下载文档原格式
wireshark抓包教程Wireshark是一款常用的网络分析工具,它可以用来抓取网络数据包,并对网络通信进行分析和故障排查。
本文将为大家介绍使用Wireshark进行抓包的基本步骤和注意事项。
第一步:安装Wireshark首先,你需要在Wireshark官网下载并安装最新版本的软件。
安装完成后,打开Wireshark。
第二步:配置网络接口在Wireshark界面的左上角选择合适的网络接口,比如网卡或者无线网卡接口。
一般来说,如果你的电脑只有一个网卡,这个选项将自动选择。
如果有多个网卡,可以通过点击菜单栏的"捕获"->"选项",在弹出的对话框中选择合适的网卡接口。
第三步:开始抓包点击Wireshark界面的“开始”按钮,在弹出的对话框中选择保存抓包文件的路径和文件名。
你可以选择将数据包保存到本地文件,也可以直接在Wireshark界面中查看抓包数据。
第四步:过滤数据包Wireshark抓包时会记录所有经过网络接口的数据包,如果网络通信比较频繁,抓包文件可能会非常庞大。
为了便于分析,我们可以使用过滤器来筛选出特定的数据包。
在Wireshark界面的过滤栏中输入过滤器规则,比如可以输入"tcp"来只展示TCP数据包,或者输入IP地址来只展示与该地址相关的数据包。
第五步:停止抓包当你想要停止抓包时,可以点击Wireshark界面的“停止”按钮,或者按下快捷键Ctrl+E。
第六步:数据包分析在Wireshark界面中,你可以看到抓包数据的详细信息,包括源地址、目的地址、协议类型、数据包长度等等。
通过点击各个字段,你可以查看详细的协议解析信息。
比如,你可以查看TCP数据包的源端口、目的端口、TCP标志位等信息,或者查看HTTP数据包的请求头和响应头。
第七步:保存和导出数据包如果你需要保存抓包数据,可以点击Wireshark界面上方的“保存”按钮,将抓包数据保存为pcapng格式的文件。
wireshark使用教程Wireshark是一款开源的网络协议分析工具,可以用于捕获和分析网络通信数据包。
下面是一个简单的Wireshark使用教程:1. 下载和安装:可以从Wireshark官网下载适用于您操作系统的安装包,并按照安装向导进行安装。
2. 启动Wireshark:安装完成后,双击桌面上的Wireshark图标启动程序。
3. 选择网络接口:Wireshark会自动弹出一个“Interface List”窗口列出可用的网络接口。
选择您要进行分析的网络接口,并点击“Start”按钮开始捕获数据包。
4. 捕获数据包:一旦开始捕获数据包,Wireshark将开始显示捕获到的数据包。
您可以在“Capture”菜单中选择“Stop”来停止捕获。
在捕获过程中,您可以使用过滤器功能来过滤展示的数据包。
5. 分析数据包:Wireshark捕获到的数据包会以表格的形式展示,每一行代表一个数据包。
您可以选择某个数据包进行详细分析,在右侧的“Packet Details”窗口中查看其详细内容。
6. 过滤数据包:Wireshark支持使用过滤器来只显示特定条件下的数据包。
在界面上方的“Filter”栏输入你要过滤的条件,并按下“Enter”即可。
例如,输入“ip.addr==192.168.0.1”将只显示与IP地址为192.168.0.1相关的数据包。
7. 分析协议:Wireshark可以解析多种常见的网络协议,您可以在“Statistics”菜单中选择“Protocol Hierarchy”来查看分析结果。
这将显示每个协议的使用情况及其占据的网络流量。
8. 导出数据包:如果您想要保存分析结果,可以使用Wireshark的导出功能。
在菜单中选择“File”->“Export Packet Dissections”来将数据包以不同的格式(如txt、csv、xml)导出至本地存储。
以上就是一个简单的Wireshark使用教程,希望能对您使用Wireshark进行网络数据包分析有所帮助。
实验二Wireshark安装和使用Wireshark是一款功能强大的网络协议分析工具,可以用于捕获和分析网络数据包。
在实验二中,我们将进行Wireshark的安装和使用的实验。
下面将详细介绍Wireshark的安装过程和常用功能的使用方法。
