Wireshark中文簡明使用教程

1、第3章用戶界面.須知現(xiàn)在您已經(jīng)安裝好了Wireshark，幾乎可以馬上捕捉您的一個包。緊接著的這一節(jié)我們將會介紹：Wireshark的用戶界面如何使用如何捕捉包如何查看包如何過濾包以及其他的一些工作。啟動Wireshark你可以使用Shell命令行或者資源管理器啟動Wireshark.提示z開始Wireshark時您可以指定適當?shù)膮?shù)。參見第節(jié)從命令行啟動Wireshark”0注意在后面的章節(jié)中，將會出現(xiàn)大量的截圖，因為Wireshark運行在多個平臺，并且支持多個GUIToolkit2x）,您的屏幕上顯示的界面可能與截圖不盡吻合。但在功能上不會有實質性區(qū)別。盡管有這些區(qū)別，也不會導致理解上的

2、困難。.主窗口先來看看圖“主窗口界面”，大多數(shù)打開捕捉包以后的界面都是這樣子（如何捕捉/打開包文件隨后提到）。圖.主窗口界面No.TimeNo.TimeSourceDestination10.000000192.16S.0.2Broadcas七20.299139132.ltS.0.2ProtocolInFoARPWhohas192.16S.0.2?(SratuitousfNBN5NamequeryNE5TAThttpL5YNJ5eq=QL亡n=0H55J121.2272S2192.16S.0.1TCPhttp3196曬ACKSeq=0A匚k=：101.111945192.1

3、SS.0.1DM5MtandardqueryAproxycont.vjwuu4.etescap-Wiresi|c回4Frame11Q62bytesonwire,62bytescaptu4Ethern己tII,5rc:(00:0b:5d:2O:匸d:Q2),Dst:Netgear_2d:75:9aCM：O9:5b:2d:75:9a)4InternetProtocol,Src:132.iee.0.2(),Dst:192.16E.0.1()-Transnriseion匚門trcilProto匚口1,5rcPort:3196(3196),DstPcirt:http(EOj,Seq:0,Len:0Sou

4、rceport:3196(3196)Destinationport:http(80)Sequencenumber:0(relativesequencenumber)Header1ength:2Sbytes4Flags:0 x0002Window51ze:64240|vQQQQ0010QQ2Q0030QQQQ0010QQ2Q0030b66400300or-20003己ooopo5o50007-400d8_Lo247eb8匚,51Q2_yo1oo3ofoooaooofQ82aaa500斗匸了0202QoQOaoQ4oooO2801oacOJuoo1匚匚ooo_Ls422fbc1CJ-LI-56-4

5、-0P:1200:120M:0File:Di/test.pcap14KB00:00:02P:1200:120M:0和大多數(shù)圖形界面程序一樣，Wireshark主窗口由如下部分組成:菜單（見第節(jié)“主菜單”）用于開始操作。主工具欄（見第節(jié)“Main工具欄”）提供快速訪問菜單中經(jīng)常用到的項目的功能。Fitertoolbar/過濾工具欄（見第節(jié)“Filter工具欄”）提供處理當前顯示過濾得方法。（見:”瀏覽時進行過濾”）PacketList面板（見第節(jié)“PcaketList面板”）顯示打開文件的每個包的摘要。點擊面板中的單獨條目，包的其他情況將會顯示在另外兩個面板中。Packetdetail面板（見第

6、節(jié)“PacketDetails面板”）顯示您在Packetlist面板中選擇的包德更多詳情。Packetbytes面板（見第節(jié)“PacketByte面板）顯示您在Packetlist面板選擇的包的數(shù)據(jù)，以及在Packetdetails面板高亮顯示的字段。狀態(tài)欄（見第節(jié)“狀態(tài)欄”）顯示當前程序狀態(tài)以及捕捉數(shù)據(jù)的更多詳情。0注意主界面的三個面版以及各組成部分可以自定義組織方式。見第節(jié)首選項”3.3.1.主窗口概述Packetlist和Detail面版控制可以通過快捷鍵進行。表“導航快捷鍵”顯示了相關的快捷鍵列表。表“GO菜單項”有關于快捷鍵的更多介紹表.導航快捷鍵快捷鍵描述1Tab,Shift+T

7、ab在兩個項目間移動，例如從一個包列表移動到下一個Down移動到下一個包或者下一個詳情Up移動到上一個包或者上一個詳情Ctrl-Down,F8移動到下一個包，即使焦點不在Packetlist面版Ctrl-UP,F7移動到前一個報，即使焦點不在Packetlist面版Left在PactectDetail面版，關閉被選擇的詳情樹狀分支。如果以關閉，則返回到父分支。Right在PacketDetail面版，打開被選擇的樹狀分支.BackspacePacketDetail面版，返回到被選擇的節(jié)點的父節(jié)點Return,EnterPacketDetail面版，固定被選擇樹項目。另外，在主窗口鍵入任何字符都

