Wireshark中文簡明使用教程

/第

3

章

用戶界面3.1.

須知現(xiàn)在您已經(jīng)安裝好了Wireshark,幾乎可以馬上捕捉您的一個包。緊接著的這一節(jié)我們將會介紹：Wireshark的用戶界面如何使用如何捕捉包如何查看包如何過濾包……以與其他的一些工作。3.2.

啟動Wireshark你可以使用Shell命令行或者資源管理器啟動Wireshark.提示開始Wireshark時您可以指定適當?shù)膮?shù)。參見\o"9.2.

從命令行啟動Wireshark"第

9.2

節(jié)“從命令行啟動Wireshark”注意在后面的章節(jié)中，將會出現(xiàn)大量的截圖，因為Wireshark運行在多個平臺，并且支持多個GUIToolkit(GTK1.x/2x),您的屏幕上顯示的界面可能與截圖不盡吻合。但在功能上不會有實質(zhì)性區(qū)別。盡管有這些區(qū)別，也不會導致理解上的困難。3.3.

主窗口先來看看\o"圖

3.1.

主窗口界面"圖

3.1“主窗口界面”，大多數(shù)打開捕捉包以后的界面都是這樣子（如何捕捉/打開包文件隨后提到）。圖

3.1.

主窗口界面和大多數(shù)圖形界面程序一樣，Wireshark主窗口由如下部分組成：菜單（見\o"3.4.

主菜單"第

3.4

節(jié)“主菜單”）用于開始操作。主工具欄(見\o"3.13.

"Main"工具欄"第

3.13

節(jié)“"Main"工具欄”)提供快速訪問菜單中經(jīng)常用到的項目的功能。Fitertoolbar/過濾工具欄(見\o"3.14.

"Filter"工具欄"第

3.14

節(jié)“"Filter"工具欄”)提供處理當前顯示過濾得方法。(見6.3:”瀏覽時進行過濾”)PacketList面板（見\o"3.15.

"PcaketList"面板"第

3.15

節(jié)“"PcaketList"面板”）顯示打開文件的每個包的摘要。點擊面板中的單獨條目，包的其他情況將會顯示在另外兩個面板中。Packetdetail面板（見\o"3.16.

"PacketDetails"面板"第

3.16

節(jié)“"PacketDetails"面板”）顯示您在Packetlist面板中選擇的包德更多詳情。Packetbytes面板（見\o"3.17.

"PacketByte"面板"第

3.17

節(jié)“"PacketByte"面板”）顯示您在Packetlist面板選擇的包的數(shù)據(jù)，以與在Packetdetails面板高亮顯示的字段。狀態(tài)欄（見\o"3.18.

狀態(tài)欄"第

3.18

節(jié)“狀態(tài)欄”）顯示當前程序狀態(tài)以與捕捉數(shù)據(jù)的更多詳情。注意主界面的三個面版以與各組成部分可以自定義組織方式。見\o"9.5.

首選項"第

9.5

節(jié)“首選項”3.3.1.

主窗口概述Packetlist和Detail面版控制可以通過快捷鍵進行。\o"表

3.1.

導航快捷鍵"表

3.1“導航快捷鍵”顯示了相關的快捷鍵列表。\o"表

3.5.

"GO"菜單項"表

3.5“"GO"菜單項”有關于快捷鍵的更多介紹表

3.1.

導航快捷鍵快捷鍵描述Tab,Shift+Tab在兩個項目間移動，例如從一個包列表移動到下一個Down移動到下一個包或者下一個詳情Up移動到上一個包或者上一個詳情Ctrl-Down,F8移動到下一個包，即使焦點不在Packetlist面版Ctrl-UP,F7移動到前一個報，即使焦點不在Packetlist面版Left在PactectDetail面版，關閉被選擇的詳情樹狀分支。如果以關閉，則返回到父分支。Right在PacketDetail面版，打開被選擇的樹狀分支.BackspacePacketDetail面版，返回到被選擇的節(jié)點的父節(jié)點Return,EnterPacketDetail面版，固定被選擇樹項目。另外，在主窗口鍵入任何字符都會填充到filter里面。3.4.

主菜單Wireshark主菜單位于Wireshark窗口的最上方。\o"圖

3.2.

主菜單"圖

3.2“主菜單”提供了菜單的基本界面。圖

3.2.

主菜單主菜單包括以下幾個項目:File包括打開、合并捕捉文件，save/保存,Print/打印,Export/導出捕捉文件的全部或部分。以與退出Wireshark項.見\o"3.5.

"File"菜單"第

3.5

節(jié)“"File"菜單”Edit包括如下項目：查找包，時間參考，標記一個多個包，設置預設參數(shù)。（剪切，拷貝，粘貼不能立即執(zhí)行。）見\o"3.6.

"Edit"菜單"第

3.6

節(jié)“"Edit"菜單”View控制捕捉數(shù)據(jù)的顯示方式，包括顏色，字體縮放，將包顯示在分離的窗口，展開或收縮詳情面版的地樹狀節(jié)點，……見\o"3.7.

"View"菜單"第

3.7

節(jié)“"View"菜單”GO包含到指定包的功能。見\o"3.8.

"Go"菜單"第

3.8

節(jié)“"Go"菜單”Capture允許您開始或停止捕捉、編輯過濾器。見\o"3.9.

"Capture"菜單"第

3.9

節(jié)“"Capture"菜單”Analyze包含處理顯示過濾，允許或禁止分析協(xié)議，配置用戶指定解碼和追蹤TCP流等功能。見\o"3.10.

"Analyze"菜單"第

3.10

節(jié)“"Analyze"菜單”Statistics包括的菜單項用戶顯示多個統(tǒng)計窗口，包括關于捕捉包的摘要，協(xié)議層次統(tǒng)計等等。見\o"3.11.

"Statistics"菜單"第

3.11

節(jié)“"Statistics"菜單”Help包含一些輔助用戶的參考內(nèi)容。如訪問一些基本的幫助文件，支持的協(xié)議列表，用戶手冊。在線訪問一些網(wǎng)站，“關于”等等。見\o"3.12.

"Help"菜單"第

3.12

節(jié)“"Help"菜單”本章鏈接介紹菜單的一般情況，更詳細的介紹會出現(xiàn)在后續(xù)章節(jié)。提示你可以直接點擊訪問菜單項，也可以使用熱鍵，熱鍵顯示在菜單文字描述部分。例如：您可以使用CTR+K打開捕捉對話框。3.5.

"File"菜單WireSharkFile菜單包含的項目如表\o"表

3.2.

File菜單介紹"表

3.2“File菜單介紹”所示圖

3.3.

File菜單表

3.2.

File菜單介紹菜單項快捷鍵描述Open...Ctr+O顯示打開文件對話框，讓您載入捕捉文件用以瀏覽。見\o"5.2.1.

打開捕捉文件對話框"第

5.2.1

節(jié)“打開捕捉文件對話框”O(jiān)penRecent

彈出一個子菜單顯示最近打開過的文件供選擇。Merg

顯示合并捕捉文件的對話框。讓您選擇一個文件和當前打開的文件合并。見\o"5.4.

合并捕捉文件"第

5.4

節(jié)“合并捕捉文件”CloseCtrl+W關閉當前捕捉文件，如果您未保存，系統(tǒng)將提示您是否保存（如果您預設了禁止提示保存，將不會提示）SaveCrl+S保存當前捕捉文件，如果您沒有設置默認的保存文件名，Wireshark出現(xiàn)提示您保存文件的對話框。詳情\o"5.3.1.

"saveCapture保存文件為"對話框"第

5.3.1

節(jié)“"saveCapture保存文件為"對話框”注意如果您已經(jīng)保存文件，該選項會是灰色不可選的。注意您不能保存動態(tài)捕捉的文件。您必須結束捕捉以后才能進行保存SaveAsShift+Ctrl+S讓您將當前文件保存為另外一個文件面，將會出現(xiàn)一個另存為的對話框(參見\o"5.3.1.

