wireshark工具應(yīng)用手冊第1章介紹目錄什么是Wireshark主要應(yīng)用特性捕捉多種網(wǎng)絡(luò)接口支持多種其它程序捕捉的文件支持多格式輸出對多種協(xié)議解碼提供支持開源軟件Wireshark不能做的事系通需求一般說明MicrosoftWindowsUnix/Linux從哪里可以得到WiresharkWiresahrk簡史Wireshark開發(fā)維護匯報問題和獲得幫助網(wǎng)站百科全書FAQ郵件列表報告問題UNIX/Linux平臺追蹤軟件錯誤Windows平臺追蹤軟件錯誤Wireshark是網(wǎng)絡(luò)包分析工具。網(wǎng)絡(luò)包分析工具的主要作用是嘗試捕獲網(wǎng)絡(luò)包，并嘗試顯示包的盡可能詳細(xì)的情況。（當(dāng)然比那個更高級）過去的此類工具要么是過于昂貴，要么是屬于某人私有，或者是二者兼顧。Wireshark出現(xiàn)以后，這種現(xiàn)狀得以改變。Wireshark可能算得上是今天能使用的最好的開元網(wǎng)絡(luò)分析軟件。主要應(yīng)用下面是Wireshark一些應(yīng)用的舉例：網(wǎng)絡(luò)管理員用來解決網(wǎng)絡(luò)問題網(wǎng)絡(luò)安全工程師用來檢測安全隱患開發(fā)人員用來測試協(xié)議執(zhí)行情況用來學(xué)習(xí)網(wǎng)絡(luò)協(xié)議除了上面提到的，Wireshark還可以用在其它許多場合。特性支持UNIX和Windows在接口實時捕捉包能詳細(xì)顯示包的詳細(xì)協(xié)議信息可以打開/保存捕捉的包可以導(dǎo)入導(dǎo)出其他捕捉程序支持的包數(shù)據(jù)格式可以通過多種方式過濾包多種方式查找包通過過濾以多種色彩顯示包創(chuàng)建多種統(tǒng)計分析…還有許多不管怎么說，要想真正了解它的強大，您還得使用它才行圖1.1.Wireshark捕捉包并允許您檢視其內(nèi)容捕捉多種網(wǎng)絡(luò)接口Wireshark可以捕捉多種網(wǎng)絡(luò)接口類型的包，哪怕是無線局域網(wǎng)接口。想了解支持的所有網(wǎng)絡(luò)接口類型，可以在我們的網(wǎng)站上找到\h/CaptureSetup/NetworkMedia.支持多種其它程序捕捉的文件Wireshark可以打開多種網(wǎng)絡(luò)分析軟件捕捉的包，詳見???支持多格式輸出Wieshark可以將捕捉文件輸出為多種其他捕捉軟件支持的格式，詳見???對多種協(xié)議解碼提供支持可以支持許多協(xié)議的解碼(在Wireshark中可能被稱為解剖)???開源軟件Wireshark是開源軟件項目，用GPL協(xié)議發(fā)行。您可以免費在任意數(shù)量的機器上使用它，不用擔(dān)心授權(quán)和付費問題，所有的源代碼在GPL框架下都可以免費使用。因為以上原因，人們可以很容易在Wireshark上添加新的協(xié)議，或者將其作為插件整合到您的程序里，這種應(yīng)用十分廣泛。不能做的事Wireshark不能提供如下功能Wireshark不是入侵檢測系統(tǒng)。如果他/她在您的網(wǎng)絡(luò)做了一些他/她們不被允許的奇怪的事情，Wireshark不會警告您。但是如果發(fā)生了奇怪的事情，Wireshark可能對察看發(fā)生了什么會有所幫助。[3]Wireshark“測量”(監(jiān)視Wireshark不會發(fā)送網(wǎng)絡(luò)包或做其它交互性的事情（名稱解析除外，但您也可以禁止解析。[3]譯者注：因為不是入侵檢測之用，所以不會將入侵檢測和普通通信區(qū)別對待，但是都會體現(xiàn)在網(wǎng)絡(luò)包里面，如果您有足夠的經(jīng)驗，或許能通過監(jiān)視網(wǎng)絡(luò)包發(fā)現(xiàn)入侵檢測想要安裝運行Wireshark需要具備的軟硬件條件...一般說明給出的值只是最小需求，在大多數(shù)網(wǎng)絡(luò)中可以正常使用，但不排除某些情況下不能使用。[4]在繁忙的網(wǎng)絡(luò)中捕捉包將很容塞滿您的硬盤！舉個簡單的例子：在100MBIT/s全雙工以太網(wǎng)中捕捉數(shù)據(jù)將會產(chǎn)生750MByties/min的數(shù)據(jù)！在此類網(wǎng)絡(luò)中擁有高速的CPU，大量的內(nèi)存和足夠的磁盤空間是十分有必要的。如果Wireshark運行時內(nèi)存不足將會導(dǎo)致異常終止。可以在\h/KnownBugs/OutOfMemory察看詳細(xì)介紹以及解決辦法。Wireshark作為對處理器時間敏感任務(wù)，在多處理器/多線程系統(tǒng)環(huán)境工作不會比單獨處理器有更快的速度，例如過濾包就是在一個處理器下線程運行，除了以下情況例外：在捕捉包時“實時更新包列表”，此時捕捉包將會運行在一個處理下，顯示包將會運行在另一個處理器下。此時多處理或許會有所幫助。[5]MicrosoftWindows2000,XPHome版,XPPro版,XPTabletPC，XPMediaCenter,Server2003orVista(推薦在XP下使用)32-bit奔騰處理器或同等規(guī)格的處理器（建議頻率：400MHz或更高）,64-bit處理器在WoW64仿真環(huán)境下-見一般說明128MB系統(tǒng)內(nèi)存（建議256Mbytes或更高）75MB可用磁盤空間（如果想保存捕捉文件，需要更多空間）800*600（建議1280*1024或更高）分辨率最少65536(16bit)色，(256色舊設(shè)備安裝時需要選擇”legacyGTK1”)網(wǎng)卡需求：以太網(wǎng)：windows支持的任何以太網(wǎng)卡都可以無線局域網(wǎng)卡：見MicroLogixsupportlist,不捕捉802.11包頭和無數(shù)據(jù)楨。其它接口見：\h/CaptureSetup/NetworkMedia說明基于以下三點原因，將不會對舊版Windows（如等支持。Windows95,98不能運行Wireshark。已知的最后一個可以運行在以上平臺的版本是Ethereal0.99.0(需要安裝WinPCap3.1),你依然可以使用從:\h/download.html獲得。順便提一下：微軟于2006年1月11日停止對98/ME支持。WindowsNT4.0今后將無法運行Wireshark.最有一個已知版本是Wireshark0.99.4(需安裝自帶的WinPCap3.1),你依然可以從：\h/wireshark/wireshark-setup-0.99.4.exe得到它。順便提一下：微軟于2005年12月31日停止對NT4.0的支持。WindowsCE及嵌入版windows（NT/XP）不被支持。64-bit處理器運行Wireshark需要在32bit仿真環(huán)境下(稱作WoW64),最低需要安裝WinPCap4.0。支持多顯示(不知道是顯示其還是監(jiān)視器)安裝，但會遇到一些不可預(yù)料的問題。Unix/LinuxWireshark目前可以運行在許多UNIX平臺，系統(tǒng)可以對照上面Windows下的指標(biāo)。二進制包最少在以下平臺可用：APPleMacOSXDebianGNU/LinuxFreeBSDNetBSDOpenPKGRedHatFedora/EnterpriseLinuxrPathLinuxSunSolaris/i386SunSolaris/Sparc如果二進制包在您的平臺無法使用，你可以下載源文件并嘗試編譯它。 希望您能發(fā)送郵件到wireshark-dev[AT].分享您的經(jīng)驗。[4]譯者注：原文“Thevaluesbelowaretheminimumrequirementsandonly"rulesofthumb"foruseonamoderatelyusednetwork”，其中”rulesofthumb”中譯名應(yīng)該是拇指規(guī)則，但網(wǎng)上關(guān)于拇指規(guī)則解釋莫衷一是，大致意思是說：大多數(shù)情況下適用，但并非所有情況。這里翻譯的有點別扭[5]譯者注：我對這句話的理解是，正如播放電影一樣，高性能的處理器只會增強顯示效果，您并不需要將原來30分鐘的影片10分鐘之內(nèi)看完。當(dāng)然，對減少延時還是有作用的。但是感覺這句有點閱讀困難，可能翻譯的有點問題.你可以從我們的網(wǎng)站下載最新版本的Wireshark\h/download.html.網(wǎng)站上您可以選擇適合您的鏡像站點。Wireshark通常在4-8周內(nèi)發(fā)布一次新版本如果您想獲得Wireshark發(fā)布的消息通知，你可以訂閱Wireshark-announce郵件列表。詳見第1.6.4節(jié)“郵件列表”簡史[6]1997年以后，GeraldCombs需要一個工具追蹤網(wǎng)絡(luò)問題并想學(xué)習(xí)網(wǎng)絡(luò)知識。所以他開始開發(fā)Ethereal(Wireshark項目以前的名稱)以解決以上的兩個需要。Ethereal是第一版，經(jīng)過數(shù)次開發(fā)，停頓，1998年，經(jīng)過這么長的時間，補丁，Bug報告，以及許多的鼓勵，0.2.0版誕生了。Ethereal就是以這種方式成功的。此后不久，GilbertRamirez發(fā)現(xiàn)它的潛力，并為其提供了底層分析1998年10月，GuyHarris正尋找一種比TcpView更好的工具，他開始為Ethereal進行改進，并提供分析。