
3如cisco交換機可以用show cdp
4wireshark抓包分析一下就能看出一點問題。

⑵ wireshark怎麼抓包分析網路故障實戰

【WireShark概覽】
1、Wireshark 是網路報文分析工具。網路報文分析工具的主要作用是嘗試捕獲網路報文， 並嘗試顯示報文盡可能詳細的內容。過去的此類工具要麼太貴，要麼是非公開的。 直到Wireshark（Ethereal）出現以後，這種情況才得以改變。Wireshark可以算得上是今天能使用的最好的開源網路分析軟體。2、WireShark簡史：1997年，Gerald Combs 需要一個工具追蹤網路問題，並且想學習網路知識。所以他開始開發Ethereal (Wireshark項目以前的名稱) 以解決自己的需求。1998年，Ethreal0.2.0版誕生了。此後不久，越來越多的人發現了它的潛力，並為其提供了底層分析。2006年Ethreal改名為Wireshark。2008年，在經過了十年的發展後，Wireshark發布了1.0版本。3、WireShark的主要作用，就是可以抓取各種埠的報文，包括有線網口、無線網口、USB口、LoopBack口等等，從而就可以很方便地進行協議學習、網路分析、系統排錯等後續任務。4、不同平台下的WireShark：目前WireShark支持幾乎所有主流報文文件，包括pcap，cap ，pkt，enc等等。但是不同平台下的WireShark卻有功能上的不同。總體來說，Linux版本WireShark的功能和特性比Windows版本的要豐富和強大。例如，Linux版本的WireShark可以直接抓取USB介面報文，而Windows版本就不行。

Figure 1，Linux下的WireShark

Figure 2，Windows下WireShark

Figure 3，各平台下的WireShark所支持的協議

各平台下的WireShark支持的協議如上圖所示。從圖中可以看到Linux下的版本功能最強大，由於平台本身特性，可以使WireShark幾乎支持所有協議。但由於我們平時工作中主要抓取乙太網報文，且絕大部分的操作系統都是Windows，所以本文還是以Windows平台下的WireShark為例來進行說明。

【如何正確使用WireShark抓取報文】
1、WireShark組網拓撲。為了抓到HostA與HostB之間的報文，下面介紹幾種WireShark組網。
i.在線抓取：如果WireShark本身就是組網中的一部分，那麼，很簡單，直接抓取報文就行了。

ii. 串聯抓取：串聯組網是在報文鏈路中間串聯一個設備，利用這個中間設備來抓取報文。這個中間設備可以是一個HUB，利用HUB會對域內報文進行廣播的特性，接在HUB上的WireShark也能收到報文。

若是WireShark有雙網卡，正確設置網路轉發，直接串接在鏈路上。

也可以利用Tap分路器對來去的報文進行分路，把報文引到WireShark上。

串聯組網的好處是報文都必須經過中間設備，所有包都能抓到。缺點是除非原本就已經規劃好，不然要把報文鏈路斷開，插入一個中間設備，會中斷流量，所以一般用於學習研究，不適用於實際業務網以及工業現場乙太網。

iii. 並聯抓取：並聯組網是將現有流量通過現網設備本身的特性將流量引出來。
若是網路本身通過HUB組網的，那麼將WireShark連上HUB就可以。

若是交換機組網，那直接連上也能抓取廣播報文。

當然，最常用的還是利用交換機的鏡像功能來抓包。

並聯組網的優點是不用破壞現有組網，適合有業務的在線網路以及工業現場乙太網。缺點是HUB組網已經不常見，而交換機組網的設備開啟鏡像後，對性能有非常大的影響。

2、 WireShark的安裝。WireShark是免費開源軟體，在網上可以很輕松獲取到。Windows版的WireShark分為32位而64位兩個版本，根據系統的情況來決定安裝哪一個版本，雖然64位系統裝32位軟體也能使用，但裝相應匹配的版本，兼容性及性能都會好一些。在Windows下，WireShark的底層抓包工具是Winpcap，一般來說WireShark安裝包內本身就包含了對應可用版本的Winpcap，在安裝的時候注意鉤選安裝就可以。安裝過程很簡單，不再贅述。