一、Wireshark的安装3.接下来会出现软件的许可协议,阅读后勾选同意,并点击下一步。
4.选择安装目录,默认即可,点击下一步。
5. 选择安装组件,可以根据个人需要选择不同的组件进行安装。
默认情况下,Wireshark会安装WinPcap驱动程序,该驱动程序是Wireshark运行所必需的。
6.设置启动菜单文件夹和桌面图标,点击下一步。
7. 设置是否将Wireshark添加到系统环境变量中,选择默认即可。
点击下一步。
8. 安装完成后,勾选启动Wireshark,然后点击完成。
二、Wireshark的使用1. 打开Wireshark,选择需要进行捕获的网络接口(如有多个接口可以选择),然后点击开始捕获按钮。
2. Wireshark开始捕获网络数据包,并实时显示捕获到的数据包的详细信息。
可以使用捕获过滤器设置需要捕获的数据包类型,如ICMP、TCP、UDP等。
3. 可以通过设置显示过滤器来仅显示感兴趣的数据包。
如输入"ip.addr==192.168.0.1",可以只显示源IP地址为192.168.0.1的数据包。
4. Wireshark提供了多种统计功能,如协议统计、流量统计、I/O图表等。
通过点击菜单栏的相应按钮,可以查看和分析统计数据。
5. Wireshark还支持多种数据包分析功能,如追踪数据包的路径、显示数据包的流量分布图、查找特定数据包等。
通过使用各种功能按钮,可以对数据包进行更深入的分析。
6. Wireshark还提供了导出数据包的功能,可以将捕获到的数据包导出为pcap、csv或文本文件,以便进行后续的分析和处理。
7. 另外,Wireshark还支持多种协议的解析,可以显示各种协议的具体字段值和解码信息。
Wairshark使用教程第 1 章介绍1.1. 什么是WiresharkWireshark 是网络包分析工具。
网络包分析工具的主要作用是尝试捕获网络包,并尝试显示包的尽可能详细的情况。
你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具,就好像使电工用来测量进入电信的电量的电度表一样。
(当然比那个更高级)过去的此类工具要么是过于昂贵,要么是属于某人私有,或者是二者兼顾。
Wireshark出现以后,这种现状得以改变。
Wireshark可能算得上是今天能使用的最好的开元网络分析软件。
1.1.1. 主要应用下面是Wireshark一些应用的举例:•网络管理员用来解决网络问题•网络安全工程师用来检测安全隐患•开发人员用来测试协议执行情况•用来学习网络协议除了上面提到的,Wireshark还可以用在其它许多场合。
1.1.2. 特性•支持UNIX和Windows平台•在接口实时捕捉包•能详细显示包的详细协议信息•可以打开/保存捕捉的包•可以导入导出其他捕捉程序支持的包数据格式•可以通过多种方式过滤包•多种方式查找包•通过过滤以多种色彩显示包•创建多种统计分析•…还有许多不管怎么说,要想真正了解它的强大,您还得使用它才行图 1.1. Wireshark捕捉包并允许您检视其内1.1.3. 捕捉多种网络接口Wireshark 可以捕捉多种网络接口类型的包,哪怕是无线局域网接口。
想了解支持的所有网络接口类型,可以在我们的网站上找到/CaptureSetup/NetworkMedia.1.1.4. 支持多种其它程序捕捉的文件Wireshark可以打开多种网络分析软件捕捉的包,详见1.1.5. 支持多格式输出Wieshark可以将捕捉文件输出为多种其他捕捉软件支持的格式,详见1.1.6. 对多种协议解码提供支持可以支持许多协议的解码(在Wireshark中可能被称为解剖)1.1.7. 开源软件Wireshark是开源软件项目,用GPL协议发行。
wireshark教程Wireshark 是一个开源的网络分析工具,可以捕获和分析网络数据包。
在本教程中,我们将介绍如何使用 Wireshark 进行简单的网络数据包捕获和分析。
步骤 1:安装 Wireshark首先,您需要下载并安装 Wireshark。
您可以在官方网站上找到适用于您的操作系统的安装程序。
按照安装向导的指示进行安装。
步骤 2:启动 Wireshark安装完成后,您可以找到 Wireshark 的快捷方式并启动它。
