工具栏图标 工具栏项 Display Filters.. Coloring Rules... 对应菜单项 描述 打开对话框,用于创建、编辑过滤器。详见第 6.6 节 “定义,保存过滤器” 定义以色彩方式显示数据包的规则详见第 9.3 节 “包色彩显示设置” 打开首选项对话框,详见第 9.5 节 “首选项” 打开帮助对话框 Analyze/ Filters... View/Coloring Rules... Preferences... Edit/Preferences Help Help/Contents 3.14. \工具栏
过滤工具栏用于编辑或显示过滤器,更多详情见第 6.3 节 “浏览时过滤包” 图 3.12. 过滤工具栏
表 3.11. 工具工具栏栏图项 标 过滤 说明 打开构建过滤器对话框,见第 6.7 节 “查找包”[a] 在此区域输入或修改显示的过滤字符,见第 6.4 节 “建立显示过滤表达式”,在输入过程中会进行语法检查。如果您输入的格式不正确,或者未输入完成,则背景显示为红色。直到您输入合法的表达式,背景会变为绿色。你可以点击下拉列表选择您先前键入的过滤字符。列表会一直保留,即使您重新启动程序。 过滤输入框 注意 做完修改之后,记得点击右边的Apply(应用)按钮,或者回车,以使过滤生效。 注意 输入框的内容同时也是当前过滤器的内容(当前过滤器的内容会反映在输入框) 表达标签为表达式的按钮打开一个对话框用以从协议字段列表中编辑过滤器,详见第 6.5 节 ““Filter 式... Expression/过滤表达式”对话框” 清除 重置当前过滤器,清除输入框 应用当前输入框的表达式为过滤器进行过滤 应用 注意 在大文件里应用显示过滤可能要很长时间 [a] 我看到的Filter按钮貌似没有图标,可能只出现在0.99.4版中 3.15. \面板
Packet list/包列表面板显示所有当前捕捉的包 图 3.13. \包列表\面板
列表中的每行显示捕捉文件的一个包。如果您选择其中一行,该包得更多情况会显示在\包详情\,\包字节\面板
在分析(解剖)包时,Wireshark会将协议信息放到各个列。因为高层协议通常会覆盖底层协议,您通常在包列表面板看到的都是每个包的最高层协议描述。
例如:让我们看看一个包括TCP包,IP包,和一个以太网包。在以太网(链路层?)包中解析的数据(比如以太网地址),在IP分析中会覆盖为它自己的内容(比如IP地址),在TCP分析中会覆盖IP信息。
包列表面板有很多列可供选择。需要显示哪些列可以在首选项中进行设置,见第 9.5 节 “首选项” 默认的列如下
? ? ? ? ? ?
No. 包的编号,编号不会发生改变,即使进行了过滤也同样如此
Time 包的时间戳。包时间戳的格式可以自行设置,见第 6.10 节 “时间显示格式及参考时间” Source 显示包的源地址。
Destination 显示包的目标地址。 Protocal 显示包的协议类型的简写 Info 包内容的附加信息
右击包,可以显示对包进行相关操作的上下文菜单。见第 6.3 节 “浏览时过滤包”
3.16. \面板
\包详情\面板显示当前包(在包列表面板被选中的包)的详情列表。 图 3.14. \包详情\面板
该面板显示包列表面板选中包的协议及协议字段,协议及字段以树状方式组织。你可以展开或折叠它们。 右击它们会获得相关的上下文菜单。见第 6.4 节 “建立显示过滤表达式” 某些协议字段会以特殊方式显示
Generated fields/衍生字段 Wireshark会将自己生成附加协议字段加上括号。衍生字段是通过该包的相关的其他包结合生成的。例如:Wireshark 在对TCP流应答序列进行分析时。将会在TCP协议中添加[SEQ/ACK analysis]字段
? Links/链接 如果Wireshark检测到当前包与其它包的关系,将会产生一个到其它包的链接。链接字段显示为蓝色字体,并加有下划线。双击它会跳转到对应的包。
?
3.17. \面板
Packet Byte/包字节 面板以16进制转储方式显示当前选择包的数据 图 3.15. Packet Byte/包字节面板
通常在16进制转储形式中,左侧显示包数据偏移量,中间栏以16进制表示,右侧显示为对应的ASCII字符 根据包数据的不同,有时候包字节面板可能会有多个页面,例如:有时候Wireshark会将多个分片重组为一个,见第 7.5 节 “合并包”.这时会在面板底部出现一个附加按钮供你选择查看 图 3.16. 带选项的\包字节\面板
注意
附加页面的内容可能来自多个包。
右击选项按钮会显示一个上下文菜单显示所有可用的页的清单。如果您的面板尺寸过小,这项功能或许有所帮助
3.18. 状态栏
状态栏用于显示信息
通常状态栏的左侧会显示相关上下文信息,右侧会显示当前包数目 图 3.17. 初始状态栏
该状态栏显示的是没有文件载入时的状态,如:刚启动Wireshark时 图 3.18. 载入文件后的状态栏
左侧显示当前捕捉文件信息,包括名称,大小,捕捉持续时间等。 右侧显示当前包在文件中的数量,会显示如下值 P:捕捉包的数目 ? D:被显示的包的数目 ? M: 被标记的包的数目.