"saveCapture保存文件為"對話框"第

5.3.1

節(jié)“"saveCapture保存文件為"對話框”)>ListFiles

允許您顯示文件集合的列表。將會彈出一個對話框顯示已打開文件的列表,參見\o"5.5.

文件集合"第

5.5

節(jié)“文件集合”>NextFile

如果當前載入文件是文件集合的一部分，將會跳轉到下一個文件。如果不是，將會跳轉到最后一個文件。這個文件選項將會是灰色。>PreviousFiles

如果當前文件是文件集合的一部分，將會調(diào)到它所在位置的前一個文件。如果不是則跳到文件集合的第一個文件，同時變成灰色。Export>as“PlainText”File…

這個菜單允許您將捕捉文件中所有的或者部分的包導出為plainASCIItext格式。它將會彈出一個Wireshark導出對話框,見\o"5.6.1.

"ExportasPlainTextFile"對話框"第

5.6.1

節(jié)“"ExportasPlainTextFile"對話框”Export>as"PostScript"Files

將捕捉文件的全部或部分導出為PostScrit文件。將會出現(xiàn)導出文件對話框。參見\o"5.6.2.

"ExportasPostScriptFile"對話框"第

5.6.2

節(jié)“"ExportasPostScriptFile"對話框”Export>as"CVS"(CommaSeparatedValuesPacketSummary)File...

導出文件全部或部分摘要為.cvs格式（可用在電子表格中）。將會彈出導出對話框,見\o"5.6.3.

"ExportasCSV(CommaSeparatedValues)File"對話框"第

5.6.3

節(jié)“"ExportasCSV(CommaSeparatedValues)File"對話框”。Export>as“PSML”File…

導出文件的全部或部分為PSML格式（包摘要標記語言）XML文件。將會彈出導出文件對話框。見\o"5.6.4.

"ExportasPSMLFile"對話框"第

5.6.4

節(jié)“"ExportasPSMLFile"對話框”Exportas"PDML"File...

導出文件的全部或部分為PDML(包摘要標記語言)格式的XML文件。將會彈出一個導出文件對話框,見\o"5.6.5.

"ExportasPDMLFile"對話框"第

5.6.5

節(jié)“"ExportasPDMLFile"對話框”Export>SelectedPacketBytes…

導出當前在Packetbyte面版選擇的字節(jié)為二進制文件。將會彈出一個導出對話框。見\o"5.6.6.

"Exportselectedpacketbytes"對話框"第

5.6.6

節(jié)“"Exportselectedpacketbytes"對話框”PrintCtr+P打印捕捉包的全部或部分，將會彈出打印對話框。見\o"5.7.

打印包"第

5.7

節(jié)“打印包”QuitCtrl+Q退出Wireshark,如果未保存文件，Wireshark會提示是否保存。3.6.

"Edit"菜單Wireshark的"Edit"菜單包含的項目見\o"表

3.3.

Edit菜單項"表

3.3“Edit菜單項”圖

3.4.

"Edit"菜單表

3.3.

Edit菜單項菜單項快捷鍵描述Copy>AsFilterShift+Ctrl+C使用詳情面版選擇的數(shù)據(jù)作為顯示過濾。顯示過濾將會拷貝到剪貼板。FindPacket...Ctr+F打開一個對話框用來通過限制來查找包，見???FindNextCtrl+N在使用Findpacket以后，使用該菜單會查找匹配規(guī)則的下一個包FindPreviousCtr+B查找匹配規(guī)則的前一個包。MarkPacket(toggle)Ctrl+M標記當前選擇的包。見\o"6.9.

標記包"第

6.9

節(jié)“標記包”FindNextMarkShift+Ctrl+N查找下一個被標記的包FindPreviousMarkCtrl+Shift+B查找前一個被標記的包MarkALLPackets

標記所有包UnmarkAllPacket

取消所有標記SetTimeReference(toggle)Ctrl+T以當前包時間作為參考,見\o"6.10.1.

包參考時間"第

6.10.1

節(jié)“包參考時間”FindNextReference

找到下一個時間參考包FindPreviousRefrence...

找到前一個時間參考包Preferences...Shift+Ctrl+P打開首選項對話框，個性化設置Wireshark的各項參數(shù)，設置后的參數(shù)將會在每次打開時發(fā)揮作用。詳見\o"9.5.

首選項"第

9.5

節(jié)“首選項”3.7.

"View"菜單\o"表

3.4.

"View"菜單項"表

3.4“"View"菜單項”顯示了WiresharView菜單的選項圖

3.5.

"View"菜單表

3.4.

"View"菜單項菜單項快捷鍵描述MainToolbar

顯示隱藏Maintoolbar(主工具欄),見\o"3.13.

"Main"工具欄"第

3.13

節(jié)“"Main"工具欄”FilterToolbar

顯示或隱藏FilterToolbar(過濾工具欄)見\o"3.14.

"Filter"工具欄"第

3.14

節(jié)“"Filter"工具欄”Statusbar

顯示或隱藏狀態(tài)欄,見\o"3.18.

狀態(tài)欄"第

3.18

節(jié)“狀態(tài)欄”PacketList

顯示或隱藏PacketListpane(包列表面板),見\o"3.15.

"PcaketList"面板"第

3.15

節(jié)“"PcaketList"面板”PacketDetails

顯示或隱藏Packetdetailspane(包詳情面板).見\o"3.16.

"PacketDetails"面板"第

3.16

節(jié)“"PacketDetails"面板”PacketBytes

顯示或隱藏packetBytespane(包字節(jié)面板)，見\o"3.17.

"PacketByte"面板"第

3.17

節(jié)“"PacketByte"面板”TimeDisplayFromat>DateandTimeofDay:1970-01-0101:02:03.123456

選擇這里告訴Wireshark將時間戳設置為絕對日期-時間格式(年月日，時分秒)，見\o"6.10.

時間顯示格式與參考時間"第

6.10

節(jié)“時間顯示格式與參考時間”注意這里的字段"TimeofDay","DateandTimeofDay","SecondsSinceBeginningofCapture","SecondsSincePreviousCapturedPacket"和"SecondsSincePreviousDisplayedPacket"幾個選項是互斥的，換句話說，一次同時有一個被選中。TimeDisplayFormat>TimeofDay:01:02:03.123456

將時間設置為絕對時間-日期格式(時分秒格式),見\o"6.10.

時間顯示格式與參考時間"第

6.10

節(jié)“時間顯示格式與參考時間”TimeDisplayFormat>SecondsSinceBeginningofCapture:123.123456

將時間戳設置為秒格式，從捕捉開始計時，見\o"6.10.

時間顯示格式與參考時間"第

6.10

節(jié)“時間顯示格式與參考時間”TimeDisplayFormat>SecondsSincePreviousCapturedPacket:1.123456

將時間戳設置為秒格式，從上次捕捉開始計時，見\o"6.10.

時間顯示格式與參考時間"第

6.10

節(jié)“時間顯示格式與參考時間”TimeDisplayFormat>SecondsSincePreviousDisplayedPacket:1.123456

將時間戳設置為秒格式，從上次顯示的包開始計時,見\o"6.10.

時間顯示格式與參考時間"第

6.10

節(jié)“時間顯示格式與參考時間”TimeDisplayFormat>

TimeDisplayFormat>Automatic(Precision)

根據(jù)指定的精度選擇數(shù)據(jù)包中時間戳的顯示方式，見\o"6.10.

時間顯示格式與參考時間"第

6.10

節(jié)“時間顯示格式與參考時間”注意"Automatic","Seconds"和"...seconds"是互斥的TimeDisplayFormat>Seconds:0

設置精度為1秒，見\o"6.10.

時間顯示格式與參考時間"第

6.10

節(jié)“時間顯示格式與參考時間”TimeDisplayFormat>...seconds:0

設置精度為1秒，0.1秒，0.01秒，百萬分之一秒等等。見\o"6.10.

時間顯示格式與參考時間"第

6.10

節(jié)“時間顯示格式與參考時間”NameResolution>ResolveName

僅對當前選定包進行解析\o"7.6.

