西西软件园多重安全检测下载网站、值得信赖的软件下载站！
→ wireshark使用教程中文
类型：Mac网络工具大小：25.1M语言：中文 评分：10.0
Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。
软件名称：
Wireshark(网络嗅探)
软件版本：
v1.4.9 中文版(包含中文手册+主界面的操作菜单)
软件大小：
软件语言：
适用平台：
WinAll, WinXP, Win7, win8
下载地址：
网络封包分析软件的功能可想像成 &电工技师使用电表来量测电流、电压、电阻& 的工作 - 只是将场景移植到网络上，并将电线替换成网络线。 在过去，网络封包分析软件是非常昂贵，或是专门属于营利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。Ethereal是目前全世界最广泛的网络封包分析软件之一。&第1章&介绍目录1.1.什么是&Wireshark1.1.1.&主要应用1.1.2.&特性1.1.3.&捕捉多种网络接口1.1.4.&支持多种其它程序捕捉的文件1.1.5.&支持多格式输出1.1.6.&对多种协议解码提供支持1.1.7.&开源软件1.1.8.&Wireshark&不能做的事1.2.系通需求1.2.1.&一般说明1.2.2.&Microsoft&Windows1.2.3.&Unix/Linux1.3.从哪里可以得到&Wireshark1.4.&Wiresahrk&简史1.5.&Wireshark&开发维护1.6.汇报问题和获得帮助1.6.1.&网站1.6.2.&百科全书1.6.3.&FAQ1.6.4.&邮件列表1.6.5.&报告问题1.6.6.&在&UNIX/Linux&平台追踪软件错误1.6.7.&在&Windows&平台追踪软件错误Wireshark是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包，&并尝试显示包的尽可能详细的情况。你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具，就好像使电工用来测量进入电信的电量的电度表一样。（当然比那个更高级）过去的此类工具要么是过于昂贵，要么是属于某人私有，或者是二者兼顾。Wireshark&出现以后，这种现状得以改变。Wireshark&可能算得上是今天能使用的最好的开元网络分析软件。1.1.1.主要应用下面是&一些应用的举例：网络管理员用来解决网络问题网络安全工程师用来检测安全隐患开发人员用来测试协议执行情况用来学习网络协议除了上面提到的，还可以用在其它许多场合。1.1.2.特性支持&和&平台在接口实时捕捉包能详细显示包的详细协议信息可以打开保存捕捉的包可以导入导出其他捕捉程序支持的包数据格式可以通过多种方式过滤包多种方式查找包通过过滤以多种色彩显示包创建多种统计分析…还有许多不管怎么说，要想真正了解它的强大，您还得使用它才行图1.1.&Wireshark&捕捉包并允许您检视其内容1.1.3.捕捉多种网络接口Wireshark可以捕捉多种网络接口类型的包，哪怕是无线局域网接口。想了解支持的所有网络接口类型，&可以在我们的网站上找到&http://wiki.wireshark.org/CaptureSetup/NetworkMedia.1.1.4.支持多种其它程序捕捉的文件Wireshark&可以打开多种网络分析软件捕捉的包，详见1.1.5.支持多格式输出Wieshark&可以将捕捉文件输出为多种其他捕捉软件支持的格式，详见1.1.6.对多种协议解码提供支持可以支持许多协议的解码在&中可能被称为解剖1.1.7.开源软件Wireshark&是开源软件项目，用&协议发行。您可以免费在&任意数量的机器上使用它，不用担心授权和付费问题，所有的源代码在&框架下都可以免费使用。因为以上原因，人们可以很容易在&上添加新的协议，或者将其作为插件整合到您的程序里，这种应用十分广泛。1.1.8.&Wireshark不能做的事Wireshark&不能提供如下功能Wireshark&不是入侵检测系统。如果他她在您的网络做了一些他她们不被允许的奇怪的事情，不会警告您。但是如果发生了奇怪的事情，可能对察看发生了什么会有所帮助。[3]Wireshark&不会处理网络事务，它仅仅是测量监视网络。不会发送网络包或做其它交互性的事情（名称解析除外，但您也可以禁止解析）。[3]&译者注：因为不是入侵检测之用，所以不会将入侵检测和普通通信区别对待，但是都会体现在网络包里面，如果您有足够的经验，或许能通过监视网络包发现入侵检测1.2.系通需求想要安装运行&需要具备的软硬件条件1.2.1.一般说明给出的值只是最小需求，在大多数网络中可以正常使用，但不排除某些情况下不能使用。[4]在繁忙的网络中捕捉包将很容塞满您的硬盘！举个简单的例子：在100MBIT/s&全双工以太网中捕捉数据将会产生750MByties/min&的数据！