Wireshark使用总结

1.如何调整时间格式
视图->显示时间格式
2.如何添加列
在三栏界面的中间栏（详细信息栏，比特栏的上方）右击某个列->应用为列
3.如何隐藏某个列
右击抓包列表，把某个列前面的勾去掉。显示某个列则相反
4.如何删除某个列
右击抓包列表上的某个列，删除列。删除列后可参考2进行列的添加
5.如何应用名称解析（MAC地址解析，解析网络名称，解析传输层名称）
捕获->选项(标签页)->勾选解析名称，很耗资源，酌情启闭
6.数据包操作
1)标记数据包
抓包列表->右键->对话着色->根据不同协议进行不同的色彩标记。但是这种标记是一次性的，重启wireshark后着色配置将消失
新建着色规则：
视图->着色规则->根据需要新建标记颜色
应用着色规则：
视图->着色分组列表；或者使用快捷菜单栏上的快捷图标
2)注释数据包
右键分组列表->分组注释
3)合并数据包
文件->合并
4)打印数据包
文件->打印
5)导出数据包
文件->导出
7.首选项设置
编辑->首选项
1）修改默认打开目录
对打开文件夹中的文件 进行设置
2）修改用户界面
3）修改抓包设置
4）修改名字解析
8.抓包设置
捕捉->选项
1）抓多文件
主要作用是定时或者定量保存抓包文件（当临时文件达到指定大小或者抓包时长达到指定时间，会将临时文件刷入磁盘并清空临时文件重新抓包），否则当抓包数据量过大时，不设置抓多文件，全部采用临时文件的方式，软件会因为内存溢出而崩溃。（临时文件都是保存在内存中的）
如何查看当前临时文件的大小：在wirehark主界面的底部
2）定时器
3）过滤器
4）如何在抓包时不实时显示抓包分组
捕获->选项->选项->去掉勾选 实时更新分组列表和实时捕获时自动滚屏
9.过滤器设置
1）抓包过滤器（根据过滤器进行过滤抓取）
通过 捕获->输入->所选择接口的捕获过滤器 进行过滤 为抓包过滤
2）显示多滤器（全抓，但是根据过滤器进行过滤显示）
不通过1)，通过主界面快捷方式栏下面的过滤 为显示过滤，可通过输入框后的表达式辅助输入过滤原则。
注意：两者的语法有差别，注意查看手册
10.数据流追踪
功能：将特定协议数据流重组并完整呈现出来
操作：在抓包栏中的欲追踪的某个协议的该行右击->追踪流
或者 分析->追踪流
11.专家信息说明
功能：对数据包中特定状态进行警告说明:错误，警告，对话，注意
操作：分析->专家信息
快捷方式在主界面最左下角的那个黄色圆圈
12.统计摘要说明
功能：对抓取的数据包进行全局统计
操作：统计->捕获文件属性
快捷方式在主界面最左下角的那个笔
13.协议分层统计
功能：统计通信流量中不同协议所占百分比，可以对全网流量有直观的了解，对某些占比不正常的协议进行分析，发现背后的一些问题（如黑客攻击等）
操作：统计->协议分级
14.网络会话统计
统计通信会话之间接收和发送的数据包和字节数，通过这个工具可以找出网络中哪个会话（ip地址或端口号）最占用带宽，可以进一步改进网络策略
主要看IPV4 Packets 和 Bytes
操作：统计->对话
15.网络节点统计
功能：统计通信会话中每个节点接收和发送的字节数，通过这个工具可以找出网络中哪个节点（IP地址或端口号）最占用带宽
操作：统计->端点
16.数据包长度
功能：统计数据流量中包长度的分布
Percent看的比较多
操作：统计->分组长度
17.IO图表
功能:对网络中的吞吐流量进行实时图形显示
操作：统计->I/O图表
18.数据流图
功能：将会话通信过程图形可视化出来
操作：统计->流量图
视频教程：http://study.163.com/course/courseMain.htm?courseId=1004178077
备注：以上内容对Version 2.6.1 (v2.6.1-0-g860a78b3)有效，不同版本可能存在些许不同


书籍推荐：
《Wireshark数据包分析实战》 Chris Sanders
《Wireshark网络分析》Laura Chappell
《TCP/IP协议栈解卷一》W.Richard Stevens