Wireshark中文簡(jiǎn)明使用教程

1、精選優(yōu)質(zhì)文檔傾情為你奉上精選優(yōu)質(zhì)文檔傾情為你奉上專心專注專業(yè)專心專注專業(yè)精選優(yōu)質(zhì)文檔傾情為你奉上專心專注專業(yè)第3章用戶界面.須知現(xiàn)在您已經(jīng)安裝好了Wireshark,幾乎可以馬上捕捉您的一個(gè)包。緊接著的這一節(jié)我們將會(huì)介紹：Wireshark的用戶界面如何使用如何捕捉包如何查看包如何過濾包以及其他的一些工作。.啟動(dòng)Wireshark你可以使用Shell命令行或者資源管理器啟動(dòng)Wireshark.提示開始Wireshark時(shí)您可以指定適當(dāng)?shù)膮?shù)。參見第節(jié) “從命令行啟動(dòng)Wireshark”注意在后面的章節(jié)中，將會(huì)出現(xiàn)大量的截圖，因?yàn)閃ireshark運(yùn)行在多個(gè)平臺(tái) ，并且支持多個(gè)GUI Toolk

2、it2x),您的屏幕上顯示的界面可能與截圖不盡吻合。但在功能上不會(huì)有實(shí)質(zhì)性區(qū)別。盡管有這些區(qū)別，也不會(huì)導(dǎo)致理解上的困難。.主窗口先來看看圖 “主窗口界面”，大多數(shù)打開捕捉包以后的界面都是這樣子（如何捕捉/打開包文件隨后提到）。圖.主窗口界面和大多數(shù)圖形界面程序一樣，Wireshark主窗口由如下部分組成：菜單（見第節(jié) “主菜單”）用于開始操作。主工具欄(見第節(jié) “Main工具欄”)提供快速訪問菜單中經(jīng)常用到的項(xiàng)目的功能。Fiter toolbar/過濾工具欄(見第節(jié) “Filter工具欄”)提供處理當(dāng)前顯示過濾得方法。(見:”瀏覽時(shí)進(jìn)行過濾”)Packet List面板（見第節(jié) “Pcaket

3、 List面板”）顯示打開文件的每個(gè)包的摘要。點(diǎn)擊面板中的單獨(dú)條目，包的其他情況將會(huì)顯示在另外兩個(gè)面板中。Packet detail面板（見第節(jié) “Packet Details面板”）顯示您在Packet list面板中選擇的包德更多詳情。Packet bytes面板（見第節(jié) “Packet Byte面板”）顯示您在Packet list面板選擇的包的數(shù)據(jù)，以及在Packet details面板高亮顯示的字段。狀態(tài)欄（見第節(jié) “狀態(tài)欄”）顯示當(dāng)前程序狀態(tài)以及捕捉數(shù)據(jù)的更多詳情。注意主界面的三個(gè)面版以及各組成部分可以自定義組織方式。見第節(jié) “首選項(xiàng)”3.3.1.主窗口概述Packet list和

4、Detail 面版控制可以通過快捷鍵進(jìn)行。表 “導(dǎo)航快捷鍵”顯示了相關(guān)的快捷鍵列表。表 “GO菜單項(xiàng)”有關(guān)于快捷鍵的更多介紹表.導(dǎo)航快捷鍵快捷鍵描述Tab,Shift+Tab在兩個(gè)項(xiàng)目間移動(dòng)，例如從一個(gè)包列表移動(dòng)到下一個(gè)Down移動(dòng)到下一個(gè)包或者下一個(gè)詳情Up移動(dòng)到上一個(gè)包或者上一個(gè)詳情Ctrl-Down,F8移動(dòng)到下一個(gè)包，即使焦點(diǎn)不在Packet list面版Ctrl-UP,F7移動(dòng)到前一個(gè)報(bào)，即使焦點(diǎn)不在Packet list面版Left在Pactect Detail面版，關(guān)閉被選擇的詳情樹狀分支。如果以關(guān)閉，則返回到父分支。Right在Packet Detail面版，打開被選擇的樹狀分

5、支.BackspacePacket Detail面版，返回到被選擇的節(jié)點(diǎn)的父節(jié)點(diǎn)Return,EnterPacket Detail面版，固定被選擇樹項(xiàng)目。另外，在主窗口鍵入任何字符都會(huì)填充到filter里面。.主菜單Wireshark主菜單位于Wireshark窗口的最上方。圖 “主菜單”提供了菜單的基本界面。圖.主菜單主菜單包括以下幾個(gè)項(xiàng)目:File 包括打開、合并捕捉文件，save/保存,Print/打印,Export/導(dǎo)出捕捉文件的全部或部分。以及退出Wireshark項(xiàng).見第節(jié) “File菜單”Edit 包括如下項(xiàng)目：查找包，時(shí)間參考，標(biāo)記一個(gè)多個(gè)包，設(shè)置預(yù)設(shè)參數(shù)。（剪切，拷貝，粘貼不

6、能立即執(zhí)行。）見第節(jié) “Edit菜單”View 控制捕捉數(shù)據(jù)的顯示方式，包括顏色，字體縮放，將包顯示在分離的窗口，展開或收縮詳情面版的地樹狀節(jié)點(diǎn)，見第節(jié) “View菜單”GO 包含到指定包的功能。見第節(jié) “Go菜單”Capture 允許您開始或停止捕捉、編輯過濾器。見第節(jié) “Capture菜單”Analyze 包含處理顯示過濾，允許或禁止分析協(xié)議，配置用戶指定解碼和追蹤TCP流等功能。見第節(jié) “Analyze菜單”Statistics 包括的菜單項(xiàng)用戶顯示多個(gè)統(tǒng)計(jì)窗口，包括關(guān)于捕捉包的摘要，協(xié)議層次統(tǒng)計(jì)等等。見第節(jié) “Statistics菜單”Help 包含一些輔助用戶的參考內(nèi)容。如訪問一些基

7、本的幫助文件，支持的協(xié)議列表，用戶手冊(cè)。在線訪問一些網(wǎng)站，“關(guān)于”等等。見第節(jié) “Help菜單”本章鏈接介紹菜單的一般情況，更詳細(xì)的介紹會(huì)出現(xiàn)在后續(xù)章節(jié)。提示你可以直接點(diǎn)擊訪問菜單項(xiàng)，也可以使用熱鍵，熱鍵顯示在菜單文字描述部分。例如：您可以使用CTR+K打開捕捉對(duì)話框。.File菜單WireSharkFile菜單包含的項(xiàng)目如表表 “File菜單介紹”所示圖.File菜單表.File菜單介紹菜單項(xiàng)快捷鍵描述Open.Ctr+O顯示打開文件對(duì)話框，讓您載入捕捉文件用以瀏覽。見第節(jié) “打開捕捉文件對(duì)話框”O(jiān)pen Recent彈出一個(gè)子菜單顯示最近打開過的文件供選擇。Merg顯示合并捕捉文件的對(duì)話框