名稱解析"第

7.6

節(jié)“名稱解析”NameResolution>EnableforMACLayer

是否解析Mac地址NameResolution>EnableforNetworkLayer

是否解析網(wǎng)絡層地址(ip地址),見\o"7.6.

名稱解析"第

7.6

節(jié)“名稱解析”NameResolution>EnableforTransportLayer

是否解析傳輸層地址\o"7.6.

名稱解析"第

7.6

節(jié)“名稱解析”

ColorizePacketList

是否以彩色顯示包注意以彩色方式顯示包會降低捕捉再如包文件的速度AutoScroollinLiveCapture

控制在實時捕捉時是否自動滾屏，如果選擇了該項，在有新數(shù)據(jù)進入時，面板會項上滾動。您始終能看到最后的數(shù)據(jù)。反之，您無法看到滿屏以后的數(shù)據(jù)，除非您手動滾屏ZoomInCtrl++增大字體ZoomOutCtrl+-縮小字體NormalSizeCtrl+=恢復正常大小ResizAllColumnus

恢復所有列寬注意除非數(shù)據(jù)包非常大，一般會立刻更改ExpendSubtrees

展開子分支ExpandAll

看開所有分支，該選項會展開您選擇的包的所有分支。CollapseAll

收縮所有包的所有分支ColoringRulues...

打開一個對話框，讓您可以通過過濾表達來用不同的顏色顯示包。這項功能對定位特定類型的包非常有用。見\o"9.3.

包色彩顯示設置"第

9.3

節(jié)“包色彩顯示設置”ShowPacketinNewWindow

在新窗口顯示當前包，(新窗口僅包含View,ByteView兩個面板)ReloadCtrl+R重新再如當前捕捉文件3.8.

"Go"菜單Wireshark"GO"菜單的內(nèi)容見\o"表

3.5.

"GO"菜單項"表

3.5“"GO"菜單項”圖

3.6.

"GO"菜單表

3.5.

"GO"菜單項菜單項快捷鍵描述BackAlt+Left跳到最近瀏覽的包，類似于瀏覽器中的頁面歷史紀錄ForWardAlt+Right跳到下一個最近瀏覽的包，跟瀏覽器類似GotoPacketCtrl+G打開一個對話框，輸入指定的包序號，然后跳轉到對應的包，見\o"6.8.

到指定的包"第

6.8

節(jié)“到指定的包”GotoCorrespondingPacket

跳轉到當前包的應答包，如果不存在，該選項為灰色PreviousPacketCtrl+UP移動到包列表中的前一個包，即使包列表面板不是當前焦點，也是可用的NextPacketCtrl+Down移動到包列表中的后一個包，同上FirstPacket

移動到列表中的第一個包LastPacket

移動到列表中的最后一個包3.9.

"Capture"菜單"Capture"菜單的各項說明見\o"表

3.6.

"Capture"菜單項"表

3.6“"Capture"菜單項”圖

3.7.

"Capture"菜單表

3.6.

"Capture"菜單項菜單項快捷鍵說明Interface...

在彈出對話框選擇您要進行捕捉的網(wǎng)絡接口,見\o"4.4.

捕捉接口對話框"第

4.4

節(jié)“捕捉接口對話框”O(jiān)ptions...Ctrl+K打開設置捕捉選項的對話框,(見\o"4.5.

捕捉選項對話框"第

4.5

節(jié)“捕捉選項對話框”)并可以在此開始捕捉Start

立即開始捕捉，設置都是參照最后一次設置。StopCtrl+E停止正在進行的捕捉，見\o"4.9.1.

停止捕捉"第

4.9.1

節(jié)“停止捕捉”Restart

正在進行捕捉時，停止捕捉，并按同樣的設置重新開始捕捉.僅在您認為有必要時CaptureFilters...

打開對話框，編輯捕捉過濾設置，可以命名過濾器，保存為其他捕捉時使用見\o"6.6.

定義，保存過濾器"第

6.6

節(jié)“定義，保存過濾器”3.10.

"Analyze"菜單"Analyze"菜單的各項見\o"表

3.7.

"analyze"菜單項"表

3.7“"analyze"菜單項”圖

3.8.

"Analyze"菜單表

3.7.

"analyze"菜單項菜單項快捷鍵說明DisplayFilters...

打開過濾器對話框編輯過濾設置，可以命名過濾設置，保存為其他地方使用，見\o"6.6.

定義，保存過濾器"第

6.6

節(jié)“定義，保存過濾器”ApplyasFilter>...

更改當前過濾顯示并立即應用。根據(jù)選擇的項，當前顯示字段會被替換成選擇在Detail面板的協(xié)議字段PrepareaFilter>...

更改當前顯示過濾設置，當不會立即應用。同樣根據(jù)當前選擇項，過濾字符會被替換成Detail面板選擇的協(xié)議字段FirewallACLRules

為多種不同的防火墻創(chuàng)建命令行ACL規(guī)則(訪問控制列表),支持CiscoIOS,LinuxNetfilter(iptables),OpenBSDpfandWindowsFirewall(vianetsh).RulesforMACaddresses,IPv4addresses,TCPandUDPports,以與IPv4+混合端口以上假定規(guī)則用于外部接口EnableProtocols...Shift+Ctrl+R是否允許協(xié)議分析，見\o"9.4.1.

"EnableProtocols"對話框"第

9.4.1

節(jié)“"EnableProtocols"對話框”[表

3.8“”圖

3.9.

"Statistics"菜單表

3.8.

菜單項快捷鍵描述Summary

顯示捕捉數(shù)據(jù)摘要,見\o"8.2.

摘要窗口"第

8.2

節(jié)“摘要窗口”ProtocolHierarchy

顯示協(xié)議統(tǒng)計分層信息，見\o"8.3.

"ProtocolHierarchy"窗口"第

8.3

節(jié)“"ProtocolHierarchy"窗口”Conversations/

顯示會話列表(兩個終端之間的通信),見???EndPoints

顯示端點列表(通信發(fā)起，結束地址),見\o"8.4.2.

"Endpoints"窗口"第

8.4.2

節(jié)“"Endpoints"窗口”IOGraphs

顯示用戶指定圖表，(如包數(shù)量-時間表)見\o"8.6.

"IOGraphs"窗口"第

8.6

節(jié)“"IOGraphs"窗口”ConversationList

通過一個組合窗口，顯示會話列表,見\o"8.5.3.

協(xié)議指定“ConversationList/會話列表”窗口"第

8.5.3

節(jié)“協(xié)議指定“ConversationList/會話列表”窗口”EndpointList

通過一個組合窗口顯示終端列表，見\o"8.4.3.

特定協(xié)議的"EndpointList"窗口"第

8.4.3

節(jié)“特定協(xié)議的"EndpointList"窗口”ServiceResponseTime

顯示一個請求與其相應之間的間隔時間，見\o"8.7.

服務相應時間"第

8.7

節(jié)“服務相應時間”ANSI

見\o"8.8.

協(xié)議指定統(tǒng)計窗口"第

8.8

節(jié)“協(xié)議指定統(tǒng)計窗口”GSM

見\o"8.8.

協(xié)議指定統(tǒng)計窗口"第

8.8

節(jié)“協(xié)議指定統(tǒng)計窗口”H.225...

見\o"8.8.

協(xié)議指定統(tǒng)計窗口"第

8.8

節(jié)“協(xié)議指定統(tǒng)計窗口”ISUPMessage

見\o"8.8.

協(xié)議指定統(tǒng)計窗口"第

8.8

節(jié)“協(xié)議指定統(tǒng)計窗口”Types

見\o"8.8.

協(xié)議指定統(tǒng)計窗口"第

8.8

節(jié)“協(xié)議指定統(tǒng)計窗口”MTP3

見\o"8.8.

協(xié)議指定統(tǒng)計窗口"第

8.8

節(jié)“協(xié)議指定統(tǒng)計窗口”RTP

見\o"8.8.

協(xié)議指定統(tǒng)計窗口"第

8.8

節(jié)“協(xié)議指定統(tǒng)計窗口”GSM

見\o"8.8.