8、會填充到filter里面。.主菜單Wireshark主菜單位于Wireshark窗口的最上方。圖“主菜單”提供了菜單的基本界面。圖.主菜單主菜單包括以下幾個項目:File包括打開、合并捕捉文件，save/保存,Print/打印,Export/導出捕捉文件的全部或部分。以及退出Wireshark項.見第節(jié)“File菜單”Edit包括如下項目：查找包，時間參考，標記一個多個包，設置預設參數(shù)。（剪切，拷貝，粘貼不能立即執(zhí)行。）見第節(jié)“Edit菜單”View控制捕捉數(shù)據(jù)的顯示方式，包括顏色，字體縮放，將包顯示在分離的窗口，展開或收縮詳情面版的地樹狀節(jié)點，見第節(jié)“View菜單”GO包含到指定包的功能。見

9、第節(jié)“Go菜單”Capture允許您開始或停止捕捉、編輯過濾器。見第節(jié)“Capture菜單”Analyze包含處理顯示過濾，允許或禁止分析協(xié)議，配置用戶指定解碼和追蹤TCP流等功能。見第節(jié)“Analyze菜單”Statistics包括的菜單項用戶顯示多個統(tǒng)計窗口，包括關于捕捉包的摘要，協(xié)議層次統(tǒng)計等等。見第節(jié)“Statistics菜單”Help包含一些輔助用戶的參考內(nèi)容。如訪問一些基本的幫助文件，支持的協(xié)議列表，用戶手冊。在線訪問一些網(wǎng)站，“關于”等等。見第節(jié)“Help菜單”本章鏈接介紹菜單的一般情況，更詳細的介紹會出現(xiàn)在后續(xù)章節(jié)。廠=提示/你可以直接點擊訪問菜單項，也可以使用熱鍵，熱鍵顯示在

10、菜單文字描述部分。例如：您可以使用CTR+K打開“捕捉對話框。.File菜單WireSharkFile菜單包含的項目如表表“File菜單介紹”所示圖.File菜單表.File菜單介紹菜單項快捷鍵描述Open.Ctr+O顯示打開文件對話框，讓您載入捕捉文件用以瀏覽。見第節(jié)打開捕捉文件對話框”O(jiān)penRecent彈出一個子菜單顯示最近打開過的文件供選擇。Merg顯示合并捕捉文件的對話框。讓您選擇一個文件和當前打開的文件合菜單項快捷鍵描述并。見第節(jié)“合并捕捉文件”CloseCtrl+W關閉當前捕捉文件，如果您未保存，系統(tǒng)將提示您是否保存（如果您預設了禁止提示保存，將不會提示）SaveCrl+S保存當

11、前捕捉文件，如果您沒有設置默認的保存文件名，Wireshark出現(xiàn)提示您保存文件的對話框。詳情第節(jié)“saveCaptureFileAs/保存文件為對話框”|玄注意巨芻如果您已經(jīng)保存文件，該選項會是灰色不可選的。|:x注意您不能保存動態(tài)捕捉的文件。您必須結束捕捉以后才能進行保存SaveAsShift+Ctrl+S讓您將當前文件保存為另外一個文件面，將會出現(xiàn)一個另存為的對話框（參見第節(jié)saveCaptureFileAs/保存文件為對話框”）FileSetListFiles允許您顯示文件集合的列表。將會彈出一個對話框顯示已打開文件的列表,參見第節(jié)文件集合”FileSetNextFile如果當前載入文

12、件是文件集合的部分，將會跳轉到下個文件。如果不是，將會跳轉到最后一個文件。這個文件選項將會是灰色。FilesetPreviousFiles如果當前文件是文件集合的一部分，將會調(diào)到它所在位置的前一個文件。如果不是則跳到文件集合的第一個文件，冋時變成灰色。Exportas“PlainText”File這個菜單允許您將捕捉文件中所有的或者部分的包導出為plainASCIItext格式。它將會彈出一個Wireshark導出對話框，見第節(jié)“ExportasPlainTextFile對話框”ExportasPostScriptFiles將捕捉文件的全部或部分導出為PostScrit文件。將會出現(xiàn)導出文件對

13、話框。參見第節(jié)ExportasPostScriptFile對話框”ExportasCVS(CommaSeparatedValuesPacketSummary)File導出文件全部或部分摘要為.cvs格式（可用在電子表格中）。將會彈出導出對話框，見第節(jié)ExportasCSV（CommaSeparatedValues）File對話框”。Exportas“PSML”File.導出文件的全部或部分為PSML格式（包摘要標記語言）XML文件。將會彈出導出文件對話框。見第節(jié)ExportasPSMLFile對話框”ExportasPDMLFile導出文件的全部或部分為PDML（包摘要標記語言）格式的XML文

