Wireshark使用教程 - 图文 

菜单项 Open... Open Recent Merg Close 快捷键 Ctr+O Ctrl+W 描述 显示打开文件对话框，让您載入捕捉文件用以浏览。见第 5.2.1 节 “打开捕捉文件对话框” 弹出一个子菜单显示最近打开过的文件供选择。 显示合并捕捉文件的对话框。让您选择一个文件和当前打开的文件合并。见第 5.4 节 “合并捕捉文件” 关闭当前捕捉文件，如果您未保存，系统将提示您是否保存（如果您预设了禁止提示保存，将不会提示） 保存当前捕捉文件，如果您没有设置默认的保存文件名，Wireshark出现提示您保存文件的对话框。详情第 5.3.1 节 “\Capture File As/保存文件为\对话框” 注意 如果您已经保存文件，该选项会是灰色不可选的。 Save Crl+S 注意 您不能保存动态捕捉的文件。您必须结束捕捉以后才能进行保存 Save As 让您将当前文件保存为另外一个文件面，将会出现一个另存为的对Shift+Ctrl+S 话框(参见第 5.3.1 节 “\\对话框”) 允许您显示文件集合的列表。将会弹出一个对话框显示已打开文件的列表,参见第 5.5 节 “文件集合” 如果当前載入文件是文件集合的一部分，将会跳转到下一个文件。如果不是，将会跳转到最后一个文件。这个文件选项将会是灰色。 如果当前文件是文件集合 的一部分，将会调到它所在位置的前一个文件。如果不是则跳到文件集合的第一个文件，同时变成灰色。 这个菜单允许您将捕捉文件中所有的或者部分的包导出为plain ASCII text格式。它将会弹出一个Wireshark导出对话框,见第 5.6.1 节 “\ 将捕捉文件的全部或部分导出为PostScrit文件。将会出现导出文件对话框。参见第 5.6.2 节 “\话框” 导出文件全部或部分摘要为.cvs格式（可用在电子表格中）。将会弹出导出对话框,见第 5.6.3 节 “\Separated Values) File\对话框”。 导出文件的全部或部分为PSML格式（包摘要标记语言）XML文件。将会弹出导出文件对话框。见第 5.6.4 节 “\File\对话框” 导出文件的全部或部分为PDML(包摘要标记语言)格式的XML文件。将会弹出一个导出文件对话框,见第 5.6.5 节 “\File\对话框” 导出当前在Packet byte面版选择的字节为二进制文件。将会弹出一个导出对话框。见第 5.6.6 节 “\bytes\对话框” 打印捕捉包的全部或部分，将会弹出打印对话框。见第 5.7 节 “打印包” 退出Wireshark,如果未保存文件，Wireshark会提示是否保存。 File Set>List Files File Set>Next File File set>Previous Files Export> as “Plain Text” File? Export >as \ Export > as \Separated Values Packet Summary)File... Export > as “PSML” File? Export as \ Export > Selected Packet Bytes? Print Quit Ctr+P Ctrl+Q 3.6. \菜单

Wireshark的\菜单包含的项目见表 3.3 “Edit菜单项” 图 3.4. \菜单

表 3.3. Edit菜单项

菜单项 Copy>As Filter Find Packet... Find Next Find Previous Mark Packet(toggle) Find Next Mark Find Previous Mark Mark ALL Packets Unmark All Packet Set Time Reference(toggle) Find Next Reference Find Previous Refrence... Preferences... 快捷键 Ctr+F Ctrl+N Ctr+B Ctrl+M 描述 打开一个对话框用来通过限制来查找包，见??? 在使用Find packet以后，使用该菜单会查找匹配规则的下一个包 查找匹配规则的前一个包。 标记当前选择的包。见第 6.9 节 “标记包” Shift+Ctrl+C 使用详情面版选择的数据作为显示过滤。显示过滤将会拷贝到剪贴板。 Shift+Ctrl+N 查找下一个被标记的包 Ctrl+Shift+B 查找前一个被标记的包 Ctrl+T 标记所有包 取消所有标记 以当前包时间作为参考,见第 6.10.1 节 “包参考时间” 找到下一个时间参考包 找到前一个时间参考包 打开首选项对话框，个性化设置Wireshark的各项参数，设置后的参数将会Shift+Ctrl+P 在每次打开时发挥作用。详见第 9.5 节 “首选项” 3.7. \菜单