在打开的窗口中,您将看到一个列表,显示了可用的网络接口。
选择您想要捕获数据包的网络接口,并点击“开始”按钮开始捕获。
步骤 3:捕获数据包一旦您启动了数据包捕获,Wireshark 将开始捕获所有经过所选网络接口的数据包。
数据包将显示在主窗口中,您可以看到每个数据包的详细信息,如源 IP 地址、目标 IP 地址、协议类型等。
步骤 4:过滤数据包Wireshark 支持根据不同的条件对数据包进行过滤。
您可以使用过滤器来过滤特定IP 地址、协议类型或其他条件的数据包。
例如,如果您只想看到源 IP 地址为 192.168.1.1 的数据包,您可以在过滤器栏中输入“ip.src == 192.168.1.1”。
步骤 5:分析数据包一旦您捕获了足够的数据包,您可以开始分析它们。
Wireshark 提供了许多分析工具,包括流量统计、协议分析、流重组等。
您可以选择不同的工具来查看网络流量的相关统计和详细信息。
步骤 6:保存捕获的数据包如果您想保存捕获的数据包以供将来分析或分享,可以使用Wireshark 的“文件”菜单中的“保存”选项。
选择保存路径和文件名,并选择要保存的数据包格式。
步骤 7:退出 Wireshark当您完成数据包分析后,可以选择退出 Wireshark。
您可以通过点击窗口右上角的关闭按钮或使用“文件”菜单中的“退出”选项来退出。
请注意,Wireshark 是一个功能强大的工具,本教程仅介绍了一些基本的用法。
Wireshark使用教程详解带实例Wireshark是一款开源网络分析工具,它能够捕获和分析网络流量,使用户能够深入了解网络通信过程中发生的问题和异常。
本文将详细介绍Wireshark的使用方法,并通过实例演示其在网络故障排除和网络性能优化中的应用。
一、Wireshark安装和准备工作二、捕获和过滤数据包Wireshark具有强大的过滤功能,可以根据多种条件过滤所捕获的数据包,以减少不必要的数据包显示。
在捕获界面的过滤栏中输入过滤表达式,如“ip.addr==192.168.0.1”以显示所有源或目标IP地址为192.168.0.1的数据包。
三、分析数据包1. 分析摘要面板(Summary)摘要面板显示了捕获数据包的概要信息,如协议、源和目标地址、数据包大小等。
通过查看该面板可以迅速了解网络通信中所使用的协议和各个数据包的交互情况。
2. 分层面板(Packet List)分层面板以树状结构显示了选定数据包的详细信息。
它将数据包分为各个协议层次,并展开显示每个层次的具体字段信息。
用户可以展开或折叠每个协议层次,以查看其所包含的字段详细信息。
3. 字节流面板(Bytes)字节流面板以十六进制和ASCII码显示了选定数据包的原始数据内容。
用户可以通过该面板查看数据包的详细内容,并进一步分析其中的问题。
4. 统计面板(Statistics)统计面板提供了关于捕获数据包的各种统计信息。
用户可以查看每个协议的数据包数量、平均包大小、传输速率等。
此外,Wireshark还提供了更高级的统计功能,如流量图表、分析数据包时间间隔等。
四、实例演示为了更好地说明Wireshark的使用方法,我们将以现实应用场景为例进行实例演示。
假设我们在一个企业内部网络中发现了网络延迟问题,我们希望通过Wireshark来定位问题的根源。
首先打开Wireshark并选择要监听的网络接口,然后开始捕获数据包。
在捕获过程中,我们注意到在与一些服务器的通信中出现了较长的延迟。
wireshark抓包工具用法wireshark啊,这可是个超有趣又超有用的抓包小能手呢。
咱先说说这wireshark的界面吧。
打开它就像打开了一个装满各种网络小秘密的百宝盒。
界面上有好多栏,就像是一个个小格子,每个格子都有它的用处。
最上面那栏,就像是一个小导航,能让你找到各种功能按钮。
左边那一栏呢,像是个小目录,把抓到的包都整整齐齐地列在那儿。
而中间那一大块地方,就像是个大舞台,每个抓到的包都在这儿展示自己的详细信息。
抓包之前啊,得先选好要抓包的网络接口。
这就好比钓鱼之前得选好鱼竿要放的地方。
如果选错了接口,就像在没鱼的小水坑里钓鱼,啥也抓不到。
一般电脑上会有好几个网络接口,像有线网卡、无线网卡啥的。
要是你想抓无线的包,就得选那个无线网卡对应的接口。
