wireshark：用户界面

准备

从shell或者从库管理器启动wireshark

主窗口

• 菜单：用于启动操作
• 主工具栏：提供对菜单中常用项的快速访问。
• 过滤器工具栏：允许用户设置显示过滤器过滤显示的数据包
• 数据包列表窗格：显示捕获的每个数据包的摘要。通过单击此窗格中的数据包，可以控制其他两个窗格中显示的内容。
• 数据包详细信息窗格：更详细地显示数据包列表窗格中选定的数据包。
• 数据包字节窗格：显示“数据包列表”窗格中选定数据包中的数据，并突出显示“数据包详细信息”窗格中选定的字段。
• 状态列：显示有关当前程序状态和捕获数据的一些详细信息。

菜单

• 文件：
  • 打开和合并捕获文件、
  • 保存、打印或导出全部或部分捕获文件
  • 退出Wireshark应用程序的项目
• 编辑：
  • 查找数据包、时间参考
  • 标记一个或多个数据包、处理配置文件和设置首选项的项
• 视图：
  • 控制捕获数据的显式
  • 包括包的颜色化、字体缩放、在单独的窗口中显示数据包、在数据包详细信息中展开等
• 跳转：
  • 转到特定数据包的项目
• 捕获：
  • 启动和停止捕获以及编译捕获过滤器
• 分析：
  • 操作显示过滤器
  • 启动或者禁用协议分离
  • 配置用户指定的解码
  • 跟踪TCP流的项目
• 统计：
  • 显示各种统计窗口的项目
  • 包括已经捕获的数据表的摘要、显示协议层次结构统计信息等等
• 电话：
  • 显示各种电话相关统计窗口的项目
  • 包括媒体分析、流程图、显示协议层次统计等等
• 无线：
  • 显示蓝牙和IEEE 802.11无线统计信息的项目
• 工具
  • 包含帮助用户的项目，例如访问一些基本帮助、各种命令行工具的手册页、联机访问某些网页以及常见的“关于”对话框

文件

• Open：加载要查看的捕获文件
• Open Recent： 打开最近打开的捕获文件
• 合并：将捕获文件合并到当前加载的文件中
• 从Hex转储导入： 将打开“导入文件”对话框， 以便将包含十六进制转储的文本文件导入到新的临时捕获中
• 关闭：
  • 关闭当前菜单项
  • 如果您还没有保存捕获，系统会要求您先保存（这可以通过首选项设置禁用）。
• 保存
  • 如果您已经保存了当前捕获，此菜单项将变灰
  • 正在进行捕获时，无法保存实时捕获。你必须停止捕获才能保存。
• 另存为：
  • 此菜单项允许您将当前捕获文件保存到所需的任何文件中。
  • 它将弹出“将捕获文件另存为”对话框
• 文件集–列出文件：显示文件集中的文件列表
• 文件集–下一文件：
  • 如果当前加载的文件是文件集的一部分，请跳到文件集中的下一个文件。
  • 如果它不是文件集的一部分或只是该文件集中的最后一个文件，则此项将灰显。
• 文件集–上一文件：
  • 如果当前加载的文件是文件集的一部分，请跳转到该文件集中的上一个文件。
  • 如果它不是文件集的一部分或只是该文件集中的第一个文件，则此项将灰显。
• 导出指定的数据包：
  • 将capturefile中的所有（或部分）数据包导出到文件。
  • 它将弹出Wireshark导出对话框
• 导出对象：
  • 将捕获的DICOM、HTTP、IMF、SMB或ftp对象导出到本地文件中。
  • 它会弹出一个相应的对象列表
• 打印：
  • 打印捕获文件中的所有（或部分）数据包。
  • 它将弹出Wireshark Print（Wireshark打印）对话框
• 退出：
  • 退出Wireshark。
  • Wireshark将要求保存您的捕获文件，如果您以前没有保存它（这可以通过引用设置禁用）。