14、件。將會彈出一個導出文件對話框，見第節(jié)ExportasPDMLFile對話框”ExportSelectedPacketBytes.導出當前在Packetbyte面版選擇的字節(jié)為一進制文件。將會彈出個導出對話框。見第節(jié)Exportselectedpacketbytes對話框”PrintCtr+P打印捕捉包的全部或部分，將會彈出打印對話框。見第節(jié)打印包”QuitCtrl+Q退出Wireshark，如果未保存文件，Wireshark會提示是否保存。.Edit菜單Wireshark的Edit菜單包含的項目見L“Edt菜單項”圖.Edit菜單色曇）區(qū)曲牆乾召業(yè)15第寸Expressicm.ClearAf

15、iplyDestinationProtocol色曇）區(qū)曲牆乾召業(yè)15第寸Expressicm.ClearAfiplyDestinationProtocolInfo02BroadcastARPGratuitousARF1十口NBN5Namequerynbstat192.1&8.0.1I匚hlPDestinationi.inrqa：z|2IGMPV3Membersh113RepelDNSstandardquery5RV50SSDPM-SEARCH燈HTTP/l.l192.16S.0.1DNS5Tandardqueryeoa55DPHTTP/l.l200OK55NBN5RegistrationNBN

16、B192.1G8.0.1DNSStandarciqueryApTCP3196http5YN192.1&8.0.2TT仇住n1TCPT廠口hTTp3196NT、h-r-rnL5YN,r，廠iEFindPacket.FindNextFindPreviousCtrl+FCtrl+NCtrl+BMarkPacketftoggle)FindMarkFindPreviousMarkMarkAllPacketsUnnarkAllPacketsCtrl+MShil=t+匚tF4PJShiFt+Ctrl+B0SetTimeReference(tocigle)FindNextReFerenceFindPreyic

17、usReferenceCtrl+TPreferences.n丄.匸匸/2匸丄丁.5hift+Ctrl+P丄UD.U.LP:120D:120M:0Protocoltype(arp-proto,type)2bytes12oooooo6sord8ooc22oo35C20ccb5d20cd141.S27451152.15S.02192.15S.0.1HTTPsubscribe/upnp/se151.2293Q9192.1G8.0.1192.1G8.0.2TCPhrtp3196ACK161.232421192.L&8.0.1192.L&8.0.2TCPTCPwindowupdatel1171.24335

18、5TCP10255000rSYNl表.Edit菜單項菜單項快捷鍵描述CopyAsFilterShift+Ctrl+C使用詳情面版選擇的數(shù)據(jù)作為顯示過濾。顯示過濾將會拷貝到剪貼板。FindPacket.Ctr+F打開個對話框用來通過限制來查找包，見FindNextCtrl+N在使用Findpacket以后，使用該菜單會查找匹配規(guī)則的下一個包FindPreviousCtr+B查找匹配規(guī)則的前一個包。MarkPacket(toggle)Ctrl+M標記當前選擇的包。見第節(jié)標記包”FindNextMarkShift+Ctrl+N查找下一個被標記的包FindPreviousMarkCtrl+Shift+

19、B查找前一個被標記的包MarkALLPackets標記所有包UnmarkAllPacket取消所有標記SetTimeReference(toggle)Ctrl+T以當前包時間作為參考，見第節(jié)包參考時間”FindNextReference找到下一個時間參考包FindPreviousRefrence.找到前一個時間參考包PreferencesShift+Ctrl+P打開首選項對話框，個性化設置Wireshark的各項參數(shù)，設置后的參數(shù)將會在每次打開時發(fā)揮作用。詳見第節(jié)首選項”View菜單表“View菜單項”顯示了WiresharView菜單的選項圖View菜單TimeDisplayFormatrM

20、ainToolbar2FilterToolbsr#StatusbarPacketListPacketDetails屮PacketBytesNameResolution&c_olorisePacketListXAutoScrollinLiveCapture理ZasmIn曾ZoomOutQNormalSizeELIResizeAllColumnsTimeDisplayFormatrMainToolbar2FilterToolbsr#StatusbarPacketListPacketDetails屮PacketBytesNameResolution&c_olorisePacketListXAutoS

21、crollinLiveCapture理ZasmIn曾ZoomOutQNormalSizeELIResizeAllColumnsCtrl十十匚訊十-Ctrl+=+Frame+EthErn+Intern-TransmExpand41CollapseAllColoringRules.SourDest5equShowPacketinMewWindow%ReloadCtrl+R-pExpression.Clear嚼ApplyDestinationProtocolInfo4Broadcas七ARPWhohas192.16S.0.2?百ratuitousfDateandTimeafDy:1970-01-01

22、01:02:03.123456TimeafDay.01!02:03.1234-56SecondsSinceBeginningofCapture:123.123456SecondsSincePreviousPacket:1.12345&Automatic(FileFormatPrecision)Seconds;0Deciseconds;0.1CentieeaunclE：0.12Millieeconde!0.123Microseconds!0.123456Naroseconds:0.123456789JESTAT*jryAproxy匚cinf.訕忒)04.luerceriumberjHeader1