怎么选呢?在wireshark的界面里仔细找一找,能看到一个像小齿轮旁边有好多小线条的图标,点进去就能看到那些接口啦,然后挑中你想要的那个就行。
开始抓包的时候啊,就像按下了一个魔法按钮。
一瞬间,各种包就像小虫子一样纷纷被捕捉到了。
你会看到左边的小目录里包的数量蹭蹭往上涨。
这时候可别急,每个包都像是一个带着小秘密的小包裹。
你要是想看看某个包里面到底装了啥,就点一下它。
然后中间的大舞台就会把这个包的详细信息都展示出来。
比如说,有这个包的源地址、目的地址,就像是写信的时候的寄信人和收信人地址一样。
还有这个包的协议类型,是TCP 呢还是UDP,这就好比是信件是用挂号信的方式寄的(TCP比较可靠),还是像明信片一样随便寄寄(UDP速度快但不太可靠)。
要是你想找特定类型的包,这也不难。
wireshark有个很厉害的小功能,就像一个小筛子一样。
比如说你只想看HTTP协议的包,因为你想知道网页之间是怎么传递信息的。
那你就可以在上面的搜索栏里输入“HTTP”,然后神奇的事情就发生了,那些不是HTTP协议的包就像小沙子一样被筛掉了,只剩下HTTP协议的包展现在你眼前。
wireshark的中文使用说明Wireshark是一款开源的网络协议分析工具,用于捕获和分析网络数据包,有中文界面和文档。
Wireshark中文使用说明1.下载和安装:在下载页面选择适合您操作系统的版本,支持Windows、macOS 和Linux。
下载并安装Wireshark,按照安装向导完成安装过程。
2.打开Wireshark:安装完成后,运行Wireshark应用程序。
3.选择网络接口:在Wireshark主界面,您将看到可用的网络接口列表。
选择您想要捕获数据包的网络接口。
4.开始捕获数据包:点击开始按钮开始捕获数据包。
您将看到捕获的数据包列表逐一显示在屏幕上。
5.分析数据包:单击数据包以查看详细信息。
Wireshark提供了多种过滤器和显示选项,以帮助您分析数据包。
您可以使用各种统计工具和过滤条件来深入了解数据包流量。
6.保存和导出数据包:您可以将捕获的数据包保存到文件以供后续分析。
使用文件菜单中的导出选项将数据包导出为各种格式。
7.阅读文档:Wireshark提供了详细的用户手册,您可以在或应用程序中找到帮助文档。
在Wireshark中,您可以点击帮助菜单并选择Wireshark用户手册查看详细文档。
8.社区和支持:Wireshark社区提供了丰富的资源,包括用户论坛、教程和插件。
如果您遇到问题,可以在社区中寻求帮助。
Wireshark是一个功能强大的工具,可以用于网络故障排除、协议分析、网络安全等多个方面。
熟练掌握它需要时间和经验,但它提供了丰富的功能和强大的能力,以深入了解网络流量和问题。
希望这个简要的使用说明能够帮助您入门Wireshark的基本操作。
如果您需要更深入的信息和指导,建议查阅文档以及参与社区。
wireshark抓包教程Wireshark 抓包教程:1. 下载安装 Wireshark:从官方网站下载最新版本的 Wireshark 并安装在您的计算机上。
2. 启动 Wireshark:打开 Wireshark 软件,您将看到一个主界面。
3. 选择网络接口:在 Wireshark 左上角的"捕获选项"中,选择要抓取数据包的网络接口。
如果您使用有线连接,选择相应的以太网接口;如果您使用无线网络,选择无线网卡接口。
4. 开始捕获数据包:点击"开始"按钮来开始捕获数据包。
Wireshark 将开始监听选定的网络接口上的数据传输。
5. 分析捕获的数据包:在捕获数据包的过程中,Wireshark 将显示捕获的数据包详细信息。
您可以使用过滤器来筛选显示特定协议的数据包。
6. 分析数据包内容:双击某个数据包,Wireshark 将显示详细的包内容,包括源地址、目的地址、协议类型等信息。
您还可以查看数据包的各个字段。
7. 导出数据包:如果您需要将捕获的数据包保存到本地供后续分析或分享,可以使用"文件"菜单中的"导出"选项。
8. 终止捕获数据包:点击"停止"按钮来终止捕获数据包。
停止捕获后,Wireshark 将显示捕获过程的统计信息,如捕获的数据包数量、捕获的数据包大小等。
9. 清除捕获数据包:在捕获数据包后,如果您想清空捕获的数据包列表,可以选择"捕获"菜单中的"清除列表"。