在此类网络中拥有高速的&，大量的内存和足够的磁盘空间是十分有必要的。如果&运行时内存不足将会导致异常终止。可以在http://wiki.wireshark.org/KnownB&ugs/OutOfMemory&察看详细介绍以及解决办法。Wireshark&作为对处理器时间敏感任务，在多处理器&多线程系统环境工作不会比单独处理器有更快的速度，例如过滤包就是在一个处理器下线程运行，除了以下情况例外：在捕捉包时实时更新包列表，此时捕捉包将会运行在一个处理下，显示包将会运行在另一个处理器下。此时多处理或许会有所帮助。[5]1.2.2.&Microsoft&WindowsWindows&2000,XP&Home&版版，推荐在&下使用32-bit&奔腾处理器或同等规格的处理器（建议频率：或更高）处理器在&仿真环境下见一般说明128MB&系统内存（建议或更高）75MB&可用磁盘空间（如果想保存捕捉文件，需要更多空间）800*600（建议或更高）分辨率最少&色，色旧设备安装时需要选择网卡需求：以太网：支持的任何以太网卡都可以无线局域网卡：见&MicroLogix&support&list,不捕捉包头和无数据桢。其它接口见：http://wiki.wireshark.org/CaptureSetup/NetworkMedia说明基于以下三点原因，将不会对旧版&提供支持：没有任何开发人员正在使用那些操作系统，&这将使支持变得更加困难，运行所依赖的库文件（如&，等）也放弃对它们的支持。&同样，微软也放弃了对它们的技术支持。Windows&95,98&和&不能运行Wireshark。已知的最后一个可以运行在以上平台的版本是Ethereal0.99.0(&需要安&装WinPCap3.1),你依然可以使用从&/download.html&获得。顺便提一下：微软于&年月日停止对支持。Windows&NT&4.0今后将无法运行&最有一个已知版本是&需安装自带的&你依然可以从：http://prdownloads.sourceforge.net/wireshark/wireshark-setup-0.99.4.exe&得到它。顺便提一下：微软于2005&年月日停止&对NT&4.0的支持。Windows&CE&及嵌入版&（）不被支持。64-bit&处理器运行&需要在仿真环境下称作&最低需要安装&。支持多显示不知道是显示其还是监视器安装，但会遇到一些不可预料的问题。1.2.3.&Unix/LinuxWireshark&目前可以运行在许多&平台，系统可以对照上面&下的指标。&二进制包最少在以下平台可用：APPle&Mac&OSXDebian&GNU/LinuxFreeBSDNetBSDOpenPKGRed&Hat&Fedora/Enterprise&LinuxrPath&LinuxSun&Solaris/i386Sun&Solaris/Sparc如果二进制包在您的平台无法使用，你可以下载源文件并尝试编译它。wireshark-dev[AT]wireshark.org.分享您的经验。希望您能发送邮件到[4]译者注：原文“The&values&below&are&the&minimum&requirements&and&only&&rules&of&thumb&&for&use&on&a&moderately&usednetwork”，其中中译名应该是拇指规则，但网上关于拇指规则解释莫衷一是，大致意思是说：大多数情况下适用，但并非所有情况。这里翻译的有点别扭[5]&译者注：我对这句话的理解是，正如播放电影一样，高性能的处理器只会增强显示效果，您并不需要将原来分钟的影片分钟之内看完。当然，对减少延时还是有作用的。但是感觉这句有点阅读困难，可能翻译的有点问题1.3.从哪里可以得到&Wireshark你可以从我们的网站下载最新版本的Wireshark&http://www.wireshark.org/download.html.网站上您可以选择适合您的镜像站点。Wireshark&通常在周内发布一次新版本如果您想获得&发布的消息通知，你可以订阅&邮件列表。详见第1.6.4节“邮件列表1.4.&Wiresahrk简史[6]1997年以后，需要一个工具追踪网络问题并想学习网络知识。所以他开始开发Ethereal&(Wireshark&项目以前的名称以解决以上的两个需要。Ethereal&是第一版，经过数次开发，停顿，年，经过这么长的时间，补丁，报告，以及许多的鼓励，版诞生了。Ethereal&就是以这种方式成功的。此后不久，发现它的潜力，并为其提供了底层分析1998年月，正寻找一种比&更好的工具，他开始为&进行改进，并提供分析。998年以后，正在进行&教学的&关注了它在这些课程中的作用。并开始研究该软件是否他所需要的协议。如果不行，新协议支持应该很方便被添加。所以他开始从事&的分析及改进。从那以后，帮助&的人越来越多，他们的开始几乎都是由于一些尚不被Ethereal&支持的协议。所以他们拷贝了已有的解析器，并为团队提供了改进回馈。2006年项目&（这句不知道怎么翻译）并重新命名为：[6]&本段因为有很多协议，程序开发方面的术语，翻译得比较糟糕1.5.