協(xié)議指定統(tǒng)計窗口"第

8.8

節(jié)“協(xié)議指定統(tǒng)計窗口”SIP

見\o"8.8.

協(xié)議指定統(tǒng)計窗口"第

8.8

節(jié)“協(xié)議指定統(tǒng)計窗口”VOIPCalls...

見\o"8.8.

協(xié)議指定統(tǒng)計窗口"第

8.8

節(jié)“協(xié)議指定統(tǒng)計窗口”...

見\o"8.8.

協(xié)議指定統(tǒng)計窗口"第

8.8

節(jié)“協(xié)議指定統(tǒng)計窗口”HTTP

HTTP請求/相應統(tǒng)計，見\o"8.8.

協(xié)議指定統(tǒng)計窗口"第

8.8

節(jié)“協(xié)議指定統(tǒng)計窗口”ISUPMessages

見\o"8.8.

協(xié)議指定統(tǒng)計窗口"第

8.8

節(jié)“協(xié)議指定統(tǒng)計窗口”O(jiān)NC-RPCPrograms

見\o"8.8.

協(xié)議指定統(tǒng)計窗口"第

8.8

節(jié)“協(xié)議指定統(tǒng)計窗口”TCPStreamGraph

見\o"8.8.

協(xié)議指定統(tǒng)計窗口"第

8.8

節(jié)“協(xié)議指定統(tǒng)計窗口”3.12.

"Help"菜單幫助菜單的內(nèi)容見表

3.9“”圖

3.10.

幫助菜單表

3.9.

菜單項快捷鍵描述ContentsF1打開一個基本的幫助系統(tǒng)SupportedProtocols

打開一個對話框顯示支持的協(xié)議或工具ManaulPages>...

打開瀏覽器，顯示安裝在本地的手冊WiresharkOnline>

按照選擇顯示在線資源AboutWireshark

彈出信息窗口顯示W(wǎng)ireshark的一些相關信息，如插件，目錄等。注意有些版本可能不支持調(diào)用WEB瀏覽器。如果是這樣，可能會隱藏此菜單。注意如果調(diào)用瀏覽器錯誤，檢查Wireshark首選項關于瀏覽器設置。3.13.

"Main"工具欄主工具欄提供了快速訪問常見項目的功能,它是不可以自定義的，但如果您覺得屏幕屏幕過于狹小，需要更多空間來顯示數(shù)據(jù)。您可以使用瀏覽菜單隱藏它。在主工具欄里面的項目只有在可以使用的時候才能被選擇，如果不是可用則顯示為灰色，不可選(例如：在未載入文件時，保存文件按鈕就不可用.)圖

3.11.

表

3.10.

主工具欄選項工具欄圖標工具欄項對應菜單項描述接口Capture/Interfaces...打開接口列表對話框,見\o"4.3.

開始捕捉"第

4.3

節(jié)“開始捕捉”選項。。。Capture/Options打開捕捉選項對話框，見\o"4.4.

捕捉接口對話框"第

4.4

節(jié)“捕捉接口對話框”StartCapture/Start使用最后一次的捕捉設置立即開始捕捉STOPCapture/Stop停止當前的捕捉，見\o"4.3.

開始捕捉"第

4.3

節(jié)“開始捕捉”RestarCaputer/Rstart停止當前捕捉，并立即重新開始Open...啟動打開文件對話框，用于載入文件，詳見\o"5.2.1.

打開捕捉文件對話框"第

5.2.1

節(jié)“打開捕捉文件對話框”SaveAs...As...保存當前文件為任意其他的文件，它將會彈出一個對話框，(見\o"5.3.1.

"saveCapture保存文件為"對話框"第

5.3.1

節(jié)“"saveCapture保存文件為"對話框”注意如果當前文件是臨時未保存文件，圖標將會顯示為Close關閉當前文件。如果未保存，將會提示是否保存ReloadView/Reload重新載入當前文件Print打印捕捉文件的全部或部分，將會彈出一個打印對話框(見\o"5.7.

打印包"第

5.7

節(jié)“打印包”)

Findpacket...Edit/FindPacket...打開一個對話框，查找包。見\o"6.7.

查找包"第

6.7

節(jié)“查找包”GoBackGo/GoBack返回歷史記錄中的上一個GoForwardGo/GoForward跳轉到歷史記錄中的下一個包GotoPacket...Go/GotoPacket...彈出一個設置跳轉到指定的包的對話框GoToFirstPacketGo/FirstPacket跳轉到第一包GoToLastPacketGo/LastPacket跳轉到最后一個包ColorizeView/Coloreze切換是否以彩色方式顯示包列表AutoScrollinLiveView/AutoScroolinLiveCapture開啟/關閉實時捕捉時自動滾動包列表ZoominView/ZoomIn增大字體zoomoutView/ZoomOut縮小字體NormalSizeView/NormalSize設置縮放大小為100%ResizeColumnsView/ResizeColumns重置列寬，使內(nèi)容適合列寬(使包列表內(nèi)的文字可以完全顯示)CaptureFilters..Capture/CaptureFilters...打開對話框，用于創(chuàng)建、編輯過濾器。詳見\o"6.6.

定義，保存過濾器"第

6.6

節(jié)“定義，保存過濾器”DisplayFilters..Analyze/Filters...打開對話框，用于創(chuàng)建、編輯過濾器。詳見\o"6.6.

定義，保存過濾器"第

6.6

節(jié)“定義，保存過濾器”ColoringRules...View/ColoringRules...定義以色彩方式顯示數(shù)據(jù)包的規(guī)則詳見\o"9.3.

包色彩顯示設置"第

9.3

節(jié)“包色彩顯示設置”Preferences...Edit/Preferences打開首選項對話框，詳見\o"9.5.

首選項"第

9.5

節(jié)“首選項”HelpHelp/Contents打開幫助對話框3.14.

"Filter"工具欄過濾工具欄用于編輯或顯示過濾器，更多詳情見\o"6.3.

瀏覽時過濾包"第

6.3

節(jié)“瀏覽時過濾包”圖

3.12.

過濾工具欄表

3.11.

工具欄圖標工具欄項說明

過濾打開構建過濾器對話框,見\o"6.7.

查找包"第

6.7

節(jié)“查找包”[\o"6.4.

建立顯示過濾表達式"第

6.4

節(jié)“建立顯示過濾表達式”,在輸入過程中會進行語法檢查。如果您輸入的格式不正確，或者未輸入完成，則背景顯示為紅色。直到您輸入合法的表達式，背景會變?yōu)榫G色。你可以點擊下拉列表選擇您先前鍵入的過濾字符。列表會一直保留，即使您重新啟動程序。注意做完修改之后，記得點擊右邊的Apply(應用)按鈕，或者回車，以使過濾生效。注意輸入框的內(nèi)容同時也是當前過濾器的內(nèi)容（當前過濾器的內(nèi)容會反映在輸入框）

表達式...標簽為表達式的按鈕打開一個對話框用以從協(xié)議字段列表中編輯過濾器，詳見\o"6.5.

“FilterExpression/過濾表達式”對話框"第

6.5

節(jié)““FilterExpression/過濾表達式”對話框”

清除重置當前過濾器，清除輸入框

應用應用當前輸入框的表達式為過濾器進行過濾注意在大文件里應用顯示過濾可能要很長時間

[\o"9.5.

首選項"第

9.5

節(jié)“首選項”默認的列如下No.包的編號，編號不會發(fā)生改變，即使進行了過濾也同樣如此Time包的時間戳。包時間戳的格式可以自行設置，見\o"6.10.

時間顯示格式與參考時間"第

6.10

節(jié)“時間顯示格式與參考時間”Source顯示包的源地址。Destination顯示包的目標地址。Protocal顯示包的協(xié)議類型的簡寫Info包內(nèi)容的附加信息右擊包，可以顯示對包進行相關操作的上下文菜單。見\o"6.3.

瀏覽時過濾包"第

6.3

節(jié)“瀏覽時過濾包”3.16.