8、。讓您選擇一個(gè)文件和當(dāng)前打開的文件合并。見第節(jié) “合并捕捉文件”CloseCtrl+W關(guān)閉當(dāng)前捕捉文件，如果您未保存，系統(tǒng)將提示您是否保存（如果您預(yù)設(shè)了禁止提示保存，將不會(huì)提示）SaveCrl+S保存當(dāng)前捕捉文件，如果您沒有設(shè)置默認(rèn)的保存文件名，Wireshark出現(xiàn)提示您保存文件的對(duì)話框。詳情第節(jié) “save Capture File As/保存文件為對(duì)話框”注意如果您已經(jīng)保存文件，該選項(xiàng)會(huì)是灰色不可選的。注意您不能保存動(dòng)態(tài)捕捉的文件。您必須結(jié)束捕捉以后才能進(jìn)行保存Save As Shift+Ctrl+S讓您將當(dāng)前文件保存為另外一個(gè)文件面，將會(huì)出現(xiàn)一個(gè)另存為的對(duì)話框(參見第節(jié) “save C

9、apture File As/保存文件為對(duì)話框”)File SetList Files允許您顯示文件集合的列表。將會(huì)彈出一個(gè)對(duì)話框顯示已打開文件的列表,參見第節(jié) “文件集合”File SetNext File如果當(dāng)前載入文件是文件集合的一部分，將會(huì)跳轉(zhuǎn)到下一個(gè)文件。如果不是，將會(huì)跳轉(zhuǎn)到最后一個(gè)文件。這個(gè)文件選項(xiàng)將會(huì)是灰色。File setPrevious Files如果當(dāng)前文件是文件集合 的一部分，將會(huì)調(diào)到它所在位置的前一個(gè)文件。如果不是則跳到文件集合的第一個(gè)文件，同時(shí)變成灰色。Export as “Plain Text” File這個(gè)菜單允許您將捕捉文件中所有的或者部分的包導(dǎo)出為plain

10、ASCII text格式。它將會(huì)彈出一個(gè)Wireshark導(dǎo)出對(duì)話框,見第節(jié) “Export as Plain Text File對(duì)話框”Export as PostScript Files將捕捉文件的全部或部分導(dǎo)出為PostScrit文件。將會(huì)出現(xiàn)導(dǎo)出文件對(duì)話框。參見第節(jié) “Export as PostScript File 對(duì)話框”Export as CVS (Comma Separated Values Packet Summary)File.導(dǎo)出文件全部或部分摘要為.cvs格式（可用在電子表格中）。將會(huì)彈出導(dǎo)出對(duì)話框,見第節(jié) “Export as CSV (Comma Separate

11、d Values) File 對(duì)話框”。Export as “PSML” File導(dǎo)出文件的全部或部分為PSML格式（包摘要標(biāo)記語言）XML文件。將會(huì)彈出導(dǎo)出文件對(duì)話框。見第節(jié) “Export as PSML File 對(duì)話框”Export as PDML File.導(dǎo)出文件的全部或部分為PDML(包摘要標(biāo)記語言)格式的XML文件。將會(huì)彈出一個(gè)導(dǎo)出文件對(duì)話框,見第節(jié) “Export as PDML File 對(duì)話框”Export Selected Packet Bytes導(dǎo)出當(dāng)前在Packet byte面版選擇的字節(jié)為二進(jìn)制文件。將會(huì)彈出一個(gè)導(dǎo)出對(duì)話框。見第節(jié) “Export selected

12、 packet bytes 對(duì)話框”PrintCtr+P打印捕捉包的全部或部分，將會(huì)彈出打印對(duì)話框。見第節(jié) “打印包”Quit Ctrl+Q退出Wireshark,如果未保存文件，Wireshark會(huì)提示是否保存。.Edit菜單Wireshark的Edit菜單包含的項(xiàng)目見表 “Edit菜單項(xiàng)”圖.Edit菜單表.Edit菜單項(xiàng)菜單項(xiàng)快捷鍵描述CopyAs FilterShift+Ctrl+C使用詳情面版選擇的數(shù)據(jù)作為顯示過濾。顯示過濾將會(huì)拷貝到剪貼板。Find Packet.Ctr+F打開一個(gè)對(duì)話框用來通過限制來查找包，見Find NextCtrl+N在使用Find packet以后，使用該菜

13、單會(huì)查找匹配規(guī)則的下一個(gè)包Find PreviousCtr+B查找匹配規(guī)則的前一個(gè)包。Mark Packet(toggle)Ctrl+M標(biāo)記當(dāng)前選擇的包。見第節(jié) “標(biāo)記包”Find Next MarkShift+Ctrl+N查找下一個(gè)被標(biāo)記的包Find Previous MarkCtrl+Shift+B查找前一個(gè)被標(biāo)記的包Mark ALL Packets標(biāo)記所有包Unmark All Packet取消所有標(biāo)記Set Time Reference(toggle) Ctrl+T以當(dāng)前包時(shí)間作為參考,見第節(jié) “包參考時(shí)間”Find Next Reference找到下一個(gè)時(shí)間參考包Find Previ

14、ous Refrence.找到前一個(gè)時(shí)間參考包Preferences.Shift+Ctrl+P打開首選項(xiàng)對(duì)話框，個(gè)性化設(shè)置Wireshark的各項(xiàng)參數(shù)，設(shè)置后的參數(shù)將會(huì)在每次打開時(shí)發(fā)揮作用。詳見第節(jié) “首選項(xiàng)”.View菜單表 “View菜單項(xiàng)”顯示了Wireshar View菜單的選項(xiàng)圖.View菜單表.View菜單項(xiàng)菜單項(xiàng)快捷鍵描述Main Toolbar顯示隱藏Main toolbar(主工具欄),見第節(jié) “Main工具欄”Filter Toolbar顯示或隱藏Filter Toolbar(過濾工具欄)見第節(jié) “Filter工具欄”Statusbar顯示或隱藏狀態(tài)欄,見第節(jié) “狀態(tài)欄”P

15、acket List顯示或隱藏Packet List pane(包列表面板),見第節(jié) “Pcaket List面板”Packet Details 顯示或隱藏Packet details pane(包詳情面板).見第節(jié) “Packet Details面板”Packet Bytes顯示或隱藏 packet Bytes pane(包字節(jié)面板)，見第節(jié) “Packet Byte面板”Time Display FromatDate and Time of Day: 1970-01-01 01:02:選擇這里告訴Wireshark將時(shí)間戳設(shè)置為絕對(duì)日期-時(shí)間格式(年月日，時(shí)分秒)，見第節(jié) “時(shí)間顯示格式及

16、參考時(shí)間”注意這里的字段Time of Day,Date and Time of Day,Seconds Since Beginning of Capture,Seconds Since Previous Captured Packet和Seconds Since Previous Displayed Packet幾個(gè)選項(xiàng)是互斥的，換句話說，一次同時(shí)有一個(gè)被選中。 Time Display FormatTime of Day: 01:02:將時(shí)間設(shè)置為絕對(duì)時(shí)間-日期格式(時(shí)分秒格式),見第節(jié) “時(shí)間顯示格式及參考時(shí)間”Time Display Format Seconds Since Begi