998年以后，正在進行TCP/IP教學(xué)的RichardSharpe關(guān)注了它在這些課程中的作用。并開始研究該軟件是否他所需要的協(xié)議。如果不行，新協(xié)議支持應(yīng)該很方便被添加。所以他開始從事Ethereal的分析及改進。從那以后，幫助Ethereal的人越來越多，他們的開始幾乎都是由于一些尚不被Ethereal支持的協(xié)議。所以他們拷貝了已有的解析器，并為團隊提供了改進回饋。2006年項目MovedHouse（這句不知道怎么翻譯）并重新命名為：Wireshark.[6]本段因為有很多協(xié)議，程序開發(fā)方面的術(shù)語，翻譯得比較糟糕WiresharkCombs開發(fā)。目前由Wiresharkteam進行進一步開發(fā)和維護。Wiresharkteambug提高Wireshark功能的獨立成員組成的松散組織。有大量的成員為Wireshark提供協(xié)議分析。同時我們也希望這些活動能持續(xù)機芯。通過查看Wireshark幫助菜單下的About,你可以找到為Wireshark提供代碼的人員名單，或者你也可以通過Wireshark網(wǎng)站的authors頁面找到。WiresharkGNUGeneralPublicLicence(GPL協(xié)議),所有源代碼可以在GPL迎您修改Wireshark以便適合您的需要，如果您可以提供您的改進給Wiresharkteam，我們將不勝感激。為WiresharkTeam提供您的改進建議，有以下益處：如果其他人發(fā)現(xiàn)您提供的改進十分有用會肯定它們的價值，您將會得知你曾像Wiresharkteam一樣幫助過他人ThedevelopersofWiresharkmightimproveyourchangesevenmore,asthere'salwaysroomforimprovement.Ortheymayimplementsomeadvancedthingsontopofyourcode,whichcanbeusefulforyourselftoo.ThemaintainersanddevelopersofWiresharkwillmaintainyourcodeaswell,fixingitwhenAPIchangesorotherchangesaremade,andgenerallykeepingitintunewithwhatishappeningwithWireshark.SoifWiresharkisupdated(whichisdoneoften),youcangetanewWiresharkversionfromthewebsiteandyourchangeswillalreadybeincludedwithoutanyeffortforyou.Wireshar源代碼和二進制kits（二進制工具包？）可以根據(jù)自己的平臺對應(yīng)下載，網(wǎng)站是：\h/download.html.如果您在使用中碰到了問題，或者您需要Wireshark的幫助，有以下幾種可能讓您有興趣的方法（當(dāng)然，還包括這本書。網(wǎng)站通過訪問\h你將會發(fā)現(xiàn)關(guān)于Wireshark許多有用的信息。百科全書WiresharkWiki()提供廣泛的跟Wireshark以及捕捉包有關(guān)信息。你將會發(fā)現(xiàn)一些沒有被包括在本書內(nèi)信息，例如：wiki上有解釋如何在交換網(wǎng)絡(luò)捕捉包，同時我們正努力建立協(xié)議參考，等等。最好的事情是，如果對某些知識有獨到見解（比如您精通某種協(xié)議，您可以通過瀏覽器編輯它。FAQ最經(jīng)常被問到的問題“FrequentlyAskedQuestions”提供一個經(jīng)常被問到的問題以及答案的列表。ReadTheFAQ在您發(fā)送任何郵件到郵件列表之前，確信您已經(jīng)閱讀了FAQ，因為這里面很可能已經(jīng)提（郵件列表下面的幾個幾個郵件列表，分別屬于不同的主題：Wireshark-users這是一個Wireshark用戶的列表，大家提交關(guān)于安裝和使用Wireshark的問題，其它人（非常有用）提供的答案。（譯者注：其他人當(dāng)然也是指用戶？）wireshark-announce這是一個關(guān)于程序發(fā)布信息的列表，通常每4-8周出現(xiàn)一次。wireshark-dev這是一個關(guān)于Wireshark開發(fā)的郵件列表，如果開始開發(fā)協(xié)議分析，可以從加入該列表你可以通過網(wǎng)站\h訂閱每個郵件列表.簡單點擊網(wǎng)站左手邊的郵件列表鏈接就可以。郵件同樣在網(wǎng)站上可以看到存檔。提示您就不必提交郵件以等待別人答復(fù)您了。報告問題注意在您提交任何問題之前，請確定您安裝的是最新版本的Wireshark。當(dāng)您提交問題的時候，如果您提供如下信息將會對解決問題很有幫助。WiresharkWireshark–v命令獲得版本號（UNIX/Linux平臺。運行Wireshark的平臺信息。關(guān)于問題的詳細(xì)描述。（發(fā)生問題的地方。請不要發(fā)送諸如：“Igotawarningx”[7]，因為這樣看起來不是個好主意。不要發(fā)送大文件不要發(fā)送過大的文件（>100KB）本就可以。大文件會讓很多郵件列表里的那些對您的問題不感興趣的用戶感到惱怒。如果需要，你可以單獨發(fā)送那些數(shù)據(jù)給對您問題真正感興趣，要求您發(fā)送數(shù)據(jù)的人。不要發(fā)送機密信息！諸如此類的。UNIX/Linux平臺追蹤軟件錯誤你可以通過如下命令獲得追蹤信息：$gdb`whereiswireshark|cut-f2-d:|cut-d''-f2`core>&bt.txtbacktrace^D$注意注意追蹤是一個GDB命令。你可以在輸完第一上以后輸入它，但是會沒有相應(yīng)，^D命令（CTL+D）將會退出GDB命令。以上命令讓你在當(dāng)前目錄得到一個名為bt.txt的文本文件，它包含您的bug報告。注意如果您缺少GDB，您必須檢查您的操作系統(tǒng)的調(diào)試器。你可以發(fā)送追蹤?quán)]件到wireshark-dev[AT]郵件列表平臺追蹤軟件錯誤Windows下無法包含符號文件(.pdb),它們非常大。因此不太可能創(chuàng)建十分有意義的追蹤文件。你將匯報軟件錯誤就像前面描述的其他問題一樣。（這句不盡人意）[7]譯者注：那句話的意思是，我在XX時碰到一個警告信息[8]譯者注：原文是："Typethecharactersinthefirstlineverbatim!Thoseareback-ticsthere!",Thoseareback-ticsthere!不知道是什么意思，back-tics=后勤抽搐？熟悉Linux的或許知道第2目錄須知獲得源在UNIX下安裝之前2.4.在UNIX下編譯Wireshark2.5.在UNIX下安裝二進制包2.5.1.Linux或類似環(huán)境下安裝RPM2.5.2.Debian環(huán)境下安裝Deb包2.5.3.GentooLinux環(huán)境下安裝Portage2.5.4.FreeBSD環(huán)境下安裝包2.6.解決UNIX下安裝過程中的問題2.7.在Windows下編譯源2.8.在Windows下安裝Wireshark2.8.1.安裝WiresharkWinPcapWiresharkWinPcapWiresharkWinPcap須知萬事皆有開頭，Wireshark也同樣如此。要想使用Wireshark，你必須：獲得一個適合您操作系統(tǒng)的二進制包，或者獲得源文件為您的操作系統(tǒng)編譯。目前，只有兩到三種Linux發(fā)行版可以傳送Wireshark，而且通常傳輸?shù)亩际沁^時的版本。至今尚未有UNIX版本可以傳輸Wireshark.Windows的任何版本都不能傳輸Wireshark.基于以上原因，你需要知道從哪能得到最新版本的Wireshark以及如何安裝它。本章節(jié)向您展示如何獲得源文件和二進制包，如何根據(jù)你的需要編譯Wireshark源文件。以下是通常的步驟：下載需要的相關(guān)包，例如：源文件或者二進制發(fā)行版。將源文件編譯成二進制包(如果您下載的是源文件的話。這樣做做可以整合編譯和/安裝二進制包到最終目標(biāo)位置。你可以從Wireshark網(wǎng)站\h.同時獲取源文件和二進制發(fā)行版。下載所有需要的文件!一般來說，除非您已經(jīng)下載Wireshark,如果您想編譯Wireshark源文件，您可能需要下載多個包。這些在后面章節(jié)會提到。注意通常會有多個版本緊跟在當(dāng)前版本后面，那些通常時擁有那些平臺的用戶編譯的。基于以上原因，您可能想自己下載源文件自己編譯，因為這樣相對方便一點。在編譯或者安裝二進制發(fā)行版之前，您必須確定已經(jīng)安裝如下包：GTK+,TheGIMPToolKit.您將會同樣需要Glib.它們都可以從\h獲得。Libpcap,Wireshark用來捕捉包的工具您可以從\h獲得。根據(jù)您操作系統(tǒng)的不同，您或許能夠安裝二進制包，如RPMs.如果您已經(jīng)下載了GTK+源文件，2.1GTK+”提供的指令對您編譯有所幫助。例2.1.gzip-dcgtk+-1.2.10.tar.gz|tarxvf-<muchoutputremoved>./configure<muchoutputremoved>makeinstall<muchoutputremove>test------注意您可能需要修改2.1GTK+版本。