"PacketDetails"面板"PacketDetails/包詳情"面板顯示當前包(在包列表面板被選中的包)的詳情列表。圖

3.14.

"PacketDetails/包詳情"面板該面板顯示包列表面板選中包的協(xié)議與協(xié)議字段，協(xié)議與字段以樹狀方式組織。你可以展開或折疊它們。右擊它們會獲得相關的上下文菜單。見\o"6.4.

建立顯示過濾表達式"第

6.4

節(jié)“建立顯示過濾表達式”某些協(xié)議字段會以特殊方式顯示Generatedfields/衍生字段Wireshark會將自己生成附加協(xié)議字段加上括號。衍生字段是通過該包的相關的其他包結合生成的。例如：Wireshark在對TCP流應答序列進行分析時。將會在TCP協(xié)議中添加[SEQ/ACKanalysis]字段Links/鏈接如果Wireshark檢測到當前包與其它包的關系，將會產(chǎn)生一個到其它包的鏈接。鏈接字段顯示為藍色字體，并加有下劃線。雙擊它會跳轉到對應的包。3.17.

"PacketByte"面板PacketByte/包字節(jié)面板以16進制轉儲方式顯示當前選擇包的數(shù)據(jù)圖

3.15.

PacketByte/包字節(jié)面板通常在16進制轉儲形式中，左側顯示包數(shù)據(jù)偏移量，中間欄以16進制表示，右側顯示為對應的ASCII字符根據(jù)包數(shù)據(jù)的不同，有時候包字節(jié)面板可能會有多個頁面，例如：有時候Wireshark會將多個分片重組為一個，見\o"7.5.

合并包"第

7.5

節(jié)“合并包”.這時會在面板底部出現(xiàn)一個附加按鈕供你選擇查看圖

3.16.

帶選項的"PaketBytes/包字節(jié)"面板注意附加頁面的內(nèi)容可能來自多個包。右擊選項按鈕會顯示一個上下文菜單顯示所有可用的頁的清單。如果您的面板尺寸過小，這項功能或許有所幫助3.18.

狀態(tài)欄狀態(tài)欄用于顯示信息通常狀態(tài)欄的左側會顯示相關上下文信息，右側會顯示當前包數(shù)目圖

3.17.

初始狀態(tài)欄該狀態(tài)欄顯示的是沒有文件載入時的狀態(tài)，如：剛啟動Wireshark時圖

3.18.

載入文件后的狀態(tài)欄左側顯示當前捕捉文件信息，包括名稱，大小，捕捉持續(xù)時間等。右側顯示當前包在文件中的數(shù)量，會顯示如下值P:捕捉包的數(shù)目D:被顯示的包的數(shù)目M:被標記的包的數(shù)目.圖

3.19.

已選擇協(xié)議字段的狀態(tài)欄如果你已經(jīng)在"PacketDetail/包詳情"面板選擇了一個協(xié)議字段，將會顯示上圖提示括號內(nèi)的值(如上圖的app.opcode)可以作為顯示過濾使用。它表示選擇的協(xié)議字段。

第

4

章

實時捕捉數(shù)據(jù)包4.1.

介紹實時捕捉數(shù)據(jù)包時Wireshar的特色之一Wiershark捕捉引擎具備以下特點支持多種網(wǎng)絡接口的捕捉(以太網(wǎng)，令牌環(huán)網(wǎng)，ATM...)支持多種機制觸發(fā)停止捕捉，例如：捕捉文件的大小，捕捉持續(xù)時間，捕捉到包的數(shù)量...捕捉時同時顯示包解碼詳情設置過濾，減少捕捉到包的容量。見\o"4.8.

捕捉時過濾"第

4.8

節(jié)“捕捉時過濾”長時間捕捉時，可以設置生成多個文件。對于特別長時間的捕捉，可以設置捕捉文件大小罰值，設置僅保留最后的N個文件等手段。見\o"4.6.

捕捉文件格式、模式設置"第

4.6

節(jié)“捕捉文件格式、模式設置”Wireshark捕捉引擎在以下幾個方面尚有不足從多個網(wǎng)絡接口同時實時捕捉，(但是您可以開始多個應用程序實體，捕捉后進行文件合并)根據(jù)捕捉到的數(shù)據(jù)停止捕捉(或其他操作)4.2.

準備工作第一次設置Wireshark捕捉包可能會遇到一些小麻煩提示關于如何進行捕捉設置的較為全面的向導可以在:.這里有一些常見需要注意的地方你必須擁有root/Administrator特權以開始捕捉[\o"圖

4.1.

"CaptureInterfaces"捕捉接口對話框"圖

4.1“"CaptureInterfaces"捕捉接口對話框”,選擇您需要進行捕捉的接口啟動捕捉你也可以使用"捕捉選項"按鈕啟動對話框開始捕捉，見\o"圖

4.2.

"CaptureOption/捕捉選項"對話框"圖

4.2“"CaptureOption/捕捉選項"對話框”如果您前次捕捉時的設置和現(xiàn)在的要求一樣，您可以點擊"開始捕捉"按鈕或者是菜單項立即開始本次捕捉。如果你已經(jīng)知道捕捉接口的名稱，可以使用如下命令從命令行開始捕捉：wireshark-ieth0-k上述命令會從eht0接口開始捕捉，有關命令行的介紹參見\o"9.2.

從命令行啟動Wireshark"第

9.2

節(jié)“從命令行啟動Wireshark”4.4.

捕捉接口對話框如果您從捕捉菜單選擇"Interface..."，將會彈出如\o"圖

4.1.

"CaptureInterfaces"捕捉接口對話框"圖

4.1“"CaptureInterfaces"捕捉接口對話框”所示的對話框警告打開"CaptureInterfaces"/捕捉對話框時同時正在顯示捕捉的數(shù)據(jù)，這將會大量消耗您的系統(tǒng)資源。盡快選擇您需要的接口以結束該對話框。避免影響系統(tǒng)性能注意這個對話框只顯示本地已知的網(wǎng)絡接口，Wireshark可能無法檢測到所有的本地接口，Wireshark不能檢測遠程可用的網(wǎng)絡接口，Wireshark只能使用列出可用的網(wǎng)絡接口圖

4.1.

"CaptureInterfaces"捕捉接口對話框描述從操作系統(tǒng)獲取的接口信息IPWireshark能解析的第一個IP地址，如果接口未獲得IP地址（如，不存在可用的DHCP服務器)，將會顯示"Unkow",如果有超過一個IP的，只顯示第一個(無法確定哪一個會顯示).Packets打開該窗口后，從此接口捕捉到的包的數(shù)目。如果一直沒有接收到包，則會顯示為灰度Packets/s最近一秒捕捉到包的數(shù)目。如果最近一秒沒有捕捉到包，將會是灰度顯示Stop停止當前運行的捕捉Capture從選擇的接口立即開始捕捉，使用最后一次捕捉的設置。Options打開該接口的捕捉選項對話框,見\o"4.5.

捕捉選項對話框"第

4.5

節(jié)“捕捉選項對話框”Details(僅Win32系統(tǒng))打開對話框顯示接口的詳細信息Close關閉對話框4.5.

捕捉選項對話框如果您從捕捉菜單選擇"start..."按鈕(或者從主工具欄選擇對應的項目),Wireshark彈出"CaptureOption/捕捉選項"對話框。如\o"圖

4.2.

"CaptureOption/捕捉選項"對話框"圖

4.2“"CaptureOption/捕捉選項"對話框”所示圖

4.2.

"CaptureOption/捕捉選項"對話框提示如果你不了解各項設置的意義，建議保持默認。你可以用對話框中的如下字段進行設置4.5.1.

捕捉楨Interface該字段指定你想用于進行捕捉的借口。一次只能使用一個接口。這是一個下拉列表，簡單點擊右側的按鈕，選擇你想要使用的接口。默認第一是支持捕捉的non-loopback(非環(huán)回)接口，如果沒有這樣的接口，第一個將是環(huán)回接口。在某些系統(tǒng)中，回借口不支持捕捉包(windows平臺下的環(huán)回接口就不支持。)在命令行使用-i<interface>參數(shù)可以替代該選項IPaddress表示選擇接口的IP地址。如果系統(tǒng)未指定IP地址，將會顯示為"unknown"Link-layerheadertype除非你有些特殊應用，盡量保持此選項默認。想了解更多詳情，見\o"4.7.