17、nning of Capture: 將時(shí)間戳設(shè)置為秒格式，從捕捉開始計(jì)時(shí)，見第節(jié) “時(shí)間顯示格式及參考時(shí)間”Time Display Format Seconds Since Previous Captured Packet: 將時(shí)間戳設(shè)置為秒格式，從上次捕捉開始計(jì)時(shí)，見第節(jié) “時(shí)間顯示格式及參考時(shí)間”Time Display Format Seconds Since Previous Displayed Packet: 將時(shí)間戳設(shè)置為秒格式，從上次顯示的包開始計(jì)時(shí),見第節(jié) “時(shí)間顯示格式及參考時(shí)間”Time Display Format Time Display Format Automat

18、ic (File Format Precision)根據(jù)指定的精度選擇數(shù)據(jù)包中時(shí)間戳的顯示方式，見第節(jié) “時(shí)間顯示格式及參考時(shí)間” 注意Automatic,Seconds和.seconds是互斥的 Time Display Format Seconds: 0設(shè)置精度為1秒，見第節(jié) “時(shí)間顯示格式及參考時(shí)間”Time Display Format .seconds: 0設(shè)置精度為1秒，秒，秒，百萬分之一秒等等。 見第節(jié) “時(shí)間顯示格式及參考時(shí)間”Name Resolution Resolve Name僅對(duì)當(dāng)前選定包進(jìn)行解析第節(jié) “名稱解析”Name Resolution Enable for M

19、AC Layer是否解析Mac地址Name Resolution Enable for Network Layer是否解析網(wǎng)絡(luò)層地址(ip地址),見第節(jié) “名稱解析”Name Resolution Enable for Transport Layer 是否解析傳輸層地址第節(jié) “名稱解析”Colorize Packet List是否以彩色顯示包注意以彩色方式顯示包會(huì)降低捕捉再如包文件的速度 Auto Scrooll in Live Capture控制在實(shí)時(shí)捕捉時(shí)是否自動(dòng)滾屏，如果選擇了該項(xiàng)，在有新數(shù)據(jù)進(jìn)入時(shí)， 面板會(huì)項(xiàng)上滾動(dòng)。您始終能看到最后的數(shù)據(jù)。反之，您無法看到滿屏以后的數(shù)據(jù)，除非您手動(dòng)滾屏

20、Zoom InCtrl+增大字體Zoom OutCtrl+-縮小字體Normal SizeCtrl+=恢復(fù)正常大小Resiz All Columnus恢復(fù)所有列寬 注意除非數(shù)據(jù)包非常大，一般會(huì)立刻更改 Expend Subtrees展開子分支Expand All看開所有分支，該選項(xiàng)會(huì)展開您選擇的包的所有分支。Collapse All收縮所有包的所有分支Coloring Rulues.打開一個(gè)對(duì)話框，讓您可以通過過濾表達(dá)來用不同的顏色顯示包。這項(xiàng)功能對(duì)定位特定類型的包非常有用。見第節(jié) “包色彩顯示設(shè)置”Show Packet in New Window在新窗口顯示當(dāng)前包，(新窗口僅包含View,

21、Byte View兩個(gè)面板)ReloadCtrl+R重新再如當(dāng)前捕捉文件.Go菜單Wireshark GO菜單的內(nèi)容見表 “GO菜單項(xiàng)”圖.GO菜單表.GO菜單項(xiàng)菜單項(xiàng)快捷鍵描述BackAlt+Left跳到最近瀏覽的包，類似于瀏覽器中的頁(yè)面歷史紀(jì)錄ForWardAlt+Right跳到下一個(gè)最近瀏覽的包，跟瀏覽器類似Go to PacketCtrl+G打開一個(gè)對(duì)話框，輸入指定的包序號(hào)，然后跳轉(zhuǎn)到對(duì)應(yīng)的包，見第節(jié) “到指定的包”Go to Corresponding Packet跳轉(zhuǎn)到當(dāng)前包的應(yīng)答包，如果不存在，該選項(xiàng)為灰色Previous PacketCtrl+UP移動(dòng)到包列表中的前一個(gè)包，即使

22、包列表面板不是當(dāng)前焦點(diǎn)，也是可用的Next PacketCtrl+Down移動(dòng)到包列表中的后一個(gè)包，同上First Packet移動(dòng)到列表中的第一個(gè)包Last Packet移動(dòng)到列表中的最后一個(gè)包.Capture菜單Capture菜單的各項(xiàng)說明見表 “Capture菜單項(xiàng)”圖.Capture菜單表.Capture菜單項(xiàng)菜單項(xiàng)快捷鍵說明Interface.在彈出對(duì)話框選擇您要進(jìn)行捕捉的網(wǎng)絡(luò)接口,見第節(jié) “捕捉接口對(duì)話框”O(jiān)ptions.Ctrl+K打開設(shè)置捕捉選項(xiàng)的對(duì)話框,(見第節(jié) “捕捉選項(xiàng)對(duì)話框”)并可以在此開始捕捉Start立即開始捕捉，設(shè)置都是參照最后一次設(shè)置。StopCtrl+E停止正

23、在進(jìn)行的捕捉，見第節(jié) “停止捕捉”Restart正在進(jìn)行捕捉時(shí)，停止捕捉，并按同樣的設(shè)置重新開始捕捉.僅在您認(rèn)為有必要時(shí)Capture Filters.打開對(duì)話框，編輯捕捉過濾設(shè)置，可以命名過濾器，保存為其他捕捉時(shí)使用見第節(jié) “定義，保存過濾器”.Analyze菜單Analyze菜單的各項(xiàng)見表 “analyze菜單項(xiàng)”圖.Analyze菜單表.analyze菜單項(xiàng)菜單項(xiàng)快捷鍵說明Display Filters.打開過濾器對(duì)話框編輯過濾設(shè)置，可以命名過濾設(shè)置，保存為其他地方使用，見第節(jié) “定義，保存過濾器”Apply as Filter.更改當(dāng)前過濾顯示并立即應(yīng)用。根據(jù)選擇的項(xiàng)，當(dāng)前顯示字段會(huì)被

24、替換成選擇在Detail面板的協(xié)議字段Prepare a Filter.更改當(dāng)前顯示過濾設(shè)置，當(dāng)不會(huì)立即應(yīng)用。同樣根據(jù)當(dāng)前選擇項(xiàng)，過濾字符會(huì)被替換成Detail面板選擇的協(xié)議字段Firewall ACL Rules為多種不同的防火墻創(chuàng)建命令行ACL規(guī)則(訪問控制列表),支持Cisco IOS, Linux Netfilter (iptables), OpenBSD pf and Windows Firewall (via netsh). Rules for MAC addresses, IPv4 addresses, TCP and UDP ports, 以及 IPv4+混合端口 以上假定規(guī)則