以上就是使用 Wireshark 进行抓包的基本教程。
通过分析捕获的数据包,您可以深入了解网络通信过程,并解决网络故障或安全问题。
1. 目的在ADSL、AG及其他产品的日常排障过程中经常需要现场进行抓包配合,本文档提供了Wireshark的常用操作指南。
2. 围AG、ADSL现场工程师。
3. Wireshark安装作为Ethereal的替代产品,Wireshark()是一款优秀且免费的抓包分析软件,可到Internet自行下载安装。
Wireshark的安装软件包由Wireshark-setup和WinPcap等2个安装文件组成。
4. Wireshark使用4.1 抓包点击菜单Capture -> Option s…,打开Capture Options窗口。
在Interface中选择网络接口;在Capture Filter中输入需要过滤的协议(如过滤megaco协议,输入udp port 2944);在Capture File(s)的File中输入要保存的抓包文件名,如要将抓包分文件保存,则在Use multiple files中选择保存文件的分割机制,如下图每5M 就保存一个文件;如需要实时显示抓包结果并让抓包结果自动滚屏,则在Display Options中选中Update list of packets in real time和Automatic scrolling in live capture。
Interface:这项用于指定截包的网卡。
Link-layer header type:指定链路层包的类型,一般使用默认值。
Buffer size(n megabyte(s)):用于定义Ethereal用于截包的缓冲,当缓冲写满后,就将截的数据写道磁盘上。
如果遇到ethereal丢包现象,将该缓冲尽量增大。
Capture packets in promiscuous mode:截包时,Ethereal将网口置于混杂模式。
如果没有配置这项,Ethereal只能截取该PC发送和接收的包(而不是同一LAN上的所有包)。
Limit each packet to n bytes:定义Ethereal截取包的最大数据数,大于这个值的数据包将被丢掉。
Wireshark使/用/教/程1什么是wireshark01Wireshark是世界上最流行的网络分析工具。
这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。
与很多其他网络工具一样,wireshark也使用pcap network library来进行封包捕捉。
2wireshark的下载与安装2.1下载wireshark访问wireshark的官方主页/我们可以下载wireshark 的安装文件,在这里我们既可以下载到最新的发布版本软件安装文件,也可以下载到以前发布的旧版本软件安装文件。
Wireshark支持多个操作系统,在下载安装文件的时候注意选择与自己PC的操作系统匹配的安装文件。
下面的介绍我们都是以windows XP系统为例。
2.2安装wireshark选择组件(Choose Components)Wireshark——GUI网络分析工具TSshark-TShark——命令行的网络分析工具插件/扩展(Wireshark,TShark分析引擎):∙Dissector Plugins——分析插件:带有扩展分析的插件∙T ree Statistics Plugins——树状统计插件:统计工具扩展∙Mate-Meta Analysis and Tracing Engine(experimental)——可配置的显示过滤引擎。
∙SNMP MIBs——SNMP,MIBS的详细分析。
Tools/工具(处理捕捉文件的附加命令行工具∙Editcap是一个读取捕捉文件的程序,还可以将一个捕捉文件力的部分或所有信息写入另一个捕捉文件。
∙Tex2pcap是一个读取ASCII hex,写入数据到libpcap个文件的程序。
∙Mergecap是一个可以将多个播捉文件合并为一个的程序。
∙Capinfos是一个显示捕捉文件信息的程序。
User’s Guide用户手册——本地安装的用户手册。