3、使用WireShark抓取網路報文。Step1. 選擇需要抓取的介面，點選Start就開始抓包。

4、使用WireShark抓取MPLS報文。對於mpls報文，wireshark可以直接抓取帶MPLS標簽的報文。

5、使用WireShark抓取帶Vlan Tag的報文。早期網卡的驅動不會對VLAN TAG進行處理，而是直接送給上層處理，在這種環境下，WireShark可以正常抓到帶VLAN TAG的報文。而Intel，broadcom，marvell的網卡則會對報文進行處理，去掉TAG後再送到上層處理，所以WireShark在這種情況下通常抓不到VLAN TAG。這時我們需要針對這些網卡做一些設置，WireShark才能夠抓取帶VLAN TAG的報文。1）. 更新網卡的最新驅動。2）. 按照以下說明修改注冊表：a) Intel：HKEY_LOCAL_MACHINE\SYSTEM \ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318} \00xx（where xx is the instance of the network adapter that you need to see tags on. ）PCI或者PCI-X網卡增加dword:MonitorModeEnabled，通常設置為1即可 0 - disabled (Do not store bad packets, Do not store CRCs, Strip 802.1Q vlan tags) 1 - enabled (Store bad packets. Store CRCs. Do not strip 802.1Q vlan tags) PCI-Express網卡增加dword:MonitorMode，通常設置為1即可 0 - disabled (Do not store bad packets, Do not store CRCs, Strip 802.1Q vlan tags) 1 - enabled (Store bad packets. Store CRCs. Do not strip 802.1Q vlan btag) 2 - enabled strip vlan (Store bad packets. Store CRCs. Strip 802.1Q vlan tag as normal)；b) Broadcom：在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet下搜索，找到"TxCoalescingTicks"並確認這是唯一的，增加一個新的字元串值"PreserveVlanInfoInRxPacket"，賦值1。c) Marvell Yukon 88E8055 PCI-E 千兆網卡："HKLM\SYSTEM \CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318} \000"（where 000 is the number of the folder for the Marvel ethernet controller）增加DWORD：SkDisableVlanStrip：1；3）. 以Intel網卡為例，對網卡進行配置。選擇Intel網卡的本地連接，右鍵屬性

點擊「配置」按鈕。

在VLAN選項卡中，加入任意一個VLAN，激活介面的VLAN TAG上送功能。此時可以把「本地連接」介面看成是一個Trunk介面。

配置完VLAN後，如果發現系統禁用了「本地連接」介面，則只要啟用它，會看到網路連接中會出現一個新的子介面「本地連接2」。

在WireShark上查看抓取「本地連接」介面的報文。

可以看到已經可以抓到有VLAN TAG的報文了。

由於此時的子介面都是有VLAN屬性的，所以無法當成正常的網卡來用。如果想要在抓VLAN包的同時，還能夠與網路正常通信，只要再新建一個未標記的VLAN就行。

這時，會生成一個對應的子介面「本地連接3」，在這個介面上正確配置網路參數，就可以正常通信了。

⑶ 怎麼通過wireshark抓包分析網路風暴

啟動wireshark後，選擇工具欄中的快捷鍵（紅色標記的按鈕）即可Start a new live capture。

主界面上也有一個interface list（如下圖紅色標記1），列出了系統中安裝的網卡，選擇其中一個可以接收數據的的網卡也可以開始抓包。
在啟動時候也許會遇到這樣的問題：彈出一個對話框說 NPF driver 沒有啟動，無法抓包。在win7或Vista下找到C: \system\system32下的cmd.exe 以管理員身份運行，然後輸入 net start npf，啟動NPf服務。
重新啟動wireshark就可以抓包了。