23、ength:28bytes+Flags:0 x0002(列M)Windowsize:64240QOOO0010QQ2Q0030ooooQOOO0010QQ2Q0030oooonJoQ3ino4匸P:120D:120H:0File:Di/test.pcap14KB00:00:02P:120D:120H:0表View菜單項菜單項快捷鍵描述MainToolbar顯示隱藏Maintoolbar（主工具欄）,見第節(jié)“Main工具欄”FilterToolbar顯示或隱藏FilterToolbar（過濾工具欄）見第節(jié)“Filter工具欄”Statusbar顯示或隱藏狀態(tài)欄，見第節(jié)狀態(tài)欄”PacketList

24、顯示或隱藏PacketListpane（包列表面板），見第節(jié)“PcaketList面板”PacketDetails顯示或隱藏Packetdetailspane（包詳情面板）.見第節(jié)“PacketDetails面板”PacketBytes顯示或隱藏packetBytespane（包字節(jié)面板），見第節(jié)“PacketByte面板”TimeDisplayFromatDateandTimeofDay:1970-01-0101:02:選擇這里告訴Wireshark將時間戳設置為絕對日期-時間格式（年月日，時分秒），見第節(jié)“時間顯示格式及參考時間”|_注意1斗的|這里的字段TimeofDay,Dateand

25、TimeofDay,SecondsSinceBeginningofCapture,SecondsSincePreviousCapturedPacket和SecondsSincePreviousDisplayedPacket幾個選項是互斥的，換句話說，一次同時有一個被選中。TimeDisplayFormatTimeofDay:01:02:將時間設置為絕對時間-日期格式（時分秒格式），見第節(jié)時間顯示格式及參考時TimeDisplayFormatSecondsSinceBeginningofCapture:將時間戳設置為秒格式，從捕捉開始計時，見第節(jié)“時間顯示格式及參考時間”TimeDisplayF

26、ormatSecondsSincePreviousCapturedPacket:將時間戳設置為秒格式，從上次捕捉開始計時，見第節(jié)“時間顯示格式及參考時間”TimeDisplayFormatSecondsSincePreviousDisplayedPacket:將時間戳設置為秒格式，從上次顯示的包開始計時，見第節(jié)“時間顯示格式及參考時間”TimeDisplayFormatTimeDisplayFormatAutomatic(FileFormatPrecision)根據(jù)指定的精度選擇數(shù)據(jù)包中時間戳的顯示方式，見第節(jié)“時間顯示格式及參考時間”Capture菜單的各項說明見Capture菜單的各項說明

27、見表“Capture菜單項”圖Capture菜單WiresharkGO菜單的內(nèi)容見WiresharkGO菜單的內(nèi)容見表“GO菜單項”圖.GO菜單菜單項快捷鍵描述|:x注意lijiWAutomatic,Seconds和.seconds是互斥的TimeDisplayFormatSeconds:0設置精度為1秒，見第節(jié)“時間顯示格式及參考時間”TimeDisplayFormatseconds:0設置精度為1秒，秒，秒，百萬分之一秒等等。見第節(jié)“時間顯示格式及參考時間”NameResolutionResolveName僅對當前選定包進行解析第節(jié)“名稱解析”NameResolutionEnablefor

28、MACLayer是否解析Mac地址NameResolutionEnableforNetworkLayer是否解析網(wǎng)絡層地址（ip地址），見第節(jié)“名稱解析”NameResolutionEnableforTransportLayer是否解析傳輸層地址第節(jié)“名稱解析”ColorizePacketList是否以彩色顯示包|玄注意|胡以彩色方式顯示包會降低捕捉再如包文件的速度AutoScroollinLiveCapture控制在實時捕捉時是否自動滾屏，如果選擇了該項，在有新數(shù)據(jù)進入時，面板會項上滾動。您始終能看到最后的數(shù)據(jù)。反之，您無法看到滿屏以后的數(shù)據(jù)，除非您手動滾屏ZoomInCtrl+增大字體Zo

29、omOutCtrl+-縮小字體NormalSizeCtrl+=恢復正常大小ResizAllColumnus恢復所有列寬|玄注意|胡除非數(shù)據(jù)包非常大，一般會立刻更改ExpendSubtrees展開子分支ExpandAll看開所有分支，該選項會展開您選擇的包的所有分支。CollapseAll收縮所有包的所有分支ColoringRulues.打開個對話框，讓您可以通過過濾表達來用不冋的顏色顯示包。這項功能對定位特定類型的包非常有用。見第節(jié)“包色彩顯示設置”ShowPacketinNewWindow在新窗口顯示當前包，（新窗口僅包含View,ByteView兩個面板）ReloadCtrl+R重新再如當

30、前捕捉文件.Go菜單n|test.pcapWireshark:+Frame11Q62bytesonwire,62tiFtEEcaptured)+EtherriEtII,Ern|test.pcapWireshark:+Frame11Q62bytesonwire,62tiFtEEcaptured)+EtherriEtII,Er匸：192.1石E.0.2(00:0b:5d:2D:匚d:02),Dst:gear_2d:75:9aCM：09:5b:2d:75+InternetProtocol,Src:132.1S8.0.2(192.L6S.O.2),Dst:19Z.16E.0.1()-Transnris