如果GTKtarxvf注意如果您使用Linux,或者安裝了GUNtar，您可以使用tarzxvfgtk+-1.2.10.tar.gz命令。同樣也可能使用gunzip–c或者gzcat而不是許多UNIX中的gzip–dc注意如果您在windowsgtk+如果在執(zhí)行例2.1“從源文件編譯GTK+”中的指令時有錯誤發(fā)生的話，你可以咨詢GTK+網(wǎng)站。libpcap源，一般指令如2.2編譯、安裝libpcap”顯示的那樣會幫您完成編譯。同樣，如果您的操作tcpdump,您可以從tcpdump網(wǎng)站下載安裝它。例2.2.編譯、安裝libpcapgzip-dclibpcap-0.9.4.tar.Z|tarxvf-<muchoutputremoved>cdlibpcap-0.9.4./configure<muchoutputremoved>make<muchoutputremoved>makeinstall<muchoutputremoved>注意Libpcap的目錄需要根據(jù)您的版本進行修改。tarxvf命令顯示您解壓縮的目錄。6.x及其以上版本環(huán)境下（包括基于它的發(fā)行版，如Mandrake）,您可以直接運行RPM安裝所有的包。大多數(shù)情況GTK+和2.3LinuxRPM包RPMs。例2.3.Linux6.2包cd/mnt/cdrom/RedHat/RPMSrpm-ivhglib-1.2.6-3.i386.rpmrpm-ivhglib-devel-1.2.6-3.i386.rpmrpm-ivhgtk+-1.2.6-7.i386.rpmrpm-ivhgtk+-devel-1.2.6-7.i386.rpmrpm-ivhlibpcap-0.4-19.i386.rpm注意如果您使用RedHat6.2之后的版本，需要的RMPs包可能已經(jīng)變化。您需要使用正確的RMPs包。在Debianapt-ge命令。apt-get將會為您完成所有的操作。參見2.4Deban下安裝Deb”例2.4.Debapt-getinstallwireshark-dev如果在Unix操作系統(tǒng)下可以用如下步驟編譯Wireshark源代碼：如果使用Linux則解壓gzip'dtar文件,如果您使用UNIX，則解壓GUNtar文件。對于Linux命令如下：tarzxvfwireshark-0.99.5-tar.gz對于UNIX版本，命令如下gzip-dwireshark-0.99.5-tar.gztarxvfwireshark-0.99.5-tar注意gzip–dcWireshark-0.99.5-tar.gz|tarxvf同樣可以注意如果您在Windows下下載了Wireshark,你會發(fā)現(xiàn)文件名中的那些點變成了下劃線。將當(dāng)前目錄設(shè)置成源文件的目錄。配置您的源文件以編譯成適合您的Unix的版本。命令如下：./configureconfigure.解決編譯錯誤可以參考2.6UNIX下安裝過程中”使用make命令將源文件編譯成二進制包，例如：make安裝您編譯好的二進制包到最終目標(biāo)，使用如下命令：makeinstall一旦您使用makeinstall安裝了Wireshark,您就可以通過輸入Wireshark命令來運行它了。[9]譯者注：看到別人翻譯Pipelin之類的，似乎就是叫管道，不知道是否準(zhǔn)確一般來說，在您的UNIX下安裝二進制發(fā)行包使用的方式根據(jù)您的UNIX的版本類型而各有不同。例如AIX下，您可以使用smit安裝，Tru64UNIX您可以使用setld命令。RPM包使用如下命令安裝WiresharkRPM包rpm-ivhwireshark-0.99.5.i386.rpm如果因為缺少Wireshark依賴的軟件而導(dǎo)致安裝錯誤，請先安裝依賴的軟件，然后再嘗試安裝。REDHAT下依賴的軟件請參考例2.3“在RedHatLinux6.2或者基于該版本得發(fā)行版下安裝需要的RPM包”DebianDeb包使用下列命令在Debian下安裝Wiresharkapt-getinstallWiresharkapt-get會為您完成所有的相關(guān)操作Portage使用如下命令在GentooLinux下安裝wireshark以及所有的需要的附加文件USE="adnsgtkipv6portaudiosnmpsslkerberosthreadsselinux"emergewiresharkFreeBSD環(huán)境下安裝包使用如下命令在FreeBSD下安裝Wiresharkpkg_add-rwiresharkpkg_add會為您完成所有的相關(guān)操作[10]安裝過程中可能會遇到一些錯誤信息。這里給出一些錯誤的解決辦法：如果configureconfig.log(在源文件目錄下一般原因是因為您缺少GTK+環(huán)境，或者您的GTK+版本過低。configure錯誤的另一個原因是因為因為缺少libpcap(這就是前面提到的捕捉包的工具)。另外一個常見問題是很多用戶抱怨最后編譯、鏈接過程需要等待太長時間。這通常是因為使用老式的sed命令（比如solaris下傳輸。自從libtool腳本使用sedsed解決該問題\h/GNU/sed.html.如果您無法檢測出錯誤原因。發(fā)送郵件到wireshark-dev說明您的問題。當(dāng)然，郵件里要附上config.log以及其他您認(rèn)為對解決問題有幫助的東西，例如make過程的追蹤。[10]譯者注：本人不熟悉UNIX/LINUX，這一段翻譯的有點云里霧里，可能大家通過這部分想安裝Wireshark會適得其反，UNIX/LINUX下安裝方法。是下載源碼包自己編譯，這種方式的好處是因為下載源碼包是單一的，可以自行加以修改，編譯就是適合自己平臺的了。2、是利用已經(jīng)做好的發(fā)行包直接安裝，這種方法的好處是只要下載到跟自己平臺對應(yīng)的就可以，但缺點也在這里，不是每個平臺都能找到合適的。不管是編譯安裝，還是使用發(fā)行包安裝，都需要有一些有些基本基本支持。比如Linux下的GTK+支持，捕捉libpcap.這一點可以參考2.3”（tarzxvfWireshark-0.99.5-tar.gz;make;makeinstall）.直接安裝則是根據(jù)各自平臺安裝的特點。在WindowsWireshark開發(fā)的。如果想了解關(guān)于下編譯安裝Wireshark，請查看我們的開發(fā)網(wǎng)站\h/Development來了解最新的開發(fā)方面的文檔。本節(jié)將探討在Windows下安裝Wireshark二進制包。Wireshark您獲得的Wireshark二進制安裝包可能名稱類似Wireshark-setup-x.y.z.exe.Wireshark安裝包包含WinPcap,所以您不需要單獨下載安裝它。您只需要在\h/download.html#releases下載Wireshark安裝包并執(zhí)行它即可。除了普通的安裝之外，還有幾個組件供挑選安裝。提示：盡量保持默認(rèn)設(shè)置如果您不了解設(shè)置的作用的話。選擇組件[11]Wireshark(包括GTK1和GTK2接口無法同時安裝):如果您使用GTK2的GUI界面遇到問題可以嘗試GTK1，在Windows下256色（8bit）顯示模式無法運行GTK2.但是某些高級分析統(tǒng)計功能在GTK1下可能無法實現(xiàn)。WiresharkGTK1-Wireshark網(wǎng)絡(luò)分析工具WiresharkGTK2-Wireshark網(wǎng)絡(luò)分析工具（建議使用模組工具）GTK-Wimp-GTKWimp是詩歌GTK2窗口模擬(看起來感覺像原生windows32程序，推薦使用)TSshark-TShark是一個命令行的網(wǎng)絡(luò)分析工具插件/擴展(Wireshark,TShark分析引擎):DissectorPlugins-分析插件：帶有擴展分析的插件TreeStatisticsPlugins-樹狀統(tǒng)計插件：統(tǒng)計工具擴展Mate-MetaAnalysisandTracingEngine(experimental):可配置的顯示過濾引擎，參考\h/Mate.SNMPMIBs:SNMP，MIBS的詳細(xì)分析。Tools/工具(處理捕捉文件的附加命令行工具User’sGuide-用戶手冊-本地安裝的用戶手冊。如果不安裝用戶手冊，幫助菜單的大部分按鈕的結(jié)果可能就是訪問internet.Editcap-Editcapaprogramthatreadsacapturefileandsomeorallofthepacketsanothercapture/Editcap是一個讀取捕捉文件的程序，還可以將一個捕捉文件力的部分或所有信息寫入另一個捕捉文件（or插入？）Text2Pcap-Text2pcapisaprogramthatreadsinanASCIIhexdumpandwritesthedataintoalibpcap-stylecapturefile./Tex2pcap是一個讀取ASCIIhex，寫入數(shù)據(jù)到libpcap個文件的程序。Mergecap-Mergecapisaprogramthatcombinesmultiplesavedcapturefilesintoasingleoutputfile./Mergecap是一個可以將多個播捉文件合并為一個的程序。