25、用于外部接口Enable Protocols. Shift+Ctrl+R是否允許協(xié)議分析，見第節(jié) “Enable Protocols對(duì)話框”a 看樣子他們有個(gè)關(guān)于這部分的章節(jié).Statistics菜單Wireshark statistics菜單項(xiàng)見表 “”圖.Statistics菜單表.菜單項(xiàng)快捷鍵描述Summary顯示捕捉數(shù)據(jù)摘要,見第節(jié) “摘要窗口”Protocol Hierarchy顯示協(xié)議統(tǒng)計(jì)分層信息，見第節(jié) “Protocol Hierarchy窗口”Conversations/顯示會(huì)話列表(兩個(gè)終端之間的通信),見EndPoints顯示端點(diǎn)列表(通信發(fā)起，結(jié)束地址),見第節(jié) “En

26、dpoints窗口”IO Graphs顯示用戶指定圖表，(如包數(shù)量-時(shí)間表)見第節(jié) “IO Graphs窗口”Conversation List通過一個(gè)組合窗口，顯示會(huì)話列表,見第節(jié) “協(xié)議指定“Conversation List/會(huì)話列表”窗口”Endpoint List通過一個(gè)組合窗口顯示終端列表，見第節(jié) “特定協(xié)議的Endpoint List窗口”Service Response Time顯示一個(gè)請(qǐng)求及其相應(yīng)之間的間隔時(shí)間，見第節(jié) “服務(wù)相應(yīng)時(shí)間”ANSI見第節(jié) “協(xié)議指定統(tǒng)計(jì)窗口”GSM見第節(jié) “協(xié)議指定統(tǒng)計(jì)窗口”.見第節(jié) “協(xié)議指定統(tǒng)計(jì)窗口”ISUP Message見第節(jié) “協(xié)議指定

27、統(tǒng)計(jì)窗口”Types見第節(jié) “協(xié)議指定統(tǒng)計(jì)窗口”MTP3見第節(jié) “協(xié)議指定統(tǒng)計(jì)窗口”RTP見第節(jié) “協(xié)議指定統(tǒng)計(jì)窗口”GSM見第節(jié) “協(xié)議指定統(tǒng)計(jì)窗口”SIP見第節(jié) “協(xié)議指定統(tǒng)計(jì)窗口”VOIP Calls.見第節(jié) “協(xié)議指定統(tǒng)計(jì)窗口”WAP-WSP.見第節(jié) “協(xié)議指定統(tǒng)計(jì)窗口”HTTPHTTP請(qǐng)求/相應(yīng)統(tǒng)計(jì)，見第節(jié) “協(xié)議指定統(tǒng)計(jì)窗口”ISUP Messages見第節(jié) “協(xié)議指定統(tǒng)計(jì)窗口”O(jiān)NC-RPC Programs見第節(jié) “協(xié)議指定統(tǒng)計(jì)窗口”TCP Stream Graph見第節(jié) “協(xié)議指定統(tǒng)計(jì)窗口”.Help菜單幫助菜單的內(nèi)容見表 “”圖.幫助菜單表.菜單項(xiàng)快捷鍵描述Contents

28、F1打開一個(gè)基本的幫助系統(tǒng)Supported Protocols打開一個(gè)對(duì)話框顯示支持的協(xié)議或工具M(jìn)anaul Pages.打開瀏覽器，顯示安裝在本地的手冊(cè)Wireshark Online按照選擇顯示在線資源About Wireshark彈出信息窗口顯示W(wǎng)ireshark的一些相關(guān)信息，如插件，目錄等。注意有些版本可能不支持調(diào)用WEB瀏覽器。如果是這樣，可能會(huì)隱藏此菜單。 注意如果調(diào)用瀏覽器錯(cuò)誤，檢查Wireshark首選項(xiàng)關(guān)于瀏覽器設(shè)置。 .Main工具欄主工具欄提供了快速訪問常見項(xiàng)目的功能,它是不可以自定義的，但如果您覺得屏幕屏幕過于狹小，需要更多空間來顯示數(shù)據(jù)。您可以使用瀏覽菜單隱藏它。

29、在主工具欄里面的項(xiàng)目只有在可以使用的時(shí)候才能被選擇，如果不是可用則顯示為灰色，不可選(例如：在未載入文件時(shí)，保存文件按鈕就不可用.)圖.表.主工具欄選項(xiàng)工具欄圖標(biāo)工具欄項(xiàng)對(duì)應(yīng)菜單項(xiàng)描述接口Capture/Interfaces.打開接口列表對(duì)話框,見第節(jié) “開始捕捉”選項(xiàng)。Capture/Options打開捕捉選項(xiàng)對(duì)話框，見第節(jié) “捕捉接口對(duì)話框”StartCapture/Start使用最后一次的捕捉設(shè)置立即開始捕捉STOPCapture/Stop停止當(dāng)前的捕捉，見第節(jié) “開始捕捉”RestarCaputer/Rstart停止當(dāng)前捕捉，并立即重新開始Open.File/Open啟動(dòng)打開文件對(duì)話框

30、，用于載入文件，詳見第節(jié) “打開捕捉文件對(duì)話框”Save As.File/Save As.保存當(dāng)前文件為任意其他的文件，它將會(huì)彈出一個(gè)對(duì)話框，(見第節(jié) “save Capture File As/保存文件為對(duì)話框” 注意如果當(dāng)前文件是臨時(shí)未保存文件，圖標(biāo)將會(huì)顯示為 CloseFile/Close關(guān)閉當(dāng)前文件。如果未保存，將會(huì)提示是否保存ReloadView/Reload重新載入當(dāng)前文件PrintFile/Print打印捕捉文件的全部或部分，將會(huì)彈出一個(gè)打印對(duì)話框(見第節(jié) “打印包”)Find packet.Edit/Find Packet.打開一個(gè)對(duì)話框，查找包。見第節(jié) “查找包”Go Bac

31、kGo/Go Back返回歷史記錄中的上一個(gè)Go ForwardGo/Go Forward跳轉(zhuǎn)到歷史記錄中的下一個(gè)包Go to Packet.Go/Go to Packet.彈出一個(gè)設(shè)置跳轉(zhuǎn)到指定的包的對(duì)話框Go To First PacketGo/First Packet跳轉(zhuǎn)到第一包Go To Last PacketGo/Last Packet跳轉(zhuǎn)到最后一個(gè)包ColorizeView/Coloreze切換是否以彩色方式顯示包列表Auto Scroll in LiveView/Auto Scrool in Live Capture開啟/關(guān)閉實(shí)時(shí)捕捉時(shí)自動(dòng)滾動(dòng)包列表Zoom inView/Zoo

32、m In增大字體zoom outView/Zoom Out縮小字體Normal SizeView/Normal Size設(shè)置縮放大小為100%Resize ColumnsView/Resize Columns重置列寬，使內(nèi)容適合列寬(使包列表內(nèi)的文字可以完全顯示)Capture Filters.Capture/Capture Filters.打開對(duì)話框，用于創(chuàng)建、編輯過濾器。詳見第節(jié) “定義，保存過濾器”Display Filters.Analyze/ Filters.打開對(duì)話框，用于創(chuàng)建、編輯過濾器。詳見第節(jié) “定義，保存過濾器”Coloring Rules.View/Coloring Ru