31、sion匚門trcilPrcrtci匚口1,5rcPort:3196(3196,DstPcirt:httpCEO),5eq:0,Len:0Sourceport:3196(3196)Destinatici門pcirt:httpEO)Sequencenumber:0(relativesequenceriumberjHeader1ength:28bytes+Flags:OxDOO2(列M)Windowsize:64240|vFile:Di/test.pcap14KB00:00:02P:120D:120H:0FileEdityiewGoCaptureAnalyzeSttisti匚sHelp劑越Back

32、Alt+Left(50A0Filter:GotoPBcket,.Ctrl+GTExpression.Clear嚼ApplyNo.TimeFirstPacketstionProtocolInfoA1D.OOOC1LastPa匚kjel:Jcas七ARPWhohas192.16S.0.2?百ratuitous；2D.299Jjy丄丄tiO.U丄丄M上i.es.o.2NBNSNamequeryNE5TAT*101.111945132.ltS.0.1DMS名tandardqueryAproxy匚cinf.ww004.111五192.16B.O.2192.：Les.o.1TCP3196httpL5YNJ

33、5eq=OLen=0M55d121.2272S2192.16S.O.1192.lS.O.2TCPhttp31965YN,ACKSeq=0曲=k=:YQ000095b2dF5沁00Ob弭cd02OSM45QQ.iL-Ii.i001030184840008006612ccOa80002COa8QQ2QQI。匚F匚QQ503c3695fs00QQQQQQ7Q|0030fafo27eO000020405b41010402a表.GO菜單項菜單項快捷鍵描述BackAlt+Left跳到最近瀏覽的包，類似于瀏覽器中的頁面歷史紀錄ForwardAlt+Right跳到下一個最近瀏覽的包，跟瀏覽器類似GotoPac

34、ketCtrl+G打開個對話框，輸入指定的包序號，然后跳轉到對應的包，見第節(jié)“到指定的包GotoCorrespondingPacket1跳轉到當前包的應答包，如果不存在，該選項為灰色PreviousPacketCtrl+UP移動到包列表中的前一個包，即使包列表面板不是當前焦點，也是可用的NextPacketCtrl+Down移動到包列表中的后一個包，同上FirstPacket移動到列表中的第一個包LastPacket移動到列表中的最后一個包Capture菜單Analyze菜單的各項見Analyze菜單的各項見表“analyze菜單項”圖.Analyze菜單0（5A4-喬ntespcap-Wir

35、esacCtrl-bK192.lS.O.2Frame11五2bytesonwire,62tiFtEEcaptured)+Flags:OxDOO2(列M)File:Di/test.pcap14KB00:00:02P:120D:120H:0Capture凰L0（5A4-喬ntespcap-WiresacCtrl-bK192.lS.O.2Frame11五2bytesonwire,62tiFtEEcaptured)+Flags:OxDOO2(列M)File:Di/test.pcap14KB00:00:02P:120D:120H:0Capture凰LInterFdCes.甌Options.SCStart

36、121.227282192.16S.O.1Expression.Clear嚼ApplyAnalyzeSttisti匚sHelpSourceport:3196(3196)Destinatici門pcirt:httpEO)Sequencenumber:0(relativesequenceriumberjHeader1ength:28bytes|VFilter:EtherriEtII,Er匸：192.1石E.0.2(00:0b:5d:2D:匸d:O2),Dst:gear_2d:75:9aCM：O9:5b:2d:75InternetProtocol,Src:132.1S8.O.2(192.L6S.O.

37、2),Dst:19Z.16E.0.1()Transnrission匚門trcilPrcrtci匚口1,5rcPort:3196(3196,DstPcirt:httpCEO),5eq:0,Len:0No.Time囊Restart童CaptureFilters.DestinationProtocolInfoa10.000000Broadcas七ARPWhohas192.16S.0.2?百ratuitous；20.299139192.ies.0.2NBNSNamequeryNE5TAT*101.111945132.ltS.0.1DMS名tandardqueryAproxy匚cinf.ww004.11

38、1.226156192.16B.0.2TCP3196httpL5YNJ5eq=0Len=0M55dhttp31965YN,ACKSeq=O曲=k=:Q000095b2dF5沁00Ob弭匚dgOSM45QQ001030184840008006612cCOa80002COa8QQ2QQI。匚F匚QQ503c3695fs00QQQQQQ7Q0030fafo27eO000020405b41010402Windowsize:64240表.Capture菜單項菜單項1快捷鍵說明Interface在彈出對話框選擇您要進行捕捉的網(wǎng)絡接口，見第節(jié)“捕捉接口對話框”O(jiān)ptions.Ctrl+K打開設置捕捉選項的對