如果不安装用户手册,帮助菜单的大部分按钮的结果可能就是访问internet.选择附加任务(Select Additional Tasks)Start Menu Item——增加一些快捷方式到开始菜单Desktop Icon——增加Wireshark图标到桌面Quick Launch Icon——增加一个Wireshark图标到快速启动工具栏Associate file extensions to Wireshark-Wireshark——将捕捉包默认打开方式关联到Wireshark选择安装目录(Choose Install Location)安装路径默认为C盘,用户可以根据自己的需求更改默认安装路径。
安装WinPcap(Install WinPcap)Wireshark安装包里包含了最新版的WinPcap安装包。
如果您没有安装WinPcap。
您将无法捕捉网络流量。
但是您还是可以打开以保存的捕捉包文件。
当一切都选择完成后,点击安装按钮等待完成安装即可。
3用户界面安装完成后,即可运行wireshark。
打开wireshark后的抓包主界面如下图所示。
Wireshark主窗口由如下部分组成:●菜单——用于开始操作。
●主工具栏——提供快速访问菜单中经常用到的项目的功能。
●Fiter toolbar/过滤工具栏——提供处理当前显示过滤得方法。
●Packet List面板——显示打开文件的每个包的摘要。
点击面板中的单独条目,包的其他情况将会显示在另外两个面板中。
●Packet detail面板——显示您在Packet list面板中选择的包的更多详情。
●Packet bytes面板——显示您在Packet list面板选择的包的数据,以及在Packet details面板高亮显示的字段。
●状态栏——显示当前程序状态以及捕捉数据的更多详情。
3.1菜单栏主菜单包括以下几个项目:●File——包括打开、合并捕捉文件,save/保存,Print/打印,Export/导出捕捉文件的全部或部分。
以及退出Wireshark项.●Edit——包括如下项目:查找包,时间参考,标记一个多个包,设置预设参数。
(剪切,拷贝,粘贴不能立即执行。
)●View——控制捕捉数据的显示方式,包括颜色,字体缩放,将包显示在分离的窗口,展开或收缩详情面版的地树状节点●GO——包含到指定包的功能。
●Capture——控制抓包的对话框,包括接口,选项,开始/停止/重新开始和过滤器。
●Analyze——包含处理显示过滤,允许或禁止分析协议,配置用户指定解码和追踪TCP流等功能。
●Statistics——包括的菜单项用户显示多个统计窗口,包括关于捕捉包的摘要,协议层次统计等等。
●Help——包含一些辅助用户的参考内容。
如访问一些基本的帮助文件,支持的协议列表,用户手册。
3.2工具栏——打开接口列表对话框——打开捕捉选项对话框——使用最后一次的捕捉设置立即开始捕捉——停止当前捕捉——停止当前捕捉并立即重新开始——启动打开文件对话框,用于载入文件——保存当前文件为任意其他的文件,它将会弹出一个保存对话框注:如果当前文件是临时未保存文件,图标将会显示为——关闭当前文件。
如果未保存,将会提示是否保存——重新载入当前文件——打印捕捉文件的全部或部分,将会弹出一个打印对话框——打开一个对话框,查找包——返回历史记录的上一个——跳转到历史记录中的下一个包——弹出一个设置跳转到指定的包的对话框——跳转到第一个包——跳转到最后一个包——切换是否以彩色方式显示包列表——开启/关闭实时捕捉时自动滚动包列表——增大字体——缩小字体——设置缩放大小为100%——重置列宽,是内容适合列宽(使包列表内的文字可以显示)——打开对话框,用于创建、编辑捕捉过滤器——打开对话框,用于创建、编辑显示过滤器——定义以彩色方式显示数据包的规则——打开首选项对话框——打开帮助对话框3.3过滤工具栏点击Filter按钮会弹出display filter对话框这个和在工具栏上输入协议来查找包的结果是一样的,只是它方便点●New——增加一个新的过滤器到列表中。
当前输入的Fiter name,Filter string将会被使用并被保存,如果这些都为空,将会设置为“new”。
●Delete——删除选中的过滤器。
如果没有过滤器被选中则为灰色●Filter name——修改当前选择的过滤器的名称。