Capinfos-Capinfosisaprogramthatprovidesinformationoncapturefiles./Capinfos是一個顯示捕捉文件信息的程序。“AdditionalTasks”頁StartMenuShortcuts-開始菜單快捷方式-增加一些快捷方式到開始菜單DesktopIcon-桌面圖標(biāo)-增加Wireshark圖標(biāo)到桌面QuickLaunchIcon-快速啟動圖標(biāo)-增加一個Wireshark圖標(biāo)到快速啟動工具欄AssociatefileextensionstoWireshark-Wireshark文件關(guān)聯(lián)-將捕捉包默認(rèn)打開方式關(guān)聯(lián)到WiresharkInstallWinPcap?”頁Wireshark安裝包里包含了最新版的WinPcap安裝包。如果您沒有安裝WinPcap。您將無法捕捉網(wǎng)絡(luò)流量。但是您還是可以打開以保存的捕捉包文件。CurrentlyinstalledWinPcapversion-當(dāng)前安裝的WinPcap版本InstallWinPcapx.x-如果當(dāng)前安裝的版本低于Wireshark自帶的，該選項將會是默認(rèn)值。StartWinPcapserviceatstartup-WinPcapNPF在啟動時運行-這樣其它非管理員用戶就同樣可以捕捉包了。更多關(guān)于WinPcap的信息：Wireshark相關(guān)\h/WinPcapWinPcap官方網(wǎng)站：\h安裝命令選項數(shù)定制安裝：/NCRC校檢/S靜默模式安裝或卸載Wireshark.注意：靜默模式安裝時不會安裝WinPcap!/desktopicon安裝桌面圖標(biāo)，/desktopicon=yes表示安裝圖標(biāo)，反之則不是，適合靜默模式。/quicklaunchicon將圖標(biāo)安裝到快速啟動工具欄，=yes-安裝到工具欄，=no-不安裝，不填按默認(rèn)設(shè)置。/D設(shè)置默認(rèn)安裝目錄($INSTDIR),首選安裝目錄和安裝目錄注冊表鍵值，該選項必須設(shè)置到最后。即使路徑包含空格例2.5.wireshark-setup-0.99.5.exe/NCRC/S/desktopicon=yes/quicklaunchicon=no/D=C:\ProgramFiles\Foo注意事先聲明，Wireshark安裝時會謹(jǐn)慎對待WinPcap的安裝，所以您通常不必?fù)?dān)心WinPcap。下面的WinPcap僅適合您需要嘗試未包括在Wireshark內(nèi)的不同版本W(wǎng)inPcap。例如一個新版本的WinPcap發(fā)布了，您需要安裝它。單獨的WinPcap版本（包括alphaorbeta版）可以在下面地址下載到WinPcap官方網(wǎng)站：\hW鏡像站點:\h/security/packet-capture/winpcap在下載頁面您將會發(fā)現(xiàn)WinPcap的安裝包名稱通常類似于”auto-installer”。它們可以在NT4.0/2000/XP/vista下安裝。Wireshark有時候您可能想將您的WinPcap更新到最新版本，如果您訂閱了Wireshark通知郵件，您將會獲得Wireshark新版本發(fā)布的通知，見第1.6.4節(jié)“郵件列表”。新版誕生通常需要8-12周。更新Wireshark就是安裝一下新版本。下載并安裝它就可以。更新通常不需要重新啟動，也不會更改過去的默認(rèn)設(shè)置WinPcap的更新不是十分頻繁，通常一年左右。新版本出現(xiàn)的時候您會收到WinPcap的通知。更新WinPcap后需要重新啟動。警告在安裝新版WinPcap之前，如果您已經(jīng)安裝了舊版WinPcap,您必須先卸載它。最近版本的WinPcap安裝時會自己卸載舊版。Wireshark你可以用常見方式卸載Wireshark,使用添加/刪除程序，選擇”Wireshark”選項開始卸載即可。Wireshark卸載過程中會提供一些選項供您選擇卸載哪些部分，默認(rèn)是卸載核心組件，但保留個人設(shè)置和WinPcap.WinPcap默認(rèn)不會被卸載，因為其他類似Wireshark的程序有可能同樣適用WinPcap你可以單獨卸載WinPcap,在添加/刪除程序選擇”WinPcap”卸載它。注意卸載WinPcap之后您將不能使用Wireshark捕捉包。在卸載完成之后最好重新啟動計算機。[11]涉及到過多的名次，軟件又沒有中文版，這里及以后盡量不翻譯名稱第3目錄須知啟動Wireshark主窗口主窗口概述主菜單"File"菜單"Edit"菜單菜單菜單"Capture"菜單"Analyze"菜單菜單菜單工具欄"Filter"工具欄"PcaketList"面板"PacketDetails"面板"PacketByte"面板狀態(tài)欄須知現(xiàn)在您已經(jīng)安裝好了Wireshark,幾乎可以馬上捕捉您的一個包。緊接著的這一節(jié)我們將會介紹：Wireshark的用戶界面如何使用如何捕捉包如何查看包如何過濾包……以及其他的一些工作。你可以使用Shell命令行或者資源管理器啟動Wireshark.提示開始Wireshark時您可以指定適當(dāng)?shù)膮?shù)。參見9.2Wireshark”注意在后面的章節(jié)中，將會出現(xiàn)大量的截圖，因為Wireshark運行在多個平臺，并且支持多個GUIToolkit(GTK1.x/2x),您的屏幕上顯示的界面可能與截圖不盡吻合。但在功能上不會有實質(zhì)性區(qū)別。盡管有這些區(qū)別，也不會導(dǎo)致理解上的困難。先來看看圖3.1“主窗口界面”，大多數(shù)打開捕捉包以后的界面都是這樣子（如何捕捉/打開包文件隨后提到圖3.1.主窗口界面和大多數(shù)圖形界面程序一樣，Wireshark主窗口由如下部分組成：菜單（見第3.4節(jié)“主菜單”）用于開始操作。主工具欄(見第3.13節(jié)“"Main"工具欄”)提供快速訪問菜單中經(jīng)常用到的項目的功能。Fitertoolbar/過濾工具欄(見第3.14節(jié)“"Filter"工具欄”)提供處理當(dāng)前顯示過濾得方法。(見6.3:”瀏覽時進行過濾”)PacketList面板（見3.15“"PcaketList"面板”）Packetdetail面板（見第3.16節(jié)“"PacketDetails"面板”）顯示您在Packetlist面板中選擇的包德更多詳情。Packetbytes面板（見第3.17節(jié)“"PacketByte"面板”）顯示您在Packetlist面板選擇的包的數(shù)據(jù)，以及在Packetdetails面板高亮顯示的字段。狀態(tài)欄（見3.18“狀態(tài)欄”）注意主界面的三個面版以及各組成部分可以自定義組織方式。見第9.5節(jié)“首選項”主窗口概述Packetlist和Detail面版控制可以通過快捷鍵進行。表3.1“導(dǎo)航快捷鍵”顯示了相關(guān)的快捷鍵列表。表3.5“"GO"菜單項”有關(guān)于快捷鍵的更多介紹表3.1.導(dǎo)航快捷鍵快捷鍵 描述Tab,Shift+T在兩個項目間移動，例如從一個包列表移動到下一個abDown 移動到下一個包或者下一個詳Up 移動到上一個包或者上一個詳Ctrl-Down,F8 移動到下一個包，即使焦點不在Packetlist面版Ctrl-UP,F7 移動到前一個報，即使焦點不在Packetlist面版Left 在PactectDetail分支。Right 在PacketDetail面版，打開被選擇的樹狀分支.Backspace Packet面版，返回到被選擇的節(jié)點的父節(jié)Return,Enter Packet面版，固定被選擇樹項目。另外，在主窗口鍵入任何字符都會填充到filter里面。WiresharkWireshark窗口的最上方。3.2主菜單提供了菜單的基本界面。圖3.2.主菜單主菜單包括以下幾個項目:File包括打開、合并捕捉文件，save/保存,Print/打印,Export/導(dǎo)出捕捉文件的全部或部分。以及退出Wireshark項.見第3.5節(jié)“"File"菜單”Edit（見第3.6節(jié)單”View見第菜單”GO包含到指定包的功能。見第3.8節(jié)“"Go"菜單”Capture允許您開始或停止捕捉、編輯過濾器。見第3.9節(jié)“"Capture"菜單”Analyze包含處理顯示過濾，允許或禁止分析協(xié)議，配置用戶指定解碼和追蹤TCP流等功能。見第3.10節(jié)“"Analyze"菜單”Statistics包括的菜單項用戶顯示多個統(tǒng)計窗口，包括關(guān)于捕捉包的摘要，協(xié)議層次統(tǒng)計等等。見第3.11節(jié)“"Statistics"菜單”Help包含一些輔助用戶的參考內(nèi)容。如訪問一些基本的幫助文件，支持的協(xié)議列表，用戶手冊。在線訪問一些網(wǎng)站，“關(guān)于”等等。見第3.12節(jié)“"Help"菜單”本章鏈接介紹菜單的一般情況，更詳細(xì)的介紹會出現(xiàn)在后續(xù)章節(jié)。提示您可以使用CTR+K打開捕捉對話框。菜單WireSharkFile菜單包含的項目如表3.2File菜單介紹所示圖3.3.File菜單表3.2.File菜單介紹菜單項 快捷鍵 描述顯示打開文件對話框，讓您載入捕捉文件用Open... Ctr+OOpenRecentMergClose Ctrl+WSave