编辑

可以查找数据包、时间参考或者标记一个盒子多个数据包，处理配置文件和配置首选项的项；

• 复制： 将当前选定的数据包的数据包列表、数据包详细信息或者属性复制到剪贴板
• 查找分组（数据包）： 打开一个工具栏，以便按照多种标准查找数据包
• 查找下一个：查询与“查找分组”中的设置相匹配的下一个数据包
• 查找上一个：查询与“查找分组”中的设置相匹配的上一个数据包
• Mark/Unmark Packet(s)：标记/取消当前选定的分组
• 标记所有显示的分组：标记所有显示的数据包
• Unmark All Displayed：取消标记所有显示的数据包
• 下一标记：找到下一个标记的数据包
• 前一标记：找到上一次标记的数据包
• Ingore/Unignore Packet(s)：将当前选定的数据包标记为已忽略
• 忽略所有显示的分组：将所有显示的数据包标记为忽略
• Unignore All Displayed：取消标记所有忽略的数据包
• 设置/取消设置 时间参考：设置当前选定数据包的时间参考
• 取消设置所有时间参考：删除数据包上所有的时间引用
• 下一时间参考：尝试查找下一次引用的数据包。
• 前一时间参考：尝试查找以前引用的数据包
• 时间平移：打开“时间偏移”对话框，以调整某些或所有数据包的时间。
• 分组注释：
  • 打开“数据包注释”对话框，可在其中向单个数据包添加注释
  • 请注意，保存数据包注释的能力取决于您的文件格式。E、 g.pcapng支持注释，pcap不支持
• 删除所有分组注释：删除所有数据包中的所有注释
• Configuration Profiles：处理配置文件
• 首选项：
  • 将打开一个对话框，允许您为控制Wireshark的任何参数设置首选项
  • 您还可以保存您的首选项，以便下次启动时Wireshark将使用它们

视图

• 主工具栏：隐藏或显示主工具栏
• 过滤器工具栏：隐藏或显示过滤器工具栏
• 状态栏：隐藏或显示状态栏
• 分组列表：隐藏或显示数据包列表窗格
• 分组详情：隐藏或显示数据包详细信息窗格
• 分组字节流：隐藏或显示数据包字节窗格

• 时间显示格式：wireshark以xxx格式显示捕获到的包的时间
  
• Name Resolution - 编辑解析的名称：触发当前数据包的名称解析
• Name Resolution - 解析物理地址：控制Wireshark是否将MAC地址转换为名称
• Name Resolution - 解析网络地址：控制Wireshark是否将网络地址转换为名称
• Name Resolution - 解析传输层地址：是否将传输地址转换为名称

• 缩放–放大：放大数据包数据（增大字体大小）。
• 缩放–缩小：缩小数据包数据（减小字体大小）。
• 缩放–普通大小：将缩放级别设置回100%（将字体大小设置回正常）。

• 展开子树：展开数据包详细信息树中当前选定的子树。

• 折叠子树：折叠数据包详细信息树中当前选定的子树。

• 展开全部：

  • Wireshark保留所有展开的协议子树的列表，并使用它确保在显示数据包时展开正确的子树。
  • 此菜单项展开捕获中所有数据包中的所有子树。

• 收起全部：折叠捕获列表中所有数据包的树视图。
  

• 着色分组列表：

  • 控制Wireshark是否应为数据包列表着色。
  • 启用着色将减慢捕获或加载捕获文件时新数据包的显示速度。
    

• 着色规则：

  • 此菜单项将打开一个对话框，允许您根据您选择的筛选表达式为数据包列表窗格中的数据包着色。
  • 它对于识别某些类型的数据包非常有用

• 对话着色：

  • 打开一个子菜单，允许您根据当前选定数据包的地址在数据包列表窗格中为数据包上色。
  • 这使得区分属于不同对话的包变得很容易。

• 对话着色–重置着色：清除所有临时着色规则

• 对话着色–新建着色规则：此菜单项将打开一个对话框窗口，在该窗口中可以根据当前选定的对话创建新的永久着色规则。

• 重新载入为文件格式/捕获：

  • 在单独的窗口中显示选定的数据包。
  • 单独的窗口仅显示数据包的详细信息和字节。

• 重新加载：重新加载当前捕获文件。
  

• 内部：有关各种内部数据结构

  • Conversation Hash Tables：显示用于标识每个对话的元组（地址和端口组合）
  • Dissector Tables：显示子部件关系表
  • Supported Protocols：显示支持的协议和协议字段。

跳转

• 转至分组：打开一个窗口框，允许您指定数据包编号，然后转到该数据包
• 下一分组：移到列表中的上一个数据包。
• 前一分组：移动到列表中的下一个数据包。
• 首个分组：跳转到捕获文件的第一个数据包。
• 最新分组：跳到捕获文件的最后一个数据包。
• 实时捕获时自动滚动：
  • 此项允许您指定Wireshark在新数据包到来时滚动数据包列表窗格，因此您总是在查看最后一个数据包。
  • 如果不指定，Wireshark只会在列表的末尾添加新的数据包，但不会滚动数据包列表窗格。
    

捕获

• 选项：
  • 显示“捕获选项”对话框
  • 可用于配置接口和捕获选项
• 开始：开始捕获数据
• 停止：停止当前正在的捕获
• 重新开始： 重新开始捕获数据
• 捕获过滤器：显示一个对话框，以创建和编辑捕获过滤器
• 刷新接口列表：清除并重新创建接口列表
  

