Wireshark安装完成后,就可以打开,具体运行界面如下
一、菜单——用于开始操作
- File ——包括打开、合并捕捉文件,save/保存,Print/打印,Export/导出捕捉文件的全部或部分。以及退出Wireshark 项。
-
Edit ——包括如下项目:查找包,时间参考,标记一个多个包,设置预设参 数。(剪切,拷贝,粘贴不能立即执行。)
-
View ——控制捕捉数据的显示方式,包括颜色,字体缩放,将包显示在分 离的窗口,展开或收缩详情面版的地树状节点
- GO ——包含到指定包的功能
-
Capture——控制抓包的对话框,包括接口,选项,开始/停止/重新开始和过 滤器
-
Analyze ——包含处理显示过滤,允许或禁止分析协议,配置用户指定解码 和追踪TCP 流等功能
-
Statistics ——包括的菜单项用户显示多个统计窗口,包括关于捕捉包的摘 要,协议层次统计等等
-
Help ——包含一些辅助用户的参考内容。如访问一些基本的帮助文件,支持 的协议列表,用户手册
二、工具栏
- 打开接口列表对话框
- 打开捕捉选项对话框
- 使用最后一次的捕捉设置立即开始捕捉
- 停止当前捕捉
- 停止当前捕捉并立即重新开始
- 启动打开文件对话框,用于载入文件
-
保存当前文件为任意其他的文件,它将会弹出一个保存对话框(注:如果当前文件是临时未保存文件,图标将会显示为)
- 关闭当前文件。如果未保存,将会提示是否保存
- 重新载入当前文件
- 打印捕捉文件的全部或部分,将会弹出一个打印对话框
- 打开一个对话框,查找包
- 返回历史记录的上一个
- 跳转到历史记录中的下一个包
- 弹出一个设置跳转到指定的包的对话框
- 跳转到第一个包
- 跳转到最后一个包
- 切换是否以彩色方式显示包列表
- 开启/关闭实时捕捉时自动滚动包列表
- 增大字体
- 缩小字体
- 设置缩放大小为100%
- 重置列宽,是内容适合列宽(使包列表内的文字可以显示)
- 打开对话框,用于创建、编辑捕捉过滤器
- 打开对话框,用于创建、编辑显示过滤器
- 定义以彩色方式显示数据包的规则
- 打开首选项对话框
- 打开帮助对话框
三、过滤工具栏
点击Filter 按钮会弹出display filter 对话框,这个和在工具栏上输入协议来查找包的结果是一样的,只是它方便点
-
New——增加一个新的过滤器到列表中。当前输入的Fiter name,Filter string 将会被使用并被保存,如果这些都为空,将会设置为―new
- Delete——删除选中的过滤器。如果没有过滤器被选中则为灰色
-
Filter name——修改当前选择的过滤器的名称。注:过滤器名称仅用在 此处为了区分方便而已,没有其他用处。可以将多个过滤器使用同一个 名称,但这样很不方便
-
Filter string——修改当前选中过滤器的内容。仅适用显示过滤:在输入 时进行语法检查
-
Add expression——仅适用显示过滤:打开增加表达式对话框,辅助创 建过滤表达式
- OK——仅适用显示过滤:应用当前显示选择的过滤器,关闭当前对话框
- Apply——仅适用显示过滤:应用当前显示选择的过滤器
- Cancel——放弃当前设置,关闭当前对话框
点击Expression 按钮,会出现Filter Expression 对话框
-
Field name——从协议字段书中选择协议字段。每个可过滤协议都放在 第一级。点击+展开列表,可以获得关于那些协议的可过滤字段
-
Relation——从可以关系列表中选择关系。Is present 是一元关系,如果 选择的字段存在,表达式为真值。其它关系为二元关系,需附加数据来 完成。如果从字段名列表选择一个字段,并选择一个二元关系,你可能 需要输入值,也有可能是范围信息
-
Value——在此输入合适的配置值,输入的值同样要符合你选择的field name 的属性值类型
-
Predefined values——有些协议字段包含预设值可用,这点和C 语言中 的枚举变量类似。如果选择的协议有这样的值定义,你可以再次选择
在工具栏上输:tcp 点击在此区域输入或修改显示的过滤字符,在输入过程中会进行语法检查。 如果您输入的格式不正确,或者未输入完成,则背景显示为红色。直到您输入合法的表达式,背景会变为绿色。你可以点击下拉列表选择您先前键入的过滤字符。列表会一直保留,即使您重新启动程序