5.2.1”彈出一個子菜單顯示最近打開過的文件供選擇。文件和當(dāng)前打開的文件合并。見5.4節(jié)合并捕捉文件”（存，將不會提示）保存文件名，Wireshark出現(xiàn)提示您保存文件的對話框。詳情第5.3.1節(jié)“"saveCaptureFileAs/保存文件為"對話框”注意如果您已經(jīng)保存文件，該選項會是灰色不可選的。注意您不能保存動態(tài)捕捉的文件。您必須結(jié)束捕捉以后才能進行保存SaveAs Shift+Ctrl+SFileSet>ListFilesFileSet>NextFileFileset>PreviousFilesExport>as“PlainText”File…Export>as"PostScript"FilesExport>as"CVS"(CommaSeparatedValuesPacketSummary)File...Export>as“PSML”File…Exportas"PDML"File...Export>SelectedPacketBytes…Print Ctr+PQuit Ctrl+Q

會出現(xiàn)一個另存為的對話框(參見5.3.1“"saveCaptureAs/保存文件為"對話框”)對話框顯示已打開文件的列表,參見5.5文件集合”到最后一個文件。這個文件選項將會是灰色。跳到文件集合的第一個文件，同時變成灰色。這個菜單允許您將捕捉文件中所有的或者ASCIItext會彈出一個Wireshark導(dǎo)出對話框見第5.6.1“"ExportasFile"對話框”將捕捉文件的全部或部分導(dǎo)出為PostScrit文件。將會出現(xiàn)導(dǎo)出文件對話框。參見第5.6.2節(jié)“"ExportasPostScript"對話框”導(dǎo)出文件全部或部分摘要為.cvs格（可用在電子表格中將會彈出導(dǎo)出對話框見第5.6.3 節(jié) “"ExportasCSV(CommaSeparated對話框。導(dǎo)出文件的全部或部分為PSML（包摘要標(biāo)記語言文件。將會彈出導(dǎo)出文5.6.4“"ExportasPSML"對話框”導(dǎo)出文件的全部或部分為(包摘要標(biāo)記語言出文件對話框見第5.6.5節(jié)“"ExportasPDML"對話框”Packetbyte面版選擇的字節(jié)為二進制文件。將會彈出一個導(dǎo)出對話框。見第5.6.6節(jié)“"Exportselectedpacketbytes"對話框”打印捕捉包的全部或部分，將會彈出打印對話框。見第5.7節(jié)“打印包”退出Wireshark,如果未保存文件，Wireshark會提示是否保存。菜單Wireshark的"Edit"菜單包含的項目見表3.3“Edit菜單項”3.4.Edit"菜單3.3.菜單項菜單項 快捷鍵 描述Filter trl+C