分析

• Display Filters：显示一个对话框，允许您创建和编辑显示过滤器
• 显示过滤器宏：显示一个对话框，允许您创建和编辑显示过滤器宏
• 应用为列：将数据包详细信息窗格中选定的协议项作为列添加到数据包列表中
• 作为过滤器应用：
  • 更改当前显示过滤器并立即应用它
  • 根据所选菜单项，当前显示筛选器字符串将被替换或者附加到数据包详细信息中的所选协议字段
• Prepare as Filter：
  • 更改当前显示筛选器，但不会应用它。
  • 根据Hosen菜单项，当前显示筛选器字符串将被数据包详细信息窗格中的所选协议字段替换或追加。
• 对话过滤器：为各种协议应用会话筛选器。
• 启动的协议：启用或禁用各种协议剖析器。
• 解码为：将某些数据包解码为特定协议

• 追踪流 --> TCP流：打开一个窗口，其中显示与选定数据包在同一个TCP连接上不会的所有TCP段

• 追踪流 --> UDP流：打开一个窗口，其中显示与选定数据包在同一个TCP连接上不会的所有UDP流

• 追踪流 --> TLS流：打开一个窗口，其中显示与选定数据包在同一个TCP连接上不会的所有TLS、SS流

• 追踪流 --> HTTP流：打开一个窗口，其中显示与选定数据包在同一个TCP连接上不会的所有HTTP流
  

• 专家信息：

  • 打开一个显示在捕获中找到的专家信息的窗口
  • 某些协议剖析器为显著或者异常行为添加数据包详细信息，比如无效校验和或重新传输。这些项显示在此处
  • 信息量因协议而异

统计

• 捕获文件属性：显示有关捕获文件的信息
• 已解析的地址：
• 协议分级：显示协议统计信息的层次树
• Conversations：显示对话列表（两个端点之间的通信量）
• Endpoints：显示端点列表（来自地址的流量）
• 分组长度：数据包长度
• I/O Graphs：显示用户指定的图形（例如，一段时间内的数据包数）
• Service Response Time：显示请求与相应响应之间的时间
• DHCP (BOOTP)：
• ONC-RPC Programs：
• 29West：
• HTTP：HTTP请求/响应统计信息

电话

每个菜单项显示特定的电话相关统计信息

无线

Wireless（无线）菜单允许您分析Bluetooth和IEEE 802.11无线LAN活动，每个菜单项显示特定的蓝牙和ieee802.11统计信息。

工具

• 防火墙ACL规则：
  • 这允许您为许多不同的防火墙产品创建命令行ACL规则，包括Cisco IOS、Linux Netfilter（iptables）、OpenBSD pf和Windows防火墙（通过netsh）。支持MAC地址、IPv4地址、TCP和UDP端口以及IPv4端口组合的规则。
  • 假设规则将应用于外部接口。
  • 除非在数据包列表中选择了一个（并且只有一个）帧，否则菜单项将灰显。
• 证书：
  • 这允许您从当前捕获文件中提取凭据。
  • 一些剖析器（ftp、http、imap、pop、smtp）已经被插入指令，为模块提供用户名和密码，将来还会插入更多的解析器。
  • 窗口对话框提供找到凭据的数据包编号、提供凭据的协议、用户名和特定于协议的信息。
• Lua：
  • 这些选项允许您使用Wireshark中可选的Lua解释器。
  • Lua菜单结构由Wireshark安装目录中的console.Lua设置。

帮助

• 内容：此菜单项将打开基本帮助系统。
• 说明文档：此菜单项启动一个Web浏览器，其中显示一个本地安装的html手册页
• 网站：此菜单项将启动一个Web浏览器，其中显示的网页来自：https://www.wireshark.org/
• 提问（问答平台）：此菜单项将启动显示各种常见问题解答的Web浏览器。
• 下载：此菜单项将启动一个Web浏览器，其中显示从以下位置下载的内容：https://www.wireshark.org/download.html .
• Wiki：此菜单项将启动显示首页的Web浏览器： https://gitlab.com/wireshark/wikis/
• 捕获示例：此菜单项将启动一个Web浏览器，其中显示来自以下位置的示例捕获：https://gitlab.com/wireshark/wireshark/wikis/samplecaptures .
• Check for Updates：检测更新
• 关于Wireshark： 这个菜单项会打开一个信息窗口，提供关于Wireshark的各种详细信息，比如它是如何构建的、加载的插件、使用的文件夹…​
  

过滤器

下面是说明：

• 书签：管理或选择保存的筛选器。

• 过滤器输入：
  • 要输入或编辑显示筛选器字符串的区域
  • 键入时，将对筛选器字符串进行语法检查
    • 如果输入不完整或无效的字符串，背景将变为红色
    • 如果当输入有效字符串时，背景将变为绿色