?
图 3.19. 已选择协议字段的状态栏
如果你已经在\包详情\面板选择了一个协议字段,将会显示上图
提示
括号内的值(如上图的app.opcode)可以作为显示过滤使用。它表示选择的协议字段。
第 4 章 实时捕捉数据包
4.1. 介绍
实时捕捉数据包时Wireshar的特色之一 Wiershark捕捉引擎具备以下特点
? ? ? ? ?
支持多种网络接口的捕捉(以太网,令牌环网,ATM...)
支持多种机制触发停止捕捉,例如:捕捉文件的大小,捕捉持续时间,捕捉到包的数量... 捕捉时同时显示包解码详情
设置过滤,减少捕捉到包的容量。见第 4.8 节 “捕捉时过滤”
长时间捕捉时,可以设置生成多个文件。对于特别长时间的捕捉,可以设置捕捉文件大小罚值,设置仅保留最后的N个文件等手段。见第 4.6 节 “捕捉文件格式、模式设置”
Wireshark捕捉引擎在以下几个方面尚有不足
从多个网络接口同时实时捕捉,(但是您可以开始多个应用程序实体,捕捉后进行文件合并) ? 根据捕捉到的数据停止捕捉(或其他操作)
?
4.2. 准备工作
第一次设置Wireshark捕捉包可能会遇到一些小麻烦
提示
关于如何进行捕捉设置的较为全面的向导可以在:http://wiki.wireshark.org/CaptureSetup.
这里有一些常见需要注意的地方
你必须拥有root/Administrator特权以开始捕捉 ? 必须选择正确的网络接口捕捉数据
? 如果您想捕捉某处的通信,你必须作出决定:在什么地方可以捕捉到 ? ??以及许多
?
[12]
如果你碰到设置问题,建议看看前面的那个向导,或许会有所帮助
4.3. 开始捕捉
可以使用下任一方式开始捕捉包
使用
打开捕捉接口对话框,浏览可用的本地网络接口,见图 4.1 “\Interfaces\捕捉接口对话框”,
?
选择您需要进行捕捉的接口启动捕捉 你也可以使用\
捕捉选项\按钮启动对话框开始捕捉,见图 4.2 “\捕捉选项\对话框”
开始捕捉\按钮或者是菜单项立即开始本次捕捉。
? ? ?
如果您前次捕捉时的设置和现在的要求一样,您可以点击\
如果你已经知道捕捉接口的名称,可以使用如下命令从命令行开始捕捉: wireshark -i eth0 -k
上述命令会从eht0接口开始捕捉,有关命令行的介绍参见第 9.2 节 “从命令行启动Wireshark”
4.4. 捕捉接口对话框
如果您从捕捉菜单选择\,将会弹出如图 4.1 “\Interfaces\捕捉接口对话框”所示的对话框
警告
打开\捕捉对话框时 同时正在显示捕捉的数据,这将会大量消耗您的系统资源。尽快
选择您需要的接口以结束该对话框。避免影响系统性能
注意
这个对话框只显示本地已知的网络接口,Wireshark可能无法检测到所有的本地接口,Wireshark不能检测远程可用的网络接口,Wireshark只能使用列出可用的网络接口
图 4.1. \捕捉接口对话框
描述
从操作系统获取的接口信息 IP
Wireshark能解析的第一个IP地址,如果接口未获得IP地址(如,不存在可用的DHCP服务器),将会显示\如果有超过一个IP的,只显示第一个(无法确定哪一个会显示). Packets
打开该窗口后,从此接口捕捉到的包的数目。如果一直没有接收到包,则会显示为灰度 Packets/s
最近一秒捕捉到包的数目。如果最近一秒没有捕捉到包,将会是灰度显示 Stop
停止当前运行的捕捉 Capture
从选择的接口立即开始捕捉,使用最后一次捕捉的设置。 Options
打开该接口的捕捉选项对话框,见 第 4.5 节 “捕捉选项对话框” Details(仅Win32系统)
打开对话框显示接口的详细信息 Close
关闭对话框
4.5. 捕捉选项对话框
如果您从捕捉菜单选择\按钮(或者从主工具栏选择对应的项目),Wireshark弹出\Option/捕捉选项\对话框。如图 4.2 “\捕捉选项\对话框”所示 图 4.2. \捕捉选项\对话框
Wireshark使用教程 - 图文