39、話框,（見第節(jié)捕捉選項對話框”）并可以在此開始捕捉Start立即開始捕捉，設置都是參照最后一次設置。StopCtrl+E停止正在進行的捕捉，見第節(jié)“停止捕捉”Restart正在進行捕捉時，停止捕捉，并按冋樣的設置重新開始捕捉.僅在您認為有必要時CaptureFilters,打開對話框，編輯捕捉過濾設置，可以命名過濾器，保存為其他捕捉時使用見第節(jié)定義，保存過濾器”Analyze菜單|H4AaQOOO0010QQ2Q0030LJ|V.Filter:nTCP0Transnrission匚門trcilPrcrtci匚口1,5rcPort:3196(3196,DstPcirt:httpCEO),5eq:

40、0|testjjcap-WjfcshaijFileEdit/iewGoCaptureShiFt+Ctrl+RFollowTCPStreamNBN5101.111945132.ltS.0.1名tandardqueryAproxy匚cinf.ww004.http31965YN,ACKSeq=O曲=k=:192.lS.O.2+Frame11|H4AaQOOO0010QQ2Q0030LJ|V.Filter:nTCP0Transnrission匚門trcilPrcrtci匚口1,5rcPort:3196(3196,DstPcirt:httpCEO),5eq:0|testjjcap-WjfcshaijFi

41、leEdit/iewGoCaptureShiFt+Ctrl+RFollowTCPStreamNBN5101.111945132.ltS.0.1名tandardqueryAproxy匚cinf.ww004.http31965YN,ACKSeq=O曲=k=:192.lS.O.2+Frame11Q62bytesonwire,62tiFtEEcaptured)TransmissionControlProtocol(tcp),28bytesP:120D:120H:0Analyz已ApplyasFilter192-168-Q-1PrepareFilterFirewallACLRulesuEnabledPr

42、otocale.Decode蛙接SpecifiudDecodes.ExpertInfoExpertInfoCompositeSelectedNotSelected“andSelected，gr5ele匚Wei.aridnotSelected.ornotSelectedClear嗨Apply31%=httpSYN立叮=0L亡門=0冋洋彳00095b2d700Ob5d20cd02OSQO45QQ0030184840008006612ccOa80002cOa8iCKRaSourceport:3196(3196)Destinatici門pcirt:httpEO)Sequencenumber:0(rel

43、ativesequenceriumberjHeader1ength:28bytes121.2272S2192.16S.0.1111.226156192.16B.0.2Sttisti匚sHelpMDisplayFilters.+EtherriEtII,Er匸：192.1石E.0.2(00:0b:5d:2D:匸d:02),Dst:gear_2d:75:9aCM：09:5b:2d:75+InternetProtocol,Src:132.1S8.0.2(192.L6S.O.2),Dst:19Z.16E.0.1()+Flags:OxDOO2(列M)Windowsize:64240ias192.16S.0

44、.2?百ratuitousfC|LJeryNE5TAT*表.analyze菜單項廠菜單項快捷鍵說明DisplayFilters.打開過濾器對話框編輯過濾設置，可以命名過濾設置，保存為其他地方使用，見第節(jié)定義，保存過濾器”ApplyasFilter.更改當前過濾顯示并立即應用。根據(jù)選擇的項，當前顯示字段會被替換成選擇在Detail面板的協(xié)議字段PrepareaFilter.更改當前顯示過濾設置，當不會立即應用。同樣根據(jù)當前選擇項，過濾字符會被替換成Detail面板選擇的協(xié)議字段FirewallACLRules為多種不同的防火墻創(chuàng)建命令行ACL規(guī)則(訪問控制列表)，支持CiscoIOS,Linux

45、Netfilter(iptables),OpenBSDpfandWindowsFirewall(vianetsh).RulesforMACaddresses,IPv4addresses,TCPandUDPports,以及IPv4+混合端口以上假定規(guī)則用于外部接口EnableProtocols.Shift+Ctrl+R是否允許協(xié)議分析，見第節(jié)“EnableProtocols對話框”a看樣子他們有個關于這部分的章節(jié)Statistics菜單Wiresharkstatistics菜單項見圖Statistics菜單Help|V.Filter:No.”TimeSource0.000000192.16S.0

46、.20.299139SunrirriarProtocolHierarchyL|llCanyerstisns迥EndpointsIOGraphs0.299214192.16E.0.21.025659192.16E.0.21.044366192.16E.O.Z1.04352152.16S.0.21.050704192.16E.O.201.05505391.0S203S192.16S.O.2101.111945ConverstionListEndpointListServiceResponseTimeHelp|V.Filter:No.”TimeSource0.000000192.16S.0.20.2

47、99139SunrirriarProtocolHierarchyL|llCanyerstisns迥EndpointsIOGraphs0.299214192.16E.0.21.025659192.16E.0.21.044366192.16E.O.Z1.04352152.16S.0.21.050704192.16E.O.201.05505391.0S203S192.16S.O.2101.111945ConverstionListEndpointListServiceResponseTime111.226156192.16B.0.2ANSIQFax138Analysis.GSM0H.225.MTP3