鏈路層包頭類型"第

4.7

節(jié)“鏈路層包頭類型”Buffersize:nmegabyte(s)輸入用于捕捉的緩層大小。該選項是設置寫入數(shù)據(jù)到磁盤前保留在核心緩存中捕捉數(shù)據(jù)的大小，如果你發(fā)現(xiàn)丟包。嘗試增大該值。注意該選項僅適用于Windows平臺Capturepacketsinpromiscuousmode指定Wireshark捕捉包時，設置接口為雜收模式(有些人翻譯為混雜模式)。如果你未指定該選項，Wireshark將只能捕捉進出你電腦的數(shù)據(jù)包(不能捕捉整個局域網(wǎng)段的包)[Limiteachpackettonbytes指定捕捉過程中，每個包的最大字節(jié)數(shù)。在某些地方被稱為。"snaplen".[\o"4.8.

捕捉時過濾"第

4.8

節(jié)“捕捉時過濾”詳細介紹，默認情況下是空的。同樣你也可以點擊捕捉按鈕，通過彈出的捕捉過濾對話框創(chuàng)建或選擇一個過濾器，詳見\o"6.6.

定義，保存過濾器"第

6.6

節(jié)“定義，保存過濾器”4.5.2.

捉數(shù)據(jù)幀為文件。捕捉文件設置的使用方法的詳細介紹見\o"4.6.

捕捉文件格式、模式設置"第

4.6

節(jié)“捕捉文件格式、模式設置”File指定將用于捕捉的文件名。該字段默認是空白。如果保持空白，捕捉數(shù)據(jù)將會存儲在臨時文件夾。詳見\o"4.6.

捕捉文件格式、模式設置"第

4.6

節(jié)“捕捉文件格式、模式設置”你可以點擊右側的按鈕打開瀏覽窗口設置文件存儲位置Usemultiplefiles如果指定條件達到臨界值，Wireshark將會自動生成一個新文件，而不是適用單獨文件。Nextnmegabyte(s)僅適用選中Usemultiplefiles,如果捕捉文件容量達到指定值，將會生成切換到新文件Nextnminutes(s)僅適用選中Usemultiplefiles,如果捕捉文件持續(xù)時間達到指定值，將會切換到新文件。Ringbufferwithnfiles僅適用選中Usemultiplefiles,僅生成制定數(shù)目的文件。Stopcaputureafternfile(s)僅適用選中Usemultiplefiles,當生成指定數(shù)目文件時，在生成下一個文件時停止捕捉(生成n個還是n+1個文件?)4.5.3.

停止捕捉楨...afternpacket(s)在捕捉到指定數(shù)目數(shù)據(jù)包后停止捕捉...afternmegabytes(s)在捕捉到指定容量的數(shù)據(jù)(byte(s)/kilobyte(s)/megabyte(s)/gigabyte(s))后停止捕捉。如果沒有適用"usermultiplefiles",該選項將是灰色...afternminute(s)在達到指定時間后停止捕捉4.5.4.

顯示楨選項Updatelistofpacketsinrealtime在包列表面板實時更新捕捉數(shù)據(jù)。如果未選定該選項，在Wireshark捕捉結束之前將不能顯示數(shù)據(jù)。如果選中該選項，Wireshark將生成兩個獨立的進程，通過捕捉進程傳輸數(shù)據(jù)給顯示進程。Automaticscrollinginlivecapture指定Wireshark在有數(shù)據(jù)進入時實時滾動包列表面板，這樣您將一直能看到最近的包。反之，則最新數(shù)據(jù)包會被放置在行末，但不會自動滾動面板。如果未設置"updatelistofpacketsinrealtime",該選項將是灰色不可選的。Hidecaptureinfodialog選中該選項，將會隱藏捕捉信息對話框4.5.5.

名稱解析設置EnableMACnameresolution設置是否讓Wireshark翻譯MAC地址為名稱，見\o"7.6.

名稱解析"第

7.6

節(jié)“名稱解析”Enablenetworknameresolution是否允許Wireshark對網(wǎng)絡地址進行解析，見\o"7.6.

名稱解析"第

7.6

節(jié)“名稱解析”4.5.6.

按鈕進行完上述設置以后，你可以點擊start按鈕進行捕捉,也可以點擊Cancel退出捕捉.開始捕捉以后，在你收集到足夠的數(shù)據(jù)時你可以停止捕捉。見\o"4.9.

在捕捉過程中"第

4.9

節(jié)“在捕捉過程中”4.6.

捕捉文件格式、模式設置在捕捉時，libpcap捕捉引擎(linux環(huán)境下)會抓取來自網(wǎng)卡的包存放在(相對來說)較小的核心緩存內(nèi)。這些數(shù)據(jù)由Wireshark讀取并保存到用戶指定的捕捉文件中。保存包數(shù)據(jù)到捕捉文件時，可采用差異模式操作。提示處理大文件(數(shù)百兆)將會變得非常慢。如果你計劃進行長時間捕捉，或者處于一個高吞吐量的網(wǎng)絡中，考慮使用前面提到的"Multiplefiles/多文件"選項。該選項可以將捕捉包分割為多個小文件。這樣可能更適合上述環(huán)境。注意使用多文件可能會切斷上下文關聯(lián)信息。Wireshark保留載入包的上下文信息，所以它會報告上下文關聯(lián)問題(例如流問題)和關聯(lián)上下文協(xié)議信息(例如：何處數(shù)據(jù)產(chǎn)生建立階段，必須查找后續(xù)包)。這些信息僅能在載入文件中顯示，使用多文件模式可能會截斷這樣的上下文。如果建立連接階段已經(jīng)保存在一個文件中，你想要看的在另一個文件中，你可能無法看到可用的上下文關聯(lián)信息。提示關于捕捉文件的目錄信息，可見???表

4.1.

捕捉文件模式選項"File"選項"Usemultiplefiles"選項"Ringbufferwithnfiles"選項Mode最終文件命名方式SingletemporaryfileetherXXXXXX(whereXXXXXX是一個獨立值)foo.cap--Singlenamedfilefoo.capfoo.capx-Multiplefoo_00001_202.cap,foo_00002_202.cap,...foo.capxxMultiplebufferfoo_00001_202.cap,foo_00002_202.cap,...Singletemporaryfile將會創(chuàng)建并使用一個臨時文件(默認選項).捕捉文件結束后，該文件可以由用戶指定文件名。Singlenamedfile使用單獨文件，如果你想放到指定目錄，選擇此模式Multiple與singlenamefile模式類似，不同點在于，當捕捉達到多文件切換臨界條件時之一時，會創(chuàng)建一個新文件用于捕捉Multiplebuffer與"multiplefilescontinuous"模式類似，不同之處在于，創(chuàng)建的文件數(shù)目固定。當達到ringbufferwithn值時，會替換掉第一個文件開始捕捉，如此循環(huán)往復。該模式可以限制最大磁盤空間使用量，即使未限制捕捉數(shù)據(jù)輸入，也只能保留最后幾個捕捉數(shù)據(jù)。4.7.