注:过滤器名称仅用在此处为了区分方便而已,没有其他用处。
可以将多个过滤器使用同一个名称,但这样很不方便。
●Filter string——修改当前选中过滤器的内容。
仅适用显示过滤:在输入时进行语法检查。
●Add expression——仅适用显示过滤:打开增加表达式对话框,辅助创建过滤表达式。
●OK——仅适用显示过滤:应用当前显示选择的过滤器,关闭当前对话框。
●Apply——仅适用显示过滤:应用当前显示选择的过滤器。
●Cancel——放弃当前设置,关闭当前对话框。
点击Expression按钮,会出现Filter Expression对话框●Field name——从协议字段书中选择协议字段。
每个可过滤协议都放在第一级。
点击“+”展开列表,可以获得关于那些协议的可过滤字段。
●Relation——从可以关系列表中选择关系。
Is present是一元关系,如果选择的字段存在,表达式为真值。
其它关系为二元关系,需附加数据来完成。
如果从字段名列表选择一个字段,并选择一个二元关系,你可能需要输入值,也有可能是范围信息。
●Value——在此输入合适的配置值,输入的值同样要符合你选择的field name的属性值类型。
●Predefined values——有些协议字段包含预设值可用,这点和C语言中的枚举变量类似。
如果选择的协议有这样的值定义,你可以再次选择。
在工具栏上输点击在此区域输入或修改显示的过滤字符,在输入过程中会进行语法检查。
如果您输入的格式不正确,或者未输入完成,则背景显示为红色。
直到您输入合法的表达式,背景会变为绿色。
你可以点击下拉列表选择您先前键入的过滤字符。
列表会一直保留,即使您重新启动程序。
3.4封包列表封包列表中显示所有已经捕获的封包。
在这里您可以看到发送或接收方的MAC/IP地址,TCP/UDP端口号,协议或者封包的内容。
如果捕获的是一个OSI layer2的封包,您在Source(来源)和Destination(目的地)列中看到的将是MAC 地址,当然,此时Port(端口)列将会为空。
如果捕获的是一个OSI layer3或者更高层的封包,您在Source(来源)和Destination(目的地)列中看到的将是IP地址。
Port(端口)列仅会在这个封包属于第4或者更高层时才会显示。
您可以在这里添加/删除列或者改变各列的颜色:Edit menu->Preferences。
3.5封包列表信息这里显示的是在封包列表中被选中项目的详细信息。
信息按照不同的OSI layer进行了分组,您可以展开每个项目查看。
3.616进制数据“解析器”在Wireshark中也被叫做“16进制数据查看面板”。
这里显示的内容与“封包详细信息”中相同,只是改为以16进制的格式表述。
4wireshark实时捕捉数据包使用wireshark捕捉数据包可以使用下面几种方式:∙使用打开捕捉接口对话框,浏览可用的本地网络接口,选择需要进行捕捉的接口启动捕捉∙使用"捕捉选项"按钮启动对话框开始捕捉。
∙如果前次捕捉时的设置和现在的要求一样,可以点击"开始捕捉"按钮或者是菜单项立即开始本次捕捉。
∙如果已经知道捕捉接口的名称,可以使用如下命令从命令行开始捕捉:wireshark-i eth0–k此命令会从eht0接口开始捕捉。
4.1捕捉接口对话框如果从捕捉菜单选择interface按钮(或者从主工具栏选择),wireshark 弹出Capture Interface/捕捉接口对话框。
这个对话框只显示本地已知的网络接口,wireshark可能无法检测到所有的本地接口,wireshark不能检测远程可用的网络接口,只能列出可用的网络接口。
●IP——wireshark能解析的第一个IP地址,如果接口未获得IP地址(如,不存在可用的DHCP服务器),将会显示”unkown”,如果有超过一个IP的,只显示第一个(无法确定显示哪一个)。
●Packets——打开该窗口后,从此接口捕捉到的包的数目。
如果一直没有接收到包,则会显示为灰色。
●Packets/s——最近一秒捕捉包的数目。
如果最近一秒没有捕捉到包,将会是灰色显示。
●Stop——停止当前包的捕捉。
●Capture——从选择的接口立即开始捕捉,使用最后一次捕捉的设置。