&Wireshark开发维护Wireshark&最初由&开发。目前由&进行进一步开发和维护。是一个由修补&提高&功能的独立成员组成的松散组织。有大量的成员为&提供协议分析。同时我们也希望这些活动能持续机芯。通过查看&帮助菜单下的&你可以找到为&提供代码的人员名单，或者你也可以通过&网站的&authors&页面找到。Wireshark是开源软件项目，发布遵循&GNU&General&Public&Licence&(GPL&协议所有源代码可以在&框架下免费使用。欢迎您修改&以便适合您的需要，如果您可以提供您的改进给&，我们将不胜感激。为&提供您的改进建议，有以下益处：如果其他人发现您提供的改进十分有用会肯定它们的价值，您将会得知你曾像&一样帮助过他人The&developers&of&Wireshark&might&improve&your&changes&even&more,&as&there's&always&room&for&improvement.&Or&they&mayimplement&some&advanced&things&on&top&of&your&code,&which&can&be&useful&for&yourself&too.The&maintainers&and&developers&of&Wireshark&will&maintain&your&code&as&well,&fixing&it&when&API&changes&or&other&changes&aremade,&and&generally&keeping&it&in&tune&with&what&is&happening&with&Wireshark.&So&if&Wireshark&is&updated&(which&is&done&often),you&can&get&a&new&Wireshark&version&from&the&website&and&your&changes&will&already&be&included&without&any&effort&for&you.Wireshar源代码和二进制kits（二进制工具包？）可以根据自己的平台对应下载，网站是：http://www.wireshark.org/download.html.1.6.汇报问题和获得帮助如果您在使用中碰到了问题，或者您需要&的帮助，有以下几种可能让您有兴趣的方法（当然，还包括这本书）。1.6.1.网站通过访问&http://www.wireshark.org&你将会发现关于&许多有用的信息。1.6.2.百科全书Wireshark&Wiki&(http://wiki.wireshark.org)提供广泛的跟&以及捕捉包有关信息。你将会发现一些没有被包括在本书内信息，例如：上有解释如何在交换网络捕捉包，同时我们正努力建立协议参考，等等。最好的事情是，如果对某些知识有独到见解（比如您精通某种协议），您可以通过浏览器编辑它。1.6.3.&FAQ最经常被问到的问题提供一个经常被问到的问题以及答案的列表。Read&The&FA在您发送任何邮件到邮件列表之前，确信您已经阅读了&，因为这里面很可能已经提供了您想问的问题，答案。这将大大节约您的时间（记住，有很多人提交了大量的邮件）。1.6.4.邮件列表下面的几个几个邮件列表，分别属于不同的主题：Wireshark-users这是一个&用户的列表，大家提交关于安装和使用&的问题，其它人（非常有用）提供的答案。（译者注：其他人当然也是指用户？）wireshark-announce这是一个关于程序发布信息的列表，通常每周出现一次。wireshark-dev这是一个关于&开发的邮件列表，如果开始开发协议分析，可以从加入该列表你可以通过网站&http://www.wireshark.org&订阅每个邮件列表简单点击网站左手边的邮件列表链接就可以。邮件同样在网站上可以看到存档。提示你可以搜索存档看看有没有人问过跟你一样的问题，或许您的问题已经有了答案。这样您就不必提交邮件以等待别人答复您了。1.6.5.报告问题注意在您提交任何问题之前，请确定您安装的是最新版本的&。当您提交问题的时候，如果您提供如下信息将会对解决问题很有帮助。Wireshark&的版本，及其依赖的库的版本，如&，等等。你可以通过&Wireshark&Cv&命令获得版本号。（估计是&平台）。运行&的平台信息。关于问题的详细描述。如果您得到错误或者警告信息，拷贝错误信息的文本（以及在此之前或之后的文本，如果有的话），这样其他人可能会发现发生问题的地方。请不要发送诸如：[7]，因为这样看起来不是个好主意。不要发送大文件不要发送过大的文件（）到邮件列表，在邮件中附加一个能提供足够数据的记事本就可以。大文件会让很多邮件列表里的那些对您的问题不感兴趣的用户感到恼怒。如果需要，你可以单独发送那些数据给对您问题真正感兴趣，要求您发送数据的人。不要发送机密信息！如果您发送捕捉数据到邮件列表，请