表 3.4 “\菜单项”显示了Wireshar View菜单的选项 图 3.5. \菜单

表 3.4. \菜单项

菜单项 Main Toolbar Filter Toolbar Statusbar Packet List Packet Details Packet Bytes 快捷键 描述 显示隐藏Main toolbar(主工具栏),见第 3.13 节 “\ 显示或隐藏Filter Toolbar(过滤工具栏)见第 3.14 节 “\栏” 显示或隐藏状态栏,见第 3.18 节 “状态栏” 显示或隐藏Packet List pane(包列表面板),见第 3.15 节 “\List\面板” 显示或隐藏Packet details pane(包详情面板).见第 3.16 节 “\Details\面板” 显示或隐藏 packet Bytes pane(包字节面板)，见第 3.17 节 “\Byte\面板” 选择这里告诉Wireshark将时间戳设置为绝对日期-时间格式(年月日，时分秒)，见第 6.10 节 “时间显示格式及参考时间” Time Display Fromat>Date and Time of Day: 1970-01-01 01:02:03.123456 注意 这里的字段\of Day\and Time of Day\Since Beginning of Capture\Packet\和\几个选项是互斥的，换句话说，一次同时有一个被选中。 Time Display Format>Time of Day: 01:02:03.123456 将时间设置为绝对时间-日期格式(时分秒格式),见第 6.10 节 “时间显示格式及参考时间” 将时间戳设置为秒格式，从捕捉开始计时，见第 6.10 节 “时间显示格式及参考时间” 将时间戳设置为秒格式，从上次捕捉开始计时，见第 6.10 节 “时间显示格式及参考时间” 将时间戳设置为秒格式，从上次显示的包开始计时,见第 6.10 节 “时间显示格式及参考时间” Time Display Format > Seconds Since Beginning of Capture: 123.123456 Time Display Format > Seconds Since Previous Captured Packet: 1.123456 Time Display Format > Seconds Since Previous Displayed Packet: 1.123456 菜单项 快捷键 描述 Time Display Format > ------ 根据指定的精度选择数据包中时间戳的显示方式，见第 6.10 节 “时间显示格式及参考时间” Time Display Format > Automatic (File Format Precision) 注意 \和\是互斥的 Time Display Format > Seconds: 0 Time Display Format > ...seconds: 0.... 设置精度为1秒，见第 6.10 节 “时间显示格式及参考时间” 设置精度为1秒，0.1秒，0.01秒，百万分之一秒等等。 见第 6.10 节 “时间显示格式及参考时间” 仅对当前选定包进行解析第 7.6 节 “名称解析” 是否解析Mac地址 是否解析网络层地址(ip地址),见第 7.6 节 “名称解析” 是否解析传输层地址第 7.6 节 “名称解析” 是否以彩色显示包 Name Resolution > Resolve Name Name Resolution > Enable for MAC Layer Name Resolution > Enable for Network Layer Name Resolution > Enable for Transport Layer Colorize Packet List 注意 以彩色方式显示包会降低捕捉再如包文件的速度 Auto Scrooll in Live Capture Zoom In Zoom Out Normal Size 控制在实时捕捉时是否自动滚屏，如果选择了该项，在有新数据进入时， 面板会项上滚动。您始终能看到最后的数据。反之，您无法看到满屏以后的数据，除非您手动滚屏 Ctrl++ 增大字体 Ctrl+- 缩小字体 Ctrl+= 恢复正常大小 恢复所有列宽 注意 除非数据包非常大，一般会立刻更改 Resiz All Columnus Expend Subtrees Expand All Collapse All Coloring Rulues... Show Packet in New Window Reload 展开子分支 看开所有分支，该选项会展开您选择的包的所有分支。 收缩所有包的所有分支 打开一个对话框，让您可以通过过滤表达来用不同的颜色显示包。这项功能对定位特定类型的包非常有用。见第 9.3 节 “包色彩显示设置” 在新窗口显示当前包，(新窗口仅包含View,Byte View两个面板) Ctrl+R 重新再如当前捕捉文件 3.8. \菜单

Wireshark \菜单的内容见表 3.5 “\菜单项” 图 3.6. \菜单

表 3.5. \菜单项

菜单项 Back ForWard Go to Packet Go to Corresponding Packet Previous Packet Next Packet First Packet Last Packet 快捷键 描述 Alt+Left 跳到最近浏览的包，类似于浏览器中的页面历史纪录 Alt+Right 跳到下一个最近浏览的包，跟浏览器类似 Ctrl+G 打开一个对话框，输入指定的包序号，然后跳转到对应的包，见第 6.8 节 “到指定的包” 跳转到当前包的应答包，如果不存在，该选项为灰色 Ctrl+UP 移动到包列表中的前一个包，即使包列表面板不是当前焦点，也是可用的 Ctrl+Down 移动到包列表中的后一个包，同上 移动到列表中的第一个包 移动到列表中的最后一个包 3.9. \菜单

\菜单的各项说明见表 3.6 “\菜单项” 图 3.7. \菜单