33、les.定義以色彩方式顯示數(shù)據(jù)包的規(guī)則詳見第節(jié) “包色彩顯示設(shè)置”Preferences.Edit/Preferences打開首選項(xiàng)對(duì)話框，詳見第節(jié) “首選項(xiàng)”HelpHelp/Contents打開幫助對(duì)話框.Filter工具欄過濾工具欄用于編輯或顯示過濾器，更多詳情見第節(jié) “瀏覽時(shí)過濾包”圖.過濾工具欄表.工具欄圖標(biāo)工具欄項(xiàng)說明過濾打開構(gòu)建過濾器對(duì)話框,見第節(jié) “查找包”a過濾輸入框在此區(qū)域輸入或修改顯示的過濾字符，見第節(jié) “建立顯示過濾表達(dá)式”,在輸入過程中會(huì)進(jìn)行語法檢查。如果您輸入的格式不正確，或者未輸入完成，則背景顯示為紅色。直到您輸入合法的表達(dá)式，背景會(huì)變?yōu)榫G色。你可以點(diǎn)擊下拉列表選

34、擇您先前鍵入的過濾字符。列表會(huì)一直保留，即使您重新啟動(dòng)程序。注意做完修改之后，記得點(diǎn)擊右邊的Apply(應(yīng)用)按鈕，或者回車，以使過濾生效。 注意輸入框的內(nèi)容同時(shí)也是當(dāng)前過濾器的內(nèi)容（當(dāng)前過濾器的內(nèi)容會(huì)反映在輸入框） 表達(dá)式.標(biāo)簽為表達(dá)式的按鈕打開一個(gè)對(duì)話框用以從協(xié)議字段列表中編輯過濾器，詳見第節(jié) “Filter Expression/過濾表達(dá)式”對(duì)話框”清除重置當(dāng)前過濾器，清除輸入框應(yīng)用應(yīng)用當(dāng)前輸入框的表達(dá)式為過濾器進(jìn)行過濾注意在大文件里應(yīng)用顯示過濾可能要很長(zhǎng)時(shí)間a 我看到的Filter按鈕貌似沒有圖標(biāo)，可能只出現(xiàn)在版中.Pcaket List面板Packet list/包列表面板顯示所有當(dāng)

35、前捕捉的包圖.Packet list/包列表面板列表中的每行顯示捕捉文件的一個(gè)包。如果您選擇其中一行，該包得更多情況會(huì)顯示在Packet Detail/包詳情，Packet Byte/包字節(jié)面板在分析(解剖)包時(shí)，Wireshark會(huì)將協(xié)議信息放到各個(gè)列。因?yàn)楦邔訁f(xié)議通常會(huì)覆蓋底層協(xié)議，您通常在包列表面板看到的都是每個(gè)包的最高層協(xié)議描述。例如：讓我們看看一個(gè)包括TCP包,IP包,和一個(gè)以太網(wǎng)包。在以太網(wǎng)(鏈路層)包中解析的數(shù)據(jù)(比如以太網(wǎng)地址），在IP分析中會(huì)覆蓋為它自己的內(nèi)容(比如IP地址)，在TCP分析中會(huì)覆蓋IP信息。包列表面板有很多列可供選擇。需要顯示哪些列可以在首選項(xiàng)中進(jìn)行設(shè)置，見第

36、節(jié) “首選項(xiàng)”默認(rèn)的列如下No. 包的編號(hào)，編號(hào)不會(huì)發(fā)生改變，即使進(jìn)行了過濾也同樣如此Time 包的時(shí)間戳。包時(shí)間戳的格式可以自行設(shè)置，見第節(jié) “時(shí)間顯示格式及參考時(shí)間”Source 顯示包的源地址。Destination 顯示包的目標(biāo)地址。Protocal 顯示包的協(xié)議類型的簡(jiǎn)寫Info 包內(nèi)容的附加信息右擊包，可以顯示對(duì)包進(jìn)行相關(guān)操作的上下文菜單。見第節(jié) “瀏覽時(shí)過濾包”.Packet Details面板Packet Details/包詳情面板顯示當(dāng)前包(在包列表面板被選中的包)的詳情列表。圖.Packet Details/包詳情面板該面板顯示包列表面板選中包的協(xié)議及協(xié)議字段，協(xié)議及字段以

37、樹狀方式組織。你可以展開或折疊它們。右擊它們會(huì)獲得相關(guān)的上下文菜單。見第節(jié) “建立顯示過濾表達(dá)式”某些協(xié)議字段會(huì)以特殊方式顯示Generated fields/衍生字段 Wireshark會(huì)將自己生成附加協(xié)議字段加上括號(hào)。衍生字段是通過該包的相關(guān)的其他包結(jié)合生成的。例如：Wireshark 在對(duì)TCP流應(yīng)答序列進(jìn)行分析時(shí)。將會(huì)在TCP協(xié)議中添加SEQ/ACK analysis字段Links/鏈接 如果Wireshark檢測(cè)到當(dāng)前包與其它包的關(guān)系，將會(huì)產(chǎn)生一個(gè)到其它包的鏈接。鏈接字段顯示為藍(lán)色字體，并加有下劃線。雙擊它會(huì)跳轉(zhuǎn)到對(duì)應(yīng)的包。.Packet Byte面板Packet Byte/包字節(jié)

38、面板以16進(jìn)制轉(zhuǎn)儲(chǔ)方式顯示當(dāng)前選擇包的數(shù)據(jù)圖.Packet Byte/包字節(jié)面板通常在16進(jìn)制轉(zhuǎn)儲(chǔ)形式中，左側(cè)顯示包數(shù)據(jù)偏移量，中間欄以16進(jìn)制表示，右側(cè)顯示為對(duì)應(yīng)的ASCII字符根據(jù)包數(shù)據(jù)的不同，有時(shí)候包字節(jié)面板可能會(huì)有多個(gè)頁(yè)面，例如：有時(shí)候Wireshark會(huì)將多個(gè)分片重組為一個(gè)，見第節(jié) “合并包”.這時(shí)會(huì)在面板底部出現(xiàn)一個(gè)附加按鈕供你選擇查看圖.帶選項(xiàng)的Paket Bytes/包字節(jié)面板注意附加頁(yè)面的內(nèi)容可能來自多個(gè)包。右擊選項(xiàng)按鈕會(huì)顯示一個(gè)上下文菜單顯示所有可用的頁(yè)的清單。如果您的面板尺寸過小，這項(xiàng)功能或許有所幫助.狀態(tài)欄狀態(tài)欄用于顯示信息通常狀態(tài)欄的左側(cè)會(huì)顯示相關(guān)上下文信息，右側(cè)會(huì)顯