使用詳情面版選擇的數(shù)據(jù)作為顯示過濾。顯示過濾將會拷貝到剪貼板。FindPacket... Ctr+F 打開一個對話框用來通過限制來查找包，見???在使用Findpacket以后，使用該菜單會查找匹配規(guī)則的下一個FindNext Ctrl+N包FindPrevious Ctr+B 查找匹配規(guī)則的前一個包。MarkPacket(toggle)FindNextMarkFind

Ctrl+M 標(biāo)記當(dāng)前選擇的包。見6.9標(biāo)記包”Shift+C查找下一個被標(biāo)記的包trl+NCtrl+ShMarkMark PacketsUnmark Packet

ift+B

查找前一個被標(biāo)記的包標(biāo)記所有包取消所有標(biāo)記Set Reference(toggle)

Ctrl+T 以當(dāng)前包時間作為參考,見6.10.1包參考時間”Find ReferenceFind PreviousRefrence...Preferences... trl+P

找到下一個時間參考包找到前一個時間參考包打開首選項對話框，個性化設(shè)置Wireshark的各項參數(shù)，設(shè)置后的參數(shù)將會在每次打開時發(fā)揮作用。詳見第9.5節(jié)“首選項”菜單3.4菜單項Wireshar菜單的選項圖3.5.菜單表3.4."View"菜單項菜單項 快捷鍵 描述Main顯示隱藏toolbar主工具欄見第3.13節(jié)“"Main"工具欄”顯示或隱藏FilterToolbar(過濾工具欄)見Filter

第3.14節(jié)“"Filter"工具欄”Statusbar 顯示或隱藏狀態(tài)欄見第3.18節(jié)“狀態(tài)”顯示或隱藏PacketListpane(包列表面板),PacketList

見第3.15節(jié)“"PcaketList"面板”PacketDetails 顯示或隱藏Packetpane包詳情面板).見3.16“"PacketDetails"面板”PacketBytes 顯示或隱藏packetBytespane包字節(jié)面TimeDisplayFromat>DateandTimeofDay:1970-01-0101:02:03.123456

板)，見3.17“"PacketByte"面板”Wireshark將時間戳設(shè)置為絕對日期-時間格式(年月日，時分秒)6.10時間顯示格式及參考時間”注意這里的字段ofDay","DateandTimeofDay","SecondsSinceBeginningofCapture","SecondsSincePreviousCapturedPacket"和"SecondsSinceDisplayedPacket"幾個選項是互斥的，換句話說，一次同時有一個被選中。TimeDisplayFormat>TimeofDay:01:02:03.123456TimeDisplayFormat>SecondsSinceBeginningofCapture:123.123456TimeFormat>SecondsSincePreviousCapturedPacket:1.123456TimeFormat>SecondsSincePreviousDisplayedPacket:1.123456TimeDisplayFormat>TimeDisplayFormat>Automatic(FileFormatPrecision)

將時間設(shè)置為絕對時間-日期格式(時分秒格式),見第6.10節(jié)“時間顯示格式及參考時間”見6.10時間顯示格式及參考時間”將時間戳設(shè)置為秒格式，從上次捕捉開始6.10時間”將時間戳設(shè)置為秒格式，從上次顯示的包開始計時,見第6.10節(jié)“時間顯示格式及參考時間”根據(jù)指定的精度選擇數(shù)據(jù)包中時間戳的顯6.10考時間”注意"Automatic","Seconds"和"...seconds"是互斥的TimeDisplayFormat>Seconds:0Time Display Format>...seconds:0

設(shè)置精度為1秒，見第6.10節(jié)“時間顯示格式及參考時間”設(shè)置精度為16.10參考時間”NameResolutionResolve僅對當(dāng)前選定包進行解析7.6名稱解析”NameResolution>for 地址MACLayerNameResolution>EnableforNetworkLayerNameResolution>EnableforTransportLayer

是否解析網(wǎng)絡(luò)層地址(ip地址),見第7.6節(jié)“名稱解析”是否解析傳輸層地址第7.6節(jié)“名稱解ColorizePacketList

是否以彩色顯示包注意以彩色方式顯示包會降低捕捉再如包文件的速度AutoScroollinLiveCapture

控制在實時捕捉時是否自動滾屏，如果選擇了該項，在有新數(shù)據(jù)進入時，面板會項上滾動。您始終能看到最后的數(shù)據(jù)。反之，您無法看到滿屏以后的數(shù)據(jù)，除非您手動滾屏ZoomIn Ctrl++ 增大字體ZoomOut Ctrl+- 縮小字體NormalSize Ctrl+= 注意除非數(shù)據(jù)包ResizAllColumnus

非常大，一般會立刻更改ExpendSubtrees 展開子分支看開所有分支，該選項會展開您選擇的包ExpandAll

的所有分支。CollapseAll 收縮所有包的所有分支打開一個對話框，讓您可以通過過濾表達來用不同的顏色顯示包。這項功能對定位ColoringRulues...ShowPacketinNewWindow

特定類型的包非常有用。見9.3彩顯示設(shè)置”在新窗口顯示當(dāng)前包，(新窗口僅包含View,ByteView兩個面板)Reload Ctrl+R 重新再如當(dāng)前捕捉文件菜單Wireshark"GO"菜單的內(nèi)容見表3.5“"GO"菜單項”圖3.6."GO"菜單表3.5."GO"菜單項快捷菜單項 描述鍵Back Alt+LeftAlt+Ri

跳到最近瀏覽的包，類似于瀏覽器中的頁面歷史紀(jì)錄ForWard

跳到下一個最近瀏覽的包，跟瀏覽器類似ghttoPacket G

見6.8到指定的包”toCorrespondingPacketPreviousPacket UPCtrl+

跳轉(zhuǎn)到當(dāng)前包的應(yīng)答包，如果不存在，該選項為灰色也是可用的NextPacket

移動到包列表中的后一個包，同上DownFirstPacket 移動到列表中的第一個包LastPacket 移動到列表中的最后一個包菜單"Capture"菜單的各項說明見表3.6“"Capture"菜單項”圖3.7."Capture"菜單表3.6."Capture"菜單項快捷菜單項 說明鍵Interface... 在彈出對話框選擇您要進行捕捉的網(wǎng)絡(luò)接口,見4.4“捕捉接口框”O(jiān)ptions...

Ctrl+K

打開設(shè)置捕捉選項的對話框,(見第4.5節(jié)“捕捉選項對話框”)并可以在此開始捕捉Start 立即開始捕捉，設(shè)置都是參照最后一次設(shè)置。Stop ERestartCaptureFilters...

停止正在進行的捕捉，見第4.9.1節(jié)“停止捕捉”正在進行捕捉時，停止捕捉，并按同樣的設(shè)置重新開始捕捉.僅在您認(rèn)為有必要時打開對話框，編輯捕捉過濾設(shè)置，可以命名過濾器，保存為其他捕捉時使用見第6.6節(jié)“定義，保存過濾器”菜單"Analyze"菜單的各項見表3.7“"analyze"菜單項”圖3.8."Analyze"菜單表3.7."analyze"菜單項菜單項 快捷鍵 說明DisplayFilters...Apply Filter>...Filter>...FirewallRulesEnable

Shift+Ct

地方使用，見6.6定義，保存過濾器”更改當(dāng)前過濾顯示并立即應(yīng)用。根據(jù)選擇的項，當(dāng)前顯示字段會被替換成選擇在Detail面板的協(xié)議字段更改當(dāng)前顯示過濾設(shè)置，當(dāng)不會立即應(yīng)用。同樣根據(jù)當(dāng)前選擇項，過濾字符會被替換成Detail面板選擇的協(xié)議字段為多種不同的防火墻創(chuàng)建命令行ACL規(guī)則(訪問控制列表),支持CiscoIOS,LinuxNetfilter(iptables),OpenBSDpfandWindowsFirewall(vianetsh).RulesforMACaddresses,IPv4addresses,TCPandUDPports,以及IPv4+混合端口以上假定規(guī)則用于外部接口Protocols...

rl+R 是否允許協(xié)議分析，見9.4.1“"EnableProtocols"對話框”[a]看樣子他們有個關(guān)于這部分的章節(jié)菜單Wireshark"statistics"菜單項見表3.8“”圖3.9."Statistics"菜單表3.8.快捷菜單項 描述鍵Summary 顯示捕捉數(shù)據(jù)摘要,見8.2摘要窗口ProtocolHierarchy 顯示協(xié)議統(tǒng)計分層信息，見8.3“"ProtocolHierarchy"窗口”Conversations/ 顯示會話列表(兩個終端之間的通信),見???EndPoints 顯示端點列表(通信發(fā)起，結(jié)束地址),見8.4.2“"Endpoints"窗顯示用戶指定圖表，(如包數(shù)量-時間表)見8.6Graphs"窗IOGraphsConversationList