48、121.2272S2192.16S.0.1+Frame11Q62bytesonwire,62+EthernetII,5rc:+InternetProtocol,Src:132.ISRTF5CTPft5IP.ftVoIPCallsFtWAP-W5P.Transnrission匚門trcilPrcrtci匚口1,Sourceport:3196(3196)Destinatici門pcirt:httpEO)Sequencenumber:0(relatHeader1ength:28bytes+Flags:OxDOO2(列M)Windowsize:64240QOOO0010QQ2Q0030_yoQ3-ob

49、6CIOooo8A-o?oino7i4Ju824b8LAil643or-23ooocl-oooQor-o7e匚7,P2cl-5Q.-oProtocolInfo4ARPWhohas192.16S.O.2?Gratui+ous*NBNSMam已iqueryNE5TAT*jardqueryAproxy匚cinf.ww004.JbBJblgK31965YN,ACKSeq=0出匚k=：COO:09:5b:2d:75活a)19Z.16E.0.1()BQQTP-DHUP.,Destinations.FlowGraph.HTTPIPaddress.I5UPMessages.MulticastStreams比P

50、ort:httpCEO),5eq:0,Len:0QNC-RPCProgramsPacketLength.PortType.TCPStreamGraphtestpcap-WiresharkFileEditViewGoCaptureAnalyzeTransmissionControlProtocol(tep),28bytesP:120D:120H:0菜單項1快捷鍵描述Summary顯示捕捉數(shù)據(jù)摘要，見第節(jié)摘要窗口”ProtocolHierarchy顯示協(xié)議統(tǒng)計分層信息，見第節(jié)“ProtocolHierarchy窗口”Conversations/顯示會話列表（兩個終端之間的通信），見EndPoint

51、s顯示端點列表（通信發(fā)起，結束地址），見第節(jié)Endpoints窗口”10Graphs顯示用戶指定圖表，（如包數(shù)量-時間表）見第節(jié)“IOGraphs窗口”ConversationList通過一個組合窗口，顯示會話列表，見第節(jié)協(xié)議指定“ConversationList/會話列表”窗口”EndpointList通過一個組合窗口顯示終端列表，見第節(jié)“特定協(xié)議的EndpointList窗口”ServiceResponseTime顯示個請求及其相應之間的間隔時間，見第節(jié)服務相應時間”ANSI見第節(jié)協(xié)議指定統(tǒng)計窗口”GSM見第節(jié)協(xié)議指定統(tǒng)計窗口”見第節(jié)協(xié)議指定統(tǒng)計窗口”ISUPMessage見第節(jié)協(xié)議指定統(tǒng)

52、計窗口”Types見第節(jié)協(xié)議指定統(tǒng)計窗口”MTP3見第節(jié)協(xié)議指定統(tǒng)計窗口”RTP見第節(jié)協(xié)議指定統(tǒng)計窗口”GSM見第節(jié)協(xié)議指定統(tǒng)計窗口”SIP見第節(jié)協(xié)議指定統(tǒng)計窗口”VOIPCalls.見第節(jié)協(xié)議指定統(tǒng)計窗口”WAP-WSP.見第節(jié)協(xié)議指定統(tǒng)計窗口”HTTPHTTP請求/相應統(tǒng)計，見第節(jié)協(xié)議指定統(tǒng)計窗口”ISUPMessages見第節(jié)協(xié)議指定統(tǒng)計窗口”O(jiān)NC-RPCPrograms見第節(jié)協(xié)議指定統(tǒng)計窗口”TCPStreamGraph見第節(jié)協(xié)議指定統(tǒng)計窗口”.Help菜單幫助菜單的內(nèi)容見表“圖.幫助菜單表.菜單項快捷鍵描述ContentsF1打開個基本的幫助系統(tǒng)SupportedProtocols

53、打開個對話框顯示支持的協(xié)議或工具ManaulPages.打開瀏覽器，顯示安裝在本地的手冊WiresharkOnline按照選擇顯示在線資源AboutWireshark彈出信息窗口顯示W(wǎng)ireshark的一些相關信息，如插件，目錄等。0注意有些版本可能不支持調(diào)用WEB瀏覽器。如果是這樣，可能會隱藏此菜單。0注意如果調(diào)用瀏覽器錯誤，檢查Wireshark首選項關于瀏覽器設置。.Main工具欄主工具欄提供了快速訪問常見項目的功能,它是不可以自定義的，但如果您覺得屏幕屏幕過于狹小，需要更多空間來顯示數(shù)據(jù)。您可以使用瀏覽菜單隱藏它。在主工具欄里面的項目只有在可以使用的時候才能被選擇，如果不是可用則顯示為