鏈路層包頭類型在通常情況下，你不需要選擇鏈路層包頭類型。下面的段落描述了例外的情況，此時選擇包頭類型是有必要的，所以你需要知道怎么做：如果你在某種版本BSD操作系統(tǒng)下從某種802.11設備(無線局域網(wǎng)設備)捕捉數(shù)據(jù)，可能需要在"802.11"和"Ethernet"中做出選擇。"Ethernet"將會導致捕捉到的包帶有偽以太網(wǎng)幀頭(不知道是不是應該叫偽首部更準確些);"802.11"將會導致他們帶有802.11幀頭。如果捕捉時的應用程序不支持"802.11幀頭"，你需要選擇"802.11"如果你使用EndaceDAGcard(某種網(wǎng)絡監(jiān)視卡)連接到同步串口線(譯者注：E文為synchronousserialline，權且翻譯作前文吧，未接觸過此卡、未熟稔此線名稱)，可能會出現(xiàn)"PPPoverserial"或"CiscoHDLC"(自己google去)供選擇。根據(jù)你自己的情況選擇二者中的一個。如果你使用EndaceDAGcard(同上)連接到ATM網(wǎng)絡，將會提供"RFC1483IP-over-ATM"、"SunrawATM"供選擇。如果捕捉的通信是RFC1483封裝IP(RFC1483LLC-encapsulatedIP,不翻譯為妙)，或者需要在不支持SunATM幀頭的應用程序下捕捉，選擇前者。反之選擇后者。如果你在以太網(wǎng)捕捉，將會提供"Ethernet"、"DOCSIS"供選擇，如果您是在CiscoCableModemTerminationSystem(CMTS是思科同軸電纜終端調(diào)制解調(diào)系統(tǒng)？)下捕捉數(shù)據(jù)。它會將DOCSIS(同軸電纜數(shù)據(jù)服務接口)通信放置到以太網(wǎng)中，供捕捉。此時需要選擇"DOCSIS",反之則反之。4.8.

捕捉時過濾Wireshark使用libpcap過濾語句進行捕捉過濾(whataboutwinpcap?)。在tcpdump主頁有介紹，但這些只是過于晦澀難懂，所以這里做小幅度講解。提示你可以從找到捕捉過濾范例.在Wireshark捕捉選項對話(見\o"圖

4.2.

"CaptureOption/捕捉選項"對話框"圖

4.2“"CaptureOption/捕捉選項"對話框”)框輸入捕捉過濾字段。下面的語句有點類似于tcpdump捕捉過濾語言。在tcpdump主頁可以看到tcpdump表達式選項介紹。捕捉過濾的形式為：和取值(and/or)進行進行基本單元連接，加上可選的，高有限級的not:[not]primitive[and|or[not]primitive...]例

4.1.

捕捉來自特定主機的telnet協(xié)議tcpport23andhost本例捕捉來自或指向主機的Telnet通信，展示了如何用and連接兩個基本單元。另外一個例子\o"例

4.2.

捕捉所有不是來自的telnet通信"例

4.2“捕捉所有不是來自的telnet通信”展示如何捕捉所有不是來自的telnet通信。例

4.2.

捕捉所有不是來自的telnet通信tcphost23andnotsrchost此處筆者建議增加更多范例。但是并沒有添加。一個基本單元通常是下面中的一個[src|dst]host<host>此基本單元允許你過濾主機ip地址或名稱。你可以優(yōu)先指定src|dst關鍵詞來指定你關注的是源地址還是目標地址。如果未指定，則指定的地址出現(xiàn)在源地址或目標地址中的包會被抓取。ether[src|dst]host<ehost>此單元允許你過濾主機以太網(wǎng)地址。你可以優(yōu)先指定關鍵詞src|dst在關鍵詞ether和host之間，來確定你關注的是源地址還是目標地址。如果未指定，同上。gatewayhost<host>過濾通過指定host作為網(wǎng)關的包。這就是指那些以太網(wǎng)源地址或目標地址是host，但源ip地址和目標ip地址都不是host的包[src|dst]net<net>[{mask<mask>}|{len<len>}]通過網(wǎng)絡號進行過濾。你可以選擇優(yōu)先指定src|dst來確定你感興趣的是源網(wǎng)絡還是目標網(wǎng)絡。如果兩個都沒指定。指定網(wǎng)絡出現(xiàn)在源還是目標網(wǎng)絡的都會被選擇。另外，你可以選擇子網(wǎng)掩碼或者CIDR(無類別域形式)。[tcp|udp][src|dst]port<port]過濾tcp,udp與端口號。可以使用src|dst和tcp|udp關鍵詞來確定來自源還是目標，tcp協(xié)議還是udp協(xié)議。tcp|udp必須出現(xiàn)在src|dst之前。less|greater<length>選擇長度符合要求的包。（大于等于或小于等于）ip|etherproto<protocol>選擇有指定的協(xié)議在以太網(wǎng)層或是ip層的包ether|ipbroadcast|multicast選擇以太網(wǎng)/ip層的廣播或多播<expr>relop<expr>創(chuàng)建一個復雜過濾表達式，來選擇包的字節(jié)或字節(jié)范圍符合要求的包。請參考4.8.1.

自動過濾遠程通信如果Wireshark是使用遠程連接的主機運行的(例如使用SSH,X11Window輸出，終端服務器)，遠程連接必須通過網(wǎng)絡傳輸，會在你真正感興趣的通信中產(chǎn)生大量數(shù)據(jù)包(通常也是不重要的)想要避免這種情況，wireshark可以設置為如果發(fā)現(xiàn)有遠程連接(通過察看指定的環(huán)境變量)，自動創(chuàng)建一個過濾器來匹配這種連接。以避免捕捉Wireshark捕捉遠程連接通信。下列環(huán)境變量可以進行分析SSH——CONNECTION(ssh)<remoteIP><remoteport><localIP><localport>SSH_CLIENT(ssh)<remoteIP><remoteport><localport>REMOTEHOST(tcsh,others?)<remotename>DISPLAY(x11)[remotename]:<displaynum>SESSIONNAME(terminalserver)<remotename>4.9.

在捕捉過程中捕捉時，會出現(xiàn)下面的對話框圖

4.3.

捕捉信息對話框上述對話框會向你顯示捕捉到包的數(shù)目，捕捉持續(xù)時間。選擇的被統(tǒng)計的協(xié)議無法更改(什么鳥意思？)提示這個對話框可以被隱藏，在前次的捕捉選項對話框設置"Hidecaptureinfodialogbox"即可。4.9.1.

停止捕捉運行中的捕捉線程可以用下列方法停止：使用捕捉信息對話框上的"stop"按鈕停止。注意捕捉信息對話框有可能被隱藏，如果你選擇了"Hidecaptureinfodialog"使用菜單項"Capture/Stop"使用工具欄項"Stop"使用快捷鍵:Ctrl+E如果設置了觸發(fā)停止的條件，捕捉達到條件時會自動停止。4.9.2.

重新啟動捕捉運行中的捕捉進程可以被重新啟動。這將會移出上次捕捉的所有包。如果你捕捉到一些你不感興趣的包，你不想保留它，這個功能十分有用。重新啟動是一項方便的功能，類似于停止捕捉后，在很短的時間內(nèi)立即開始捕捉。以下兩種方式可以實現(xiàn)重新啟動捕捉:使用菜單項"Capture/Restart"使用工具欄項"Restart"[\o"5.2.1.

打開捕捉文件對話框"第

5.2.1

節(jié)“打開捕捉文件對話框”如果使用拖放功能會更方便要打開文件，只需要從文件管理器拖動你想要打開的文件到你的Wireshark主窗口。但拖放功能不是在所有平臺都支持。在你載入新文件時，如果你沒有保存當前文件，Wireshark會提示你是否保存，以避免數(shù)據(jù)丟失。(你可以在首選項禁止提示保存)除Wireshark原生的格式(libpcap格式，同樣被tcpdump/Windump和其他基于libpcap/WinPcap使用)外，Wireshark可以很好地讀取許多捕捉文件格式。支持的格式列表見\o"5.2.2.

輸入文件格式"第

5.2.2

節(jié)“輸入文件格式”5.2.1.

打開捕捉文件對話框打開文件對話框可以用來查找先前保存的文件。\o"表

5.1.