口”通過一個組合窗口，顯示會話列表,見第8.5.3節(jié)“協(xié)議指定“ConversationList/會話列表”窗口”EndpointList 通過一個組合窗口顯示終端列表，見第8.4.3節(jié)“特定協(xié)議的"EndpointList"窗口”ServiceResponseTime

顯示一個請求及其相應(yīng)之間的間隔時間，見8.7”ANSI 見8.8協(xié)議指定統(tǒng)計窗口”GSM 見8.8協(xié)議指定統(tǒng)計窗口”H.225... 見第8.8節(jié)協(xié)議指定統(tǒng)計窗口Message 見第8.8節(jié)協(xié)議指定統(tǒng)計窗口見第8.8節(jié)協(xié)議指定統(tǒng)計窗口MTP3 見8.8協(xié)議指定統(tǒng)計窗口”RTP 見8.8協(xié)議指定統(tǒng)計窗口”GSM 見8.8協(xié)議指定統(tǒng)計窗口”SIP 見8.8協(xié)議指定統(tǒng)計窗口”VOIPCalls... 見8.8協(xié)議指定統(tǒng)計窗口”見8.8協(xié)議指定統(tǒng)計窗口”HTTP HTTP請求相應(yīng)統(tǒng)計，見第8.8節(jié)協(xié)議指定統(tǒng)計窗口Messages 見第8.8節(jié)協(xié)議指定統(tǒng)計窗口”O(jiān)NC-RPCPrograms 見8.8協(xié)議指定統(tǒng)計窗口”TCP StreamGraph 見8.8協(xié)議指定統(tǒng)計窗口”菜單幫助菜單的內(nèi)容見表3.9“”圖3.10.幫助菜單表3.9.快捷菜單項 描述鍵Contents F1 打開一個基本的幫助系統(tǒng)SupportedProtocols

打開一個對話框顯示支持的協(xié)議或工具Pages>... 打開瀏覽器，顯示安裝在本地的手冊WiresharkOnline>

按照選擇顯示在線資源AboutWireshark Wireshark注意有些版本可能不支持調(diào)用注意如果調(diào)用瀏覽器錯誤，檢查Wireshark首選項關(guān)于瀏覽器設(shè)置。主工具欄提供了快速訪問常見項目的功能,據(jù)。您可以使用瀏覽菜單隱藏它。在主工具欄里面的項目只有在可以使用的時候才能被選擇，如果不是可用則顯示為灰色，不可選(保存文件按鈕就不可用.)圖3.11.表3.10.主工具欄選項工具欄圖 工具欄項 對應(yīng)菜單項 描述標(biāo)Capture/Interfaces接口...

打開接口列表對話框,見第4.3節(jié)“開始捕捉”打開捕捉選項對話框，見第4.4節(jié)“捕捉接口對話選項。 Capture/Options框”Start Capture/Start 使用最后一次的捕捉設(shè)置立即開始捕捉Capture/Stop 停止當(dāng)前的捕捉，見4.3開始捕捉”Restar Caputer/Rstart 停止當(dāng)前捕捉，并立即重新開始Open... File/Open 啟動打開文件對話框，用于載入文件，詳見5.2.1節(jié)“打開捕捉文件對話框”話框，(見5.3.1“"saveCaptureAs/保存文"對話框”注意如果當(dāng)前文件SaveAs... File/Save

是臨時未保存文件，圖標(biāo)將會顯示為Close File/Close 關(guān)閉當(dāng)前文件。如果未保存，將會提示是否保存Reload 重新載入當(dāng)前文件Print File/Print

框(見5.7“打印包”)Findpacket... Edit/FindPacket... 打開一個對話框，查找包。見6.7查找包”Back Go/GoBack 返回歷史記錄中的上一個GoForward Go/GoForward 跳轉(zhuǎn)到歷史記錄中的下一個包Packet...

Go/GotoPacket... 彈出一個設(shè)置跳轉(zhuǎn)到指定的包的對話框FirstPacketLastPacket

Go/FirstPacket 跳轉(zhuǎn)到第一包Go/LastPacket 跳轉(zhuǎn)到最后一個包Colorize View/Coloreze 切換是否以彩色方式顯示包列表AutoScrollLive

View/AutoScroolLiveCapture 開啟/關(guān)閉實時捕捉時自動滾動包列表Zoomin View/ZoomIn 增大字體zoomout View/ZoomOut 縮小字體NormalSize View/Normal設(shè)置縮放大小為100%ResizeColumnsCaptureFilters..Display

View/ResizeColumnsCapture/CaptureFilters...

重置列寬，使內(nèi)容適合列寬(使包列表內(nèi)的文字可以完全顯示)打開對話框，用于創(chuàng)建、編輯過濾器。詳見第6.6節(jié)“定義，保存過濾器”打開對話框，用于創(chuàng)建、編輯過濾器。詳見第6.6節(jié)Filters.. Analyze/

“定義，保存過濾器”ColoringRules...Preferenc

View/ColoringRules...

定義以色彩方式顯示數(shù)據(jù)包的規(guī)則詳見第9.3節(jié)“包色彩顯示設(shè)置”es... Edit/Preferences 打開首選項對話框，詳見9.5首選項”Help Help/Contents 打開幫助對話框過濾工具欄用于編輯或顯示過濾器，更多詳情見第6.3節(jié)“瀏覽時過濾包”圖3.12.過濾工具欄工具欄圖標(biāo)

工具欄項 說明過濾 打開構(gòu)建過濾器對話框見第6.7節(jié)查找包”[a]在此區(qū)域輸入或修改顯示的過濾字符，見6.4節(jié)建立顯示過濾表達式”,在輸入過程中會進行語法檢查濾字符。列表會一直保留，即使您重新啟動程序。過濾輸入框

注意做完修改之后，記得點擊右邊的Apply(應(yīng)用)按鈕，或者回過濾生效。注意內(nèi)容（入框）表達式...