39、示當(dāng)前包數(shù)目圖.初始狀態(tài)欄該狀態(tài)欄顯示的是沒有文件載入時(shí)的狀態(tài)，如：剛啟動(dòng)Wireshark時(shí)圖.載入文件后的狀態(tài)欄左側(cè)顯示當(dāng)前捕捉文件信息，包括名稱，大小，捕捉持續(xù)時(shí)間等。右側(cè)顯示當(dāng)前包在文件中的數(shù)量，會(huì)顯示如下值P:捕捉包的數(shù)目D:被顯示的包的數(shù)目M: 被標(biāo)記的包的數(shù)目.圖.已選擇協(xié)議字段的狀態(tài)欄如果你已經(jīng)在Packet Detail/包詳情面板選擇了一個(gè)協(xié)議字段，將會(huì)顯示上圖提示括號(hào)內(nèi)的值(如上圖的可以作為顯示過濾使用。它表示選擇的協(xié)議字段。第4章實(shí)時(shí)捕捉數(shù)據(jù)包.介紹實(shí)時(shí)捕捉數(shù)據(jù)包時(shí)Wireshar的特色之一Wiershark捕捉引擎具備以下特點(diǎn)支持多種網(wǎng)絡(luò)接口的捕捉(以太網(wǎng)，令牌環(huán)網(wǎng)，

40、ATM.)支持多種機(jī)制觸發(fā)停止捕捉，例如：捕捉文件的大小，捕捉持續(xù)時(shí)間，捕捉到包的數(shù)量.捕捉時(shí)同時(shí)顯示包解碼詳情設(shè)置過濾，減少捕捉到包的容量。見第節(jié) “捕捉時(shí)過濾”長(zhǎng)時(shí)間捕捉時(shí)，可以設(shè)置生成多個(gè)文件。對(duì)于特別長(zhǎng)時(shí)間的捕捉，可以設(shè)置捕捉文件大小罰值，設(shè)置僅保留最后的N個(gè)文件等手段。見第節(jié) “捕捉文件格式、模式設(shè)置”Wireshark捕捉引擎在以下幾個(gè)方面尚有不足從多個(gè)網(wǎng)絡(luò)接口同時(shí)實(shí)時(shí)捕捉，(但是您可以開始多個(gè)應(yīng)用程序?qū)嶓w，捕捉后進(jìn)行文件合并)根據(jù)捕捉到的數(shù)據(jù)停止捕捉(或其他操作).準(zhǔn)備工作第一次設(shè)置Wireshark捕捉包可能會(huì)遇到一些小麻煩提示關(guān)于如何進(jìn)行捕捉設(shè)置的較為全面的向?qū)Э梢栽?這里有

41、一些常見需要注意的地方你必須擁有root/Administrator特權(quán)以開始捕捉12必須選擇正確的網(wǎng)絡(luò)接口捕捉數(shù)據(jù)如果您想捕捉某處的通信，你必須作出決定：在什么地方可以捕捉到以及許多如果你碰到設(shè)置問題，建議看看前面的那個(gè)向?qū)?，或許會(huì)有所幫助.開始捕捉可以使用下任一方式開始捕捉包使用打開捕捉接口對(duì)話框，瀏覽可用的本地網(wǎng)絡(luò)接口，見圖 “Capture Interfaces捕捉接口對(duì)話框”,選擇您需要進(jìn)行捕捉的接口啟動(dòng)捕捉你也可以使用捕捉選項(xiàng)按鈕啟動(dòng)對(duì)話框開始捕捉，見圖 “Capture Option/捕捉選項(xiàng)對(duì)話框”如果您前次捕捉時(shí)的設(shè)置和現(xiàn)在的要求一樣，您可以點(diǎn)擊開始捕捉按鈕或者是菜單項(xiàng)立即開

42、始本次捕捉。如果你已經(jīng)知道捕捉接口的名稱，可以使用如下命令從命令行開始捕捉： wireshark -i eth0 -k上述命令會(huì)從eht0接口開始捕捉，有關(guān)命令行的介紹參見第節(jié) “從命令行啟動(dòng)Wireshark”.捕捉接口對(duì)話框如果您從捕捉菜單選擇Interface.，將會(huì)彈出如圖 “Capture Interfaces捕捉接口對(duì)話框”所示的對(duì)話框警告打開Capture Interfaces/捕捉對(duì)話框時(shí) 同時(shí)正在顯示捕捉的數(shù)據(jù)，這將會(huì)大量消耗您的系統(tǒng)資源。盡快選擇您需要的接口以結(jié)束該對(duì)話框。避免影響系統(tǒng)性能 注意這個(gè)對(duì)話框只顯示本地已知的網(wǎng)絡(luò)接口，Wireshark可能無法檢測(cè)到所有的本地接

43、口，Wireshark不能檢測(cè)遠(yuǎn)程可用的網(wǎng)絡(luò)接口，Wireshark只能使用列出可用的網(wǎng)絡(luò)接口 圖.Capture Interfaces捕捉接口對(duì)話框描述 從操作系統(tǒng)獲取的接口信息 IP Wireshark能解析的第一個(gè)IP地址，如果接口未獲得IP地址（如，不存在可用的DHCP服務(wù)器)，將會(huì)顯示Unkow,如果有超過一個(gè)IP的，只顯示第一個(gè)(無法確定哪一個(gè)會(huì)顯示). Packets 打開該窗口后，從此接口捕捉到的包的數(shù)目。如果一直沒有接收到包，則會(huì)顯示為灰度 Packets/s 最近一秒捕捉到包的數(shù)目。如果最近一秒沒有捕捉到包，將會(huì)是灰度顯示 Stop 停止當(dāng)前運(yùn)行的捕捉 Capture 從選

44、擇的接口立即開始捕捉，使用最后一次捕捉的設(shè)置。 Options 打開該接口的捕捉選項(xiàng)對(duì)話框,見 第節(jié) “捕捉選項(xiàng)對(duì)話框” Details(僅Win32系統(tǒng)) 打開對(duì)話框顯示接口的詳細(xì)信息 Close 關(guān)閉對(duì)話框 .捕捉選項(xiàng)對(duì)話框如果您從捕捉菜單選擇start.按鈕(或者從主工具欄選擇對(duì)應(yīng)的項(xiàng)目),Wireshark彈出Capture Option/捕捉選項(xiàng)對(duì)話框。如圖 “Capture Option/捕捉選項(xiàng)對(duì)話框”所示圖.Capture Option/捕捉選項(xiàng)對(duì)話框提示如果你不了解各項(xiàng)設(shè)置的意義，建議保持默認(rèn)。 你可以用對(duì)話框中的如下字段進(jìn)行設(shè)置4.5.1.捕捉楨Interface 該字段指

45、定你想用于進(jìn)行捕捉的借口。一次只能使用一個(gè)接口。這是一個(gè)下拉列表，簡(jiǎn)單點(diǎn)擊右側(cè)的按鈕，選擇你想要使用的接口。默認(rèn)第一是支持捕捉的non-loopback(非環(huán)回)接口，如果沒有這樣的接口，第一個(gè)將是環(huán)回接口。在某些系統(tǒng)中，回借口不支持捕捉包(windows平臺(tái)下的環(huán)回接口就不支持。)在命令行使用-i 參數(shù)可以替代該選項(xiàng)IP address 表示選擇接口的IP地址。如果系統(tǒng)未指定IP地址，將會(huì)顯示為unknown Link-layer header type 除非你有些特殊應(yīng)用，盡量保持此選項(xiàng)默認(rèn)。想了解更多詳情，見 第節(jié) “鏈路層包頭類型” Buffer size: n megabyte(s)