54、灰色，不可選（例如：在未載入文件時，保存文件按鈕就不可用.）表.主工具欄選項工具欄圖標工具欄項對應菜單項描述1接口Capture/Interfaces.打開接口列表對話框，見第節(jié)“開始捕捉”n選項。Capture/Options打開捕捉選項對話框，見第節(jié)“捕捉接口對話框”nStartCapture/Start使用最后一次的捕捉設置立即開始捕捉STOPCapture/Stop停止當前的捕捉，見第節(jié)“開始捕捉”RestarCaputer/Rstart停止當前捕捉，并立即重新開始Open.File/Open啟動打開文件對話框，用于載入文件，詳見第節(jié)打開捕捉文件1對話框”SaveAs.File/Sav

55、eAs.保存當前文件為任意其他的文件，它將會彈出一個對話框，（見第節(jié)“saveCaptureFileAs/保存文件為對話框”|注意1J如果當前文件是臨時未保存文件，圖標將會顯示為HXCloseFile/Close關閉當前文件。如果未保存，將會提示是否保存ReloadView/Reload重新載入當前文件PrintFile/Print打印捕捉文件的全部或部分，將會彈出個打印對話框（見第節(jié)打印包”）Findpacket.Edit/FindPacket.打開個對話框，查找包。見第節(jié)查找包”GoBackGo/GoBack返回歷史記錄中的上一個GoForwardGo/GoForward跳轉到歷史記錄中的

56、下一個包GotoPacket.Go/GotoPacket.彈出一個設置跳轉到指定的包的對話框GoToFirstPacketGo/FirstPacket跳轉到第一包GoToLastPacketGo/LastPacket跳轉到最后一個包FhColorizeView/Coloreze切換是否以彩色方式顯示包列表AutoScrollinLiveView/AutoScroolinLiveCapture開啟/關閉實時捕捉時自動滾動包列表ZoominView/ZoomIn增大字體zoomoutView/ZoomOut縮小字體鉞NormalSizeView/NormalSize設置縮放大小為100%hrvJR

57、esizeColumnsView/ResizeColumns重置列寬，使內(nèi)容適合列寬（使包列表內(nèi)的文字可以完全顯示）IoCaptureFilters.Capture/CaptureFilters.打開對話框，用于創(chuàng)建、編輯過濾器。詳見第節(jié)“定義，保存過濾器”IPVDisplayFiltersAnalyze/Filters.打開對話框，用于創(chuàng)建、編輯過濾器。詳見第節(jié)“定義，保存過濾器”工具欄圖標工具欄項對應菜單項描述ColoringRules.View/ColoringRules.定義以色彩方式顯示數(shù)據(jù)包的規(guī)則詳見第節(jié)“包色彩顯示設置”PreferencesEdit/Preferences打開首

58、選項對話框，詳見第節(jié)首選項”HelpHelp/Contents打開幫助對話框.Filter工具欄過濾工具欄用于編輯或顯示過濾器，更多詳情見第節(jié)“瀏覽時過濾包”圖.過濾工具欄表.工具欄圖標工具欄項說明M過濾打開構建過濾器對話框，見第節(jié)查找包”間過濾輸入框在此區(qū)域輸入或修改顯示的過濾字符，見第節(jié)建立顯示過濾表達式”，在輸入過程中會進行語法檢杳。如果您輸入的格式不正確，或者未輸入完成，則背景顯示為紅色。直到您輸入合法的表達式，背景會變?yōu)榫G色。你可以點擊下拉列表選擇您先前鍵入的過濾字符。列表會一直保留，即使您重新啟動程序。屆芻做完修改之后，記得點擊右邊的Apply（應用）按鈕，或者回車，以使過濾生效。

59、|玄注意輸入框的內(nèi)容同時也是當前過濾器的內(nèi)容（當前過濾器的內(nèi)容會反映在輸入框）表達標簽為表達式的按鈕打開個對話框用以從協(xié)議字段列表中編輯過濾器，詳見第節(jié)“FilterExpression/過濾表達式”對話框”卜清除重置當前過濾器，清除輸入框應用應用當前輸入框的表達式為過濾器進行過濾|玄注意詞在大文件里應用顯示過濾可能要很長時間a我看到的Filter按鈕貌似沒有圖標，可能只出現(xiàn)在版中.PcaketList面板Packetlist/包列表面板顯示所有當前捕捉的包圖.Packetlist/包列表面板No.No.-TimeSour匚亡DestinationProtocolInfo10Q.QZ39071

60、32.L8182L8DNSstandardqueryAproxycmriT.顧004110.11斗211192LGS021921680丄TCP319ShttpSYNseq=o負匚k=0wii120.00112G192.1S.0.1192.16S.O.2TCPhttp319G5YN,ACK己口=。Ack：“0.0000斗？122.0.2TCPHlttpACK5eq=l赳匚k=lVd1140.00012192.LG802192168D丄HTTPsubscribe/Lipnp/Eervl匚e/Layer3foi15QQQ1S5S1沱0.1TCPhttpACKseq=l只匚20.299139192.1