特定環(huán)境下的打開文件對話框"表

5.1“特定環(huán)境下的打開文件對話框”顯示了一些Wireshark打開文件對話框的例子。對話框的顯示方式取決于你的操作系統(tǒng)對話框的顯示方式取決于操作系統(tǒng)，以與GTK+工具集的版本。但不管怎么說，基本功能都是一樣的。常見對話框行為：選擇文件和目錄點擊Open/OK按鈕，選擇你需要的文件并打開它點擊Cancle按鈕返回Wireshark主窗口而不載入任何文件。Wireshark對話框標準操作擴展如果選中文件，可以查看文件預覽信息(例如文件大小，包個數(shù)。。。)通過"filter:"按鈕、顯示字段指定顯示過濾器。過濾器將會在打開文件后應用。在輸入過濾字符時會進行語法檢查。如果輸入正確背景色為綠色，如果錯誤或輸入未結束，背景色為綠色。點擊filter按鈕會打開過濾對話框，用于輔助輸入顯示過濾表達式。(詳見\o"6.3.

瀏覽時過濾包"第

6.3

節(jié)“瀏覽時過濾包”)XXXX-weneedabetterdescriptionofthesereadfilters(貌似說這一段需要更多的做介紹)通過點擊復選框指定那些地址解析會被執(zhí)行。詳見\o"7.6.

名稱解析"第

7.6

節(jié)“名稱解析”在大文件中節(jié)約大量時間你可以在打開文件后修改顯示過濾器，和名稱解析設置。但在一些巨大的文件中進行這些操作將會占用大量的時間。在這種情況下建議在打開文件之前就進行相關過濾，解析設置。表

5.1.

特定環(huán)境下的打開文件對話框圖

5.1.

Windows下的打開對話框MicrosoftWindows(GTK2installed)此對話框一般都帶有一些wireshark擴展此對話框的說明：如果可用，"help"按鈕將會打開本節(jié)的用戶手冊。"Filter."按鈕在當前版本的windows下不可用(我看了一下，的確不可用，但過濾輸入框還是可用的)錯誤提示功能:如果Wireshark無法識別選中的捕捉文件，Open按鈕將為灰色不可用[\o"5.8.

包范圍選項"第

5.8

節(jié)“包范圍選項”通過點擊"文件類型"下拉列表指定保存文件的格式。見???可供選中的文件格式可能會沒有那么多有些類型的捕捉格式可能不可用，這取決于捕捉包的類型?？梢灾苯颖４鏋榱硪环N格式。你可以以一種格式讀取捕捉文件，保存時使用另外一種格式(這句可能翻譯有誤。)點擊"Save/OK"按鈕保存。如果保存時遇到問題，會出現(xiàn)錯誤提示。確認那個錯誤提示以后，你可以重試。點擊"Cancel"按鈕退出而不保存捕捉包。5.3.2.

輸出格式可以將Wireshark不著的包保存為其原生格式文件(libpcap)，也可以保存為其他格式供其他工具進行讀取分析。各文件類型之間的時間戳精度不盡相同將當前文件保存為其他格式可能會降低時間戳的精度，見\o"7.3.

時間戳"第

7.3

節(jié)“時間戳”Wireshark可以保存為如下格式。libpcap,tcpdumpandvariousothertoolsusingtcpdump'scaptureformat(*.pcap,*.cap,*.dmp)Accellent5Views(*.5vw)HP-UX'snettl(*.TRC0,*.TRC1)MicrosoftNetworkMonitor-NetMon(*.cap)NetworkAssociatesSniffer-DOS(*.cap,*.enc,*.trc,*fdc,*.syc)NetworkAssociatesSniffer-Windows(*.cap)NetworkInstrumentsObserverversion9(*.bfr)NovellLANalyzer(*.tr1)Sunsnoop(*.snoop,*.cap)VisualNetworksVisualUpTimetraffic(*.*)5.4.

合并捕捉文件有時候你需要將多個捕捉文件合并到一起。例如：如果你對多個接口同時進行捕捉，合并就非常有用(Wireshark實際上不能在同一個實體運行多次捕捉，需要開啟多個Wireshark實體)有三種方法可以合并捕捉文件：從"File"菜單使用，menuitem"Merge"(菜單項"合并")，打開合并對話框，見\o"5.4.1.

合并文件對話框"第

5.4.1

節(jié)“合并文件對話框”使用拖放功能，將多個文件拖放到主窗口。Wireshark會創(chuàng)建一個臨時文件嘗試對拖放的文件按時間順序進行合并。如果你只拖放一個文件，Wireshark可能(只是)簡單地替換已經(jīng)打開的文件。使用mergecap工具。該工具是在命令行進行文件合并的。它提供了合并文件的豐富的選項設置。見???5.4.1.

合并文件對話框通過該對話框可以選擇需要合并的文件，并載入合并它們。首先你會被提示有一個文件未保存如果當前文件未保存，Wireshark會在啟動合并對話框之前提示你是否保存文件。此處的對話框的大多數(shù)內(nèi)容與"OpenCaptureFiles/打開捕捉文件"對話框類似，參見\o"5.2.1.

打開捕捉文件對話框"第

5.2.1

節(jié)“打開捕捉文件對話框”合并對話框中用于合并的控制選項：將包插入已存在文件前將選擇文件內(nèi)的包插入到當前已經(jīng)載入文件之前按時間順序合并文件將當前選擇的文件和已載入的文件里的所有包按時間順序合并追加包到當前文件將選擇文件的包插入到當前載入文件的末尾表

5.3.

不同環(huán)境下的"MergeCapture"對話框圖

5.7.

Windows下的"合并"對話框MicrosoftWindows(GTK2installed)此對話框一般都帶有一些wireshark擴展圖

5.8.

新版GtK下的合并話框Unix/Linux:GTKversion>=2.4這是在Gimp/GNOME桌面環(huán)境下的合并對話框圖

5.9.

舊版GTK下的合并對話框Unix/Linux:GTKversion<2.4/MicrosoftWindows(GTK1installed)5.5.

文件集合在進行捕捉時(見：\o"4.6.

捕捉文件格式、模式設置"第

4.6

節(jié)“捕捉文件格式、模式設置”)如果設置"MultipleFiles/多文件"選項，捕捉數(shù)據(jù)會分割為多個文件，稱為文件集合.大量文件手動管理十分困難，Wirreshark的文件集合特性可以讓文件管理變得方便一點。Wireshark是如何知道一個文件所屬的文件集合t的?文件集合中的文件名以前綴號碼+"_"+號碼+"_"+日期時間+后綴的形式生成的。類似于："test_00001_210.pcap".文件集合所有的文件都有一個共同的前綴(例如前面的"test")和后綴(例如:".pcap")以與變化的中間部分。要查找一個文件集合的所有文件。Wireshark會掃描當前載入文件的目錄下的所有文件，找到那些和當前文件名具有相同部分（前綴和后綴）的作為文件集合。這個簡單的機制通常能正常運行，但也有它的弊端。如果幾次進行的捕捉具有相同的前綴和后綴，Wireshark會將它們看作同一個文件集合。如果文件被更名或者放在不同的目錄下，這樣的按文件名查找機制會無法找到文件集合的所有文件。使用"File"菜單項的子菜單""可以對文件集合集合進行很方便的控制。ListFiles對話框顯示一個對話框列出所有被識別出來屬于當前文件集合的文件列表。NextFiles關閉當前文件，打開文件集合列表中的下一個文件。PreviousFiles關閉當前文件，打開文件集合列表中的前一個文件。5.5.1.

文件列表對話框圖

5.10.

文件列表對話框每行包含文件集合中的一個文件的相關信息。文件名稱。如果你雙擊文件名稱(或者單擊單選鈕)，當前文件會被關閉，同時載入對應的文件。Created文件創(chuàng)建時間。LastModified最后一次修改文件的時間。size文件的大小。最后一行"...indirctory:"顯示所有文件所在的目錄。在每次捕捉文件被打開、關閉時，對話框的內(nèi)容會變化。Close按鈕關閉該對話框。5.6.

導出數(shù)據(jù)Wireshark支持多種方法，多種格式導出包數(shù)據(jù)，本節(jié)描述Wireshark常見的導出包數(shù)據(jù)方法。注意個別數(shù)據(jù)需要使用許多特殊方式導出，在合適的時候我們會對其進行介紹。XXX-adddetaileddescriptionsoftheoutputformatsandsomesampleoutput,too./同樣需要對導出格式進行介紹，同樣也