46、 輸入用于捕捉的緩層大小。該選項(xiàng)是設(shè)置寫入數(shù)據(jù)到磁盤前保留在核心緩存中捕捉數(shù)據(jù)的大小，如果你發(fā)現(xiàn)丟包。嘗試增大該值。注意該選項(xiàng)僅適用于Windows平臺(tái)Capture packets in promiscuous mode 指定Wireshark捕捉包時(shí)，設(shè)置接口為雜收模式(有些人翻譯為混雜模式)。如果你未指定該選項(xiàng)，Wireshark 將只能捕捉進(jìn)出你電腦的數(shù)據(jù)包(不能捕捉整個(gè)局域網(wǎng)段的包)13注意如果其他應(yīng)用程序?qū)⒕W(wǎng)卡設(shè)置為雜收模式，即使不選中該選項(xiàng)，也會(huì)工作于雜收模式下。注意即使在雜收模式下，你也未必能夠接收到整個(gè)網(wǎng)段所有的網(wǎng)絡(luò)包。詳細(xì)解釋見 each packet to n bytes

47、 指定捕捉過程中，每個(gè)包的最大字節(jié)數(shù)。在某些地方被稱為。snaplen.14如果禁止該選項(xiàng)，默認(rèn)值為65535，這適用于大多數(shù)協(xié)議，下面是一些大多數(shù)情況下都適用的規(guī)則(這里又出現(xiàn)了拇指規(guī)則，第一章，系統(tǒng)需求時(shí)提到過。這里權(quán)且翻譯作普適而非絕對(duì)的規(guī)則)如果你不確定，盡量保持默認(rèn)值如果你不需要包中的所有數(shù)據(jù)。例如：如果您僅需要鏈路層、IP和TCP包頭，您可能想要選擇一個(gè)較小的快照長(zhǎng)度。這樣只需要較少的cpu占用時(shí)間用于復(fù)制包，包需要的緩存也較少。如此在繁忙網(wǎng)絡(luò)中捕捉時(shí)丟失的包也可能會(huì)相應(yīng)少一點(diǎn)。如果你沒有捕捉包中的所有數(shù)據(jù)(適用snpaplen截?cái)嗔税?，你可能會(huì)發(fā)現(xiàn)有時(shí)候你想要的包中的數(shù)據(jù)部分被

48、截?cái)鄟G棄了。或者因?yàn)槿鄙僦匾牟糠?，想?duì)某些包進(jìn)行重組而發(fā)現(xiàn)失敗。Capture Filter 指定捕捉過濾。捕捉過濾器將會(huì)在有第節(jié) “捕捉時(shí)過濾”詳細(xì)介紹，默認(rèn)情況下是空的。同樣你也可以點(diǎn)擊捕捉按鈕，通過彈出的捕捉過濾對(duì)話框創(chuàng)建或選擇一個(gè)過濾器，詳見第節(jié) “定義，保存過濾器”4.5.2.捉數(shù)據(jù)幀為文件。捕捉文件設(shè)置的使用方法的詳細(xì)介紹見第節(jié) “捕捉文件格式、模式設(shè)置”File 指定將用于捕捉的文件名。該字段默認(rèn)是空白。如果保持空白，捕捉數(shù)據(jù)將會(huì)存儲(chǔ)在臨時(shí)文件夾。詳見第節(jié) “捕捉文件格式、模式設(shè)置”你可以點(diǎn)擊右側(cè)的按鈕打開瀏覽窗口設(shè)置文件存儲(chǔ)位置Use multiple files 如果指定條

49、件達(dá)到臨界值，Wireshark將會(huì)自動(dòng)生成一個(gè)新文件，而不是適用單獨(dú)文件。Next file every n megabyte(s) 僅適用選中Use multiple files,如果捕捉文件容量達(dá)到指定值，將會(huì)生成切換到新文件Next file every n minutes(s) 僅適用選中Use multiple files,如果捕捉文件持續(xù)時(shí)間達(dá)到指定值，將會(huì)切換到新文件。Ring buffer with n files 僅適用選中Use multiple files,僅生成制定數(shù)目的文件。Stop caputure after n file(s) 僅適用選中Use multipl

50、e files,當(dāng)生成指定數(shù)目文件時(shí)，在生成下一個(gè)文件時(shí)停止捕捉(生成n個(gè)還是n+1個(gè)文件)4.5.3.停止捕捉楨. after n packet(s) 在捕捉到指定數(shù)目數(shù)據(jù)包后停止捕捉. after n megabytes(s) 在捕捉到指定容量的數(shù)據(jù)(byte(s)/kilobyte(s)/megabyte(s)/gigabyte(s) )后停止捕捉。如果沒有適用user multiple files,該選項(xiàng)將是灰色. after n minute(s) 在達(dá)到指定時(shí)間后停止捕捉4.5.4.顯示楨選項(xiàng)Update list of packets in real time 在包列表面板實(shí)時(shí)更

51、新捕捉數(shù)據(jù)。如果未選定該選項(xiàng)，在Wireshark捕捉結(jié)束之前將不能顯示數(shù)據(jù)。如果選中該選項(xiàng)，Wireshark將生成兩個(gè)獨(dú)立的進(jìn)程，通過捕捉進(jìn)程傳輸數(shù)據(jù)給顯示進(jìn)程。Automatic scrolling in live capture 指定Wireshark在有數(shù)據(jù)進(jìn)入時(shí)實(shí)時(shí)滾動(dòng)包列表面板，這樣您將一直能看到最近的包。反之，則最新數(shù)據(jù)包會(huì)被放置在行末，但不會(huì)自動(dòng)滾動(dòng)面板。如果未設(shè)置update list of packets in real time,該選項(xiàng)將是灰色不可選的。Hide capture info dialog 選中該選項(xiàng)，將會(huì)隱藏捕捉信息對(duì)話框4.5.5.名稱解析設(shè)置Enabl

52、e MAC name resolution 設(shè)置是否讓W(xué)ireshark翻譯MAC地址為名稱，見第節(jié) “名稱解析”Enable network name resolution 是否允許Wireshark對(duì)網(wǎng)絡(luò)地址進(jìn)行解析，見第節(jié) “名稱解析”4.5.6.按鈕進(jìn)行完上述設(shè)置以后，你可以點(diǎn)擊start按鈕進(jìn)行捕捉,也可以點(diǎn)擊Cancel退出捕捉.開始捕捉以后，在你收集到足夠的數(shù)據(jù)時(shí)你可以停止捕捉。見第節(jié) “在捕捉過程中”.捕捉文件格式、模式設(shè)置在 捕捉時(shí)，libpcap 捕捉引擎(linux環(huán)境下)會(huì)抓取來自網(wǎng)卡的包存放在(相對(duì)來說)較小的核心緩存內(nèi)。這些數(shù)據(jù)由Wireshark讀取并保存到用戶指