• 清除：重置当前显示过滤器并清除编译区域

• 应用：
  • 将编辑区域中的当前值应用为新的显示过滤器
  • 对大型捕获文件应用显示筛选器可能需要相当长的时间

• 最近：从最近应用的筛选器列表中选择。

• 添加一个新筛选器。点击之后如下：
  

数据包列表 (Packet List)

数据包列表窗格显示当前捕获文件中的所有数据包。
（1）包列表中的每一行对应于捕获文件中的一个包。
（2）如果您在此窗格中选择一行，更多详细信息将显示在“PacketDetails”和“Packet Bytes”窗格中。

（3）显示哪些列可以通过首选项设置


（4）默认显示哪些列：

• No：捕获文件中数据包的编号。即使使用了显示过滤器，这个数字也不会改变。
• Time：数据包的时间戳
• Source：数据包的源地址
• Destination：数据包的目的地址
• Protocol：协议名称
• Length：每个包的长度
• Info：关于数据包内容的附加信息
  

（5）每个数据包与所选数据包的关系

具体符号：

• 会话中的第一个包
  
• 所选对话的一部分

• 不是所选对话的一部分
  
• 对话中的最后一个包
  
• 请求

• 回应

• 所选数据包确认此数据包。

• 所选数据包是此数据包的重复确认。

• 所选数据包以其他方式与该数据包相关，例如作为重组的一部分

（6）右键单击将显示上下文菜单

数据包详细信息窗格（Packet Details）

数据包详细信息窗格以更详细的形式显示当前数据包（在“数据包列表”窗格中选择）

（1）数据包的协议和字段显示在树中，可以展开和折叠。
（2）有一个上下文菜单（鼠标右键单击）

（3）某些协议字段具有特殊含义。

• 生成的字段：
  • wireshark本身将生成捕获数据中不存在的额外的协议信息
  • 此信息用方括号（“[”和“]）”括起来
  • 生成的信息包括响应时间、TCP分析、IP地理位置信息和检验和验证
• 链接：
  • 如果wireshark在捕获文件中检测到与另一数据包的关系，它将生成一个指向该数据包的链接
  • 链接带有下划线并以蓝色显示。
  • 如果你双击一个链接，Wireshark会跳转到相应的数据包

数据包字节窗口（Packet Bytes）

数据包字节窗口以十六进制转储样式显示了当前数据包的数据（在“数据包列表”窗格中选择）

“数据包字节”窗格显示一个规范十六进制转存包数据的。每行包含数据偏移量、16个十六进制字节和16个ASCII字节。不可打印的字节将替换为句点.

根据数据报的数据，有时会有多个页面可用，比如wireshark将一些数据包重新组合成一个单独的数据块。在这种情况下，你可以通过单击窗格底部响应的选项卡来查看每个数据源

默认的查看模式将突出显示鼠标指针悬停在上面的字段的字节。高亮显示将跟随鼠标光标移动。如果不需要此突出显示，有两种方法可以停用该功能

• 临时的：通过在移动鼠标的同时按住Ctrl按钮，高亮显示的字段将不会更改
• 永久地：使用上下文菜单（鼠标右键单击）可以激活/停用悬停选择。此设置存储在选定的配置文件中最近的文件

状态栏

状态栏信息性消息。

通常，左侧将显示与上下文相关的信息，中间部分将显示有关当前捕获文件的信息

初始状态栏

此状态栏在未加载捕获文件时显示

带有已加载捕获文件的状态栏

说明

• 彩色子弹：专家级别信息。单击该图标将显示“专家信息”对话框。
• 编辑图表：将打开一个【捕获文件属性对话框】
• 左边
  • 默认显示捕获文件名
  • 当鼠标悬停在“数据包详细信息”和“数据包字节”窗格中选择项目时，还会显示字段信息，以及常规通知
• 中间：
  • 显示捕获文件中的当前数据包数
  • 当鼠标悬停在“数据包详细信息”和“数据包字节”窗格中选择项目时，还会显示字段信息，以及常规通知。
• 右边：
  • 显示所选的配置文件
  • 单击状态栏的这一部分将显示一个包含所有可用配置文件的菜单，从该列表中选择将更改配置文件。

带有配置配置文件菜单的状态栏

带有选定协议字段的状态栏

• Packets：捕获的数据包数
• Displayed：当前显示的数据包数
• Marked：标记的数据包数。
• Dropped：仅当wireshark无法捕获所有数据包时，才会显示丢弃的数据包数
• Ignored：仅当忽略任何数据包时才显示被忽略的数据包数