標(biāo)簽為表達式的按鈕打開一個對話框用以從協(xié)議字段列表中編輯過濾器，詳見第6.5節(jié)““FilterExpression/過濾表達式”對話框”清除 重置當(dāng)前過濾器，清除輸入框應(yīng)用當(dāng)前輸入框的表達式為過濾器進行過濾注意在大文件里應(yīng)用顯應(yīng)用示過濾可能要很長時間[a]我看到的Filter按鈕貌似沒有圖標(biāo)，可能只出現(xiàn)在0.99.4版中"Pcaket面板Packetlist/包列表面板顯示所有當(dāng)前捕捉的包圖3.13."Packetlist/包列表"面板列表中的每行顯示捕捉文件的一個包。如果您選擇其中一行，該包得更多情況會顯示在"PacketDetail/包詳情"，"PacketByte/包字節(jié)"面板在分析(解剖)包時，Wireshark會將協(xié)議信息放到各個列。因為高層協(xié)議通常會覆蓋底層協(xié)議，您通常在包列表面板看到的都是每個包的最高層協(xié)議描述。例如：讓我們看看一個包括TP包,IP包,和一個以太網(wǎng)包。在以太網(wǎng)(鏈路層？包中解析的數(shù)據(jù)(比如以太網(wǎng)地址，在IP分析中會覆蓋為它自己的內(nèi)容(比如IP地址)，在TCP分析中會覆蓋IP信息。包列表面板有很多列可供選擇。需要顯示哪些列可以在首選項中進行設(shè)置，見9.5“首選項默認(rèn)的列如下No.包的編號，編號不會發(fā)生改變，即使進行了過濾也同樣如此Time包的時間戳。包時間戳的格式可以自行設(shè)置，見第6.10節(jié)“時間顯示格式及參考時間”Source顯示包的源地址。Destination顯示包的目標(biāo)地址。Protocal顯示包的協(xié)議類型的簡寫Info包內(nèi)容的附加信息右擊包，可以顯示對包進行相關(guān)操作的上下文菜單。見第6.3節(jié)“瀏覽時過濾包”"Packet面板"PacketDetails/包詳情"面板顯示當(dāng)前包(在包列表面板被選中的包)的詳情列表。圖3.14."PacketDetails/包詳情"面板該面板顯示包列表面板選中包的協(xié)議及協(xié)議字段，協(xié)議及字段以樹狀方式組織。你可以展開或折疊它們。右擊它們會獲得相關(guān)的上下文菜單。見第6.4節(jié)“建立顯示過濾表達式”某些協(xié)議字段會以特殊方式顯示Generatedfields/衍生字段Wireshark會將自己生成附加協(xié)議字段加上括號。衍生字段是通過該包的相關(guān)的其他包結(jié)合生成的。例如：Wireshark在對TCP流應(yīng)答序列進行分析時。將會在TCP協(xié)議中添加[SEQ/ACKanalysis]字段Links/鏈接如果Wireshark檢測到當(dāng)前包與其它包的關(guān)系，將會產(chǎn)生一個到其它包的鏈接。鏈接字段顯示為藍色字體，并加有下劃線。雙擊它會跳轉(zhuǎn)到對應(yīng)的包。"Packet面板PacketByte/包字節(jié)面板以16進制轉(zhuǎn)儲方式顯示當(dāng)前選擇包的數(shù)據(jù)圖3.15.PacketByte/包字節(jié)面板通常在16進制轉(zhuǎn)儲形式中，左側(cè)顯示包數(shù)據(jù)偏移量，中間欄以16進制表示，右側(cè)顯示為對應(yīng)的ASCII字符根據(jù)包數(shù)據(jù)的不同，有時候包字節(jié)面板可能會有多個頁面，例如：有時候Wireshark會將多個分片重組為一個，見第7.5節(jié)“重組包”.這時會在面板底部出現(xiàn)一個附加按鈕供你選擇查看圖3.16.帶選項的"PaketBytes/包字節(jié)"面板注意附加頁面的內(nèi)容可能來自多個包。右擊選項按鈕會顯示一個上下文菜單顯示所有可用的頁的清單。如果您的面板尺寸過小，這項功能或許有所幫助狀態(tài)欄用于顯示信息圖3.17.初始狀態(tài)欄該狀態(tài)欄顯示的是沒有文件載入時的狀態(tài)，如：剛啟動Wireshark時圖3.18.載入文件后的狀態(tài)欄左側(cè)顯示當(dāng)前捕捉文件信息，包括名稱，大小，捕捉持續(xù)時間等。右側(cè)顯示當(dāng)前包在文件中的數(shù)量，會顯示如下值P:捕捉包的數(shù)目D:被顯示的包的數(shù)目M:被標(biāo)記的包的數(shù)目.圖3.19.已選擇協(xié)議字段的狀態(tài)欄如果你已經(jīng)在"PacketDetail/包詳情"面板選擇了一個協(xié)議字段，將會顯示上圖提示括號內(nèi)的值(如上圖的app.opcode)可以作為顯示過濾使用。它表示選擇的協(xié)議字段。第4目錄介紹準(zhǔn)備工作開始捕捉捕捉接口對話框捕捉選項對話框捕捉楨捉數(shù)據(jù)幀為文件。停止捕捉楨顯示楨選項名稱解析設(shè)置按鈕捕捉文件格式、模式設(shè)置鏈路層包頭類型捕捉時過濾自動過濾遠(yuǎn)程通信在捕捉過程中停止捕捉重新啟動捕捉介紹實時捕捉數(shù)據(jù)包時Wireshar的特色之一Wiershark捕捉引擎具備以下特點支持多種網(wǎng)絡(luò)接口的捕捉(以太網(wǎng)，令牌環(huán)網(wǎng)，ATM...)支持多種機制觸發(fā)停止捕捉，例如：捕捉文件的大小，捕捉持續(xù)時間，捕捉到包的數(shù)量捕捉時同時顯示包解碼詳情設(shè)置過濾，減少捕捉到包的容量。見第4.8節(jié)“捕捉時過濾”長時間捕捉時，可以設(shè)置生成多個文件。對于特別長時間的捕捉，可以設(shè)置捕捉文件大小罰值，設(shè)置僅保留最后的N個文件等手段。見第4.6節(jié)“捕捉文件格式、模式設(shè)置”Wireshark捕捉引擎在以下幾個方面尚有不足從多個網(wǎng)絡(luò)接口同時實時捕捉，(但是您可以開始多個應(yīng)用程序?qū)嶓w，捕捉后進行文件合并根據(jù)捕捉到的數(shù)據(jù)停止捕捉(或其他操作)第一次設(shè)置Wireshark捕捉包可能會遇到一些小麻煩提示關(guān)于如何進行捕捉設(shè)置的較為全面的向?qū)Э梢栽?\h/CaptureSetup.這里有一些常見需要注意的地方你必須擁有root/Administrator特權(quán)以開始捕捉[12]必須選擇正確的網(wǎng)絡(luò)接口捕捉數(shù)據(jù)如果您想捕捉某處的通信，你必須作出決定：在什么地方可以捕捉到……以及許多如果你碰到設(shè)置問題，建議看看前面的那個向?qū)В蛟S會有所幫助[12]記得在Windows安裝那一節(jié)層提到如果作為服務(wù)啟動可以避免非管理員無法進行捕捉，不知道二者能否相互印證。可以使用下任一方式開始捕捉包使用打開捕捉接口對話框，瀏覽可用的本地網(wǎng)絡(luò)接口，見圖4.1“"CaptureInterfaces"捕捉接口對話框”,選擇您需要進行捕捉的接口啟動捕捉你也可以使用"捕捉選項"按鈕啟動對話框開始捕捉，見圖4.2“"CaptureOption/捕捉選項"對話框”如果您前次捕捉時的設(shè)置和現(xiàn)在的要求一樣，您可以點擊"開始捕捉"按鈕或者是菜單項立即開始本次捕捉如果你已經(jīng)知道捕捉接口的名稱，可以使用如下命令從命令行開始捕捉：wireshark-ieth0-k上述命令會從eht0接口開始捕捉，有關(guān)命令行的介紹參見第9.2節(jié)“從命令行啟動Wireshark”如果您從捕捉菜單選擇"Interface..."，將會彈出如圖4.1“"CaptureInterfaces"捕捉接口對話框”所示的對話框警告打開"CaptureInterfaces"/捕捉對話框時同時正在顯示捕捉的數(shù)據(jù)，這將會大量消耗您的系統(tǒng)資源。盡快選擇您需要的接口以結(jié)束該對話框。避免影響系統(tǒng)性能注意這個對話框只顯示本地已知的網(wǎng)絡(luò)接口，Wireshark可能無法檢測到所有的本地接口，Wireshark不能檢測遠(yuǎn)程可用的網(wǎng)絡(luò)接口，Wireshark只能使用列出可用的網(wǎng)絡(luò)接口圖4.1."CaptureInterfaces"捕捉接口對話框描述從操作系統(tǒng)獲取的接口信息IPWiresharkIPIP地址（服務(wù)器)，將會顯示"Unkow",如果有超過一個IP的，只顯示第一個(無法確定哪一個會顯示).Packets打開該窗口后，從此接口捕捉到的包的數(shù)目。如果一直沒有接收到包，則會顯示為灰度Packets/s最近一秒捕捉到包的數(shù)目。如果最近一秒沒有捕捉到包，將會是灰度顯示Stop停止當(dāng)前運行的捕捉Capture從選擇的接口立即開始捕捉，使用最后一次捕捉的設(shè)置。Options打開該接口的捕捉選項對話框,見第4.5節(jié)“捕捉選項對話框”Details(僅Win32系統(tǒng))打開對話框顯示接口的詳細(xì)信息Close關(guān)閉對話框如果您從捕捉菜單選擇"start..."按鈕(或者從主工具欄選擇對應(yīng)的項目),Wireshark彈出"CaptureOption/捕捉選項"對話框。如圖4.2“"CaptureOption/捕捉選項"對話框”所示圖4.2."CaptureOption/捕捉選項"對話框提示如果你不了解各項設(shè)置的意義，建議保持默認(rèn)。你可以用對話框中的如下字段進行設(shè)置捕捉楨Interface該字段指定你想用于進行捕捉的借口。一次只能使用一個接口。這是一個下拉列表，簡單點擊右側(cè)的按鈕，選擇你想要使non-loopback(非環(huán)回)回借口不支持捕捉包(windows平臺下的環(huán)