53、定的捕捉文件中。保存包數(shù)據(jù)到捕捉文件時(shí)，可采用差異模式操作。提示處理大文件(數(shù)百兆)將會(huì)變得非常慢。如果你計(jì)劃進(jìn)行長(zhǎng)時(shí)間捕捉，或者處于一個(gè)高吞吐量的網(wǎng)絡(luò)中，考慮使用前面提到的Multiple files/多文件選項(xiàng)。該選項(xiàng)可以將捕捉包分割為多個(gè)小文件。這樣可能更適合上述環(huán)境。注意使用多文件可能會(huì)切斷上下文關(guān)聯(lián)信息。Wireshark保留載入包的上下文信息，所以它會(huì)報(bào)告上下文關(guān)聯(lián)問題(例如流問題)和關(guān)聯(lián)上下文協(xié)議信息(例如：何處數(shù)據(jù)產(chǎn)生建立階段，必須查找后續(xù)包)。這些信息僅能在載入文件中顯示，使用多文件模式可能會(huì)截?cái)噙@樣的上下文。如果建立連接階段已經(jīng)保存在一個(gè)文件中，你想要看的在另一個(gè)文件中，你

54、可能無法看到可用的上下文關(guān)聯(lián)信息。提示關(guān)于捕捉文件的目錄信息，可見表.捕捉文件模式選項(xiàng)File選項(xiàng)Use multiple files選項(xiàng)Ring buffer with n files選項(xiàng)Mode最終文件命名方式-Single temporary fileetherXXXXXX (where XXXXXX 是一個(gè)獨(dú)立值)-Single named filex-Multiple files,continuous, , .xxMultiple files,ring buffer, , .Single temporary file 將會(huì)創(chuàng)建并使用一個(gè)臨時(shí)文件(默認(rèn)選項(xiàng)).捕捉文件結(jié)束后，該文件可以

55、由用戶指定文件名。Single named file 使用單獨(dú)文件，如果你想放到指定目錄，選擇此模式Multiple files,continuous 與single name file模式類似，不同點(diǎn)在于，當(dāng)捕捉達(dá)到多文件切換臨界條件時(shí)之一時(shí)，會(huì)創(chuàng)建一個(gè)新文件用于捕捉Multiple files,ring buffer 與multiple files continuous模式類似，不同之處在于，創(chuàng)建的文件數(shù)目固定。當(dāng)達(dá)到ring buffer with n值時(shí)，會(huì)替換掉第一個(gè)文件開始捕捉，如此循環(huán)往復(fù)。該模式可以限制最大磁盤空間使用量，即使未限制捕捉數(shù)據(jù)輸入，也只能保留最后幾個(gè)捕捉數(shù)據(jù)。.鏈

56、路層包頭類型在通常情況下，你不需要選擇鏈路層包頭類型。下面的段落描述了例外的情況，此時(shí)選擇包頭類型是有必要的，所以你需要知道怎么做：如果你在某種版本BSD操作系統(tǒng)下從某種 設(shè)備(無線局域網(wǎng)設(shè)備)捕捉數(shù)據(jù)，可能需要在和Ethernet中做出選擇。Ethernet將會(huì)導(dǎo)致捕捉到的包帶有偽以太網(wǎng)幀頭(不知道是不是應(yīng)該叫偽首部更準(zhǔn)確些);將會(huì)導(dǎo)致他們帶有幀頭。如果捕捉時(shí)的應(yīng)用程序不支持幀頭，你需要選擇如果你使用Endace DAG card(某種網(wǎng)絡(luò)監(jiān)視卡)連接到同步串口線(譯者注：E文為synchronous serial line，權(quán)且翻譯作前文吧，未接觸過此卡、未熟稔此線名稱)，可能會(huì)出現(xiàn)PPP

57、 over serial 或 Cisco HDLC(自己google去)供選擇。根據(jù)你自己的情況選擇二者中的一個(gè)。如果你使用Endace DAG card(同上)連接到ATM網(wǎng)絡(luò)，將會(huì)提供RFC 1483 IP-over-ATM、Sun raw ATM供選擇。如果捕捉的通信是RFC 1483封裝IP(RFC 1483 LLC-encapsulated IP,不翻譯為妙)，或者需要在不支持SunATM幀頭的應(yīng)用程序下捕捉，選擇前者。反之選擇后者。如果你在以太網(wǎng)捕捉，將會(huì)提供Ethernet、DOCSIS供選擇，如果您是在Cisco Cable Modem Termination System(C

58、MTS是思科同軸電纜終端調(diào)制解調(diào)系統(tǒng))下捕捉數(shù)據(jù)。它會(huì)將DOCSIS(同軸電纜數(shù)據(jù)服務(wù)接口)通信放置到以太網(wǎng)中，供捕捉。此時(shí)需要選擇DOCSIS,反之則反之。.捕捉時(shí)過濾Wireshark使用libpcap過濾語句進(jìn)行捕捉過濾(what about winpcap)。在tcpdump主頁(yè)有介紹，但這些只是過于晦澀難懂，所以這里做小幅度講解。提示你可以從找到捕捉過濾范例.在Wireshark捕捉選項(xiàng)對(duì)話(見圖 “Capture Option/捕捉選項(xiàng)對(duì)話框”)框輸入捕捉過濾字段。下面的語句有點(diǎn)類似于tcpdump捕捉過濾語言。在tcpdump主頁(yè)可以看到tcpdump表達(dá)式選項(xiàng)介紹。捕捉過濾的形

59、式為：和取值(and/or)進(jìn)行進(jìn)行基本單元連接，加上可選的，高有限級(jí)的not:not primitive and|or not primitive .例.捕捉來自特定主機(jī)的telnet協(xié)議tcp port 23 and host 本例捕捉來自或指向主機(jī)的Telnet 通信，展示了如何用and連接兩個(gè)基本單元。另外一個(gè)例子例 “捕捉所有不是來自的telnet 通信”展示如何捕捉所有不是來自的telnet 通信。例.捕捉所有不是來自的telnet 通信tcp host 23 and not src host 此處筆者建議增加更多范例。但是并沒有添加。一個(gè)基本單元通常是下面中的一個(gè)src|dst

60、host 此基本單元允許你過濾主機(jī)ip地址或名稱。你可以優(yōu)先指定src|dst關(guān)鍵詞來指定你關(guān)注的是源地址還是目標(biāo)地址。如果未指定，則指定的地址出現(xiàn)在源地址或目標(biāo)地址中的包會(huì)被抓取。ether src|dst host 此單元允許你過濾主機(jī)以太網(wǎng)地址。你可以優(yōu)先指定關(guān)鍵詞src|dst在關(guān)鍵詞ether和host之間，來確定你關(guān)注的是源地址還是目標(biāo)地址。如果未指定，同上。gateway host 過濾通過指定host作為網(wǎng)關(guān)的包。這就是指那些以太網(wǎng)源地址或目標(biāo)地址是host，但源ip地址和目標(biāo)ip地址都不是host的包src|dst net mask|len 通過網(wǎng)絡(luò)號(hào)進(jìn)行過濾。你可以選擇優(yōu)先