抓包之前也可以做一些設置，如上紅色圖標記2，點擊後進入設置對話框，具體設置如下：
Interface：指定在哪個介面（網卡）上抓包（系統會自動選擇一塊網卡）。
Limit each packet：限制每個包的大小，預設情況不限制。
Capture packets in promiscuous mode：是否打開混雜模式。如果打開，抓 取所有的數據包。一般情況下只需要監聽本機收到或者發出的包，因此應該關閉這個選項。
Filter：過濾器。只抓取滿足過濾規則的包。
File：可輸入文件名稱將抓到的包寫到指定的文件中。
Use ring buffer： 是否使用循環緩沖。預設情況下不使用，即一直抓包。循環緩沖只有在寫文件的時候才有效。如果使用了循環緩沖，還需要設置文件的數目，文件多大時回卷。
Update list of packets in real time：如果復選框被選中，可以使每個數據包在被截獲時就實時顯示出來，而不是在嗅探過程結束之後才顯示所有截獲的數據包。
單擊「OK」按鈕開始抓包，系統顯示出接收的不同數據包的統計信息，單擊「Stop」按鈕停止抓包後，所抓包的分析結果顯示在面板中，如下圖所示：

為了使抓取的包更有針對性，在抓包之前，開啟了QQ的視頻聊天，因為QQ視頻所使用的是UDP協議，所以抓取的包大部分是採用UDP協議的包。
3、對抓包結果的說明
wireshark的抓包結果整個窗口被分成三部分：最上面為數據包列表，用來顯示截獲的每個數據包的總結性信息；中間為協議樹，用來顯示選定的數據包所屬的協議信息；最下邊是以十六進制形式表示的數據包內容，用來顯示數據包在物理層上傳輸時的最終形式。

使用wireshark可以很方便地對截獲的數據包進行分析，包括該數據包的源地址、目的地址、所屬協議等。

上圖的數據包列表中，第一列是編號（如第1個包），第二列是截取時間（0.000000），第三列source是源地址（115.155.39.93），第四列destination是目的地址（115.155.39.112），第五列protocol是這個包使用的協議（這里是UDP協議），第六列info是一些其它的信息，包括源埠號和目的埠號（源埠：58459，目的埠：54062）。

中間的是協議樹，如下圖：

通過此協議樹可以得到被截獲數據包的更多信息，如主機的MAC地址（Ethernet II）、IP地址（Internet protocol）、UDP埠號（user datagram protocol）以及UDP協議的具體內容（data）。

最下面是以十六進制顯示的數據包的具體內容，如圖：

這是被截獲的數據包在物理媒體上傳輸時的最終形式，當在協議樹中選中某行時，與其對應的十六進制代碼同樣會被選中，這樣就可以很方便的對各種協議的數據包進行分析。
4、驗證網路位元組序
網路上的數據流是位元組流，對於一個多位元組數值（比如十進制1014 = 0x03 f6），在進行網路傳輸的時候，先傳遞哪個位元組，即先傳遞高位「03」還是先傳遞低位「f6」。 也就是說，當接收端收到第一個位元組的時候，它是將這個位元組作為高位還是低位來處理。
下面通過截圖具體說明：

最下面是物理媒體上傳輸的位元組流的最終形式，都是16進製表示，發送時按順序先發送00 23 54 c3 …00 03 f6 …接收時也按此順序接收位元組。
選中total length：1014， 它的十六進製表示是0x03f6， 從下面的藍色選中區域可以看到，03在前面，f6在後面，即高位元組數據在低地址，低位元組數據在高地址（圖中地址從上到下從左到右依次遞增），所以可知，網路位元組序採用的是大端模式。

⑷ 如何使用Wireshark抓包

Wireshark是一個抓取網路數據包的工具，這對分析網路問題是很重要的，下文將會簡單的介紹下如何使用Wireshark來抓包。
1、在如下鏈接下載「Wireshark」並在電腦上安裝。
2、如果之前沒有安裝過「Winpcap」請在下面把安裝「Winpcap」的勾選上。
3、打開安裝好的Wireshark程序，會看到如下圖所示界面：
主界面，打開「Capture」－＞「Options」
在最上面的Interface中選擇電腦真實的網卡（默認下可能會選中回環網卡），選中網卡後，下面會顯示網卡的IP地址，如圖中是172.31.30.41，如果IP正確，說明網卡已經正確選擇。
Capture
Filter這一欄是抓包過濾，一般情況下可以不理會，留為空。
Display
options就按照我們勾選的來做就行。好，點擊Start。
選擇好保存路徑和文件名（請不要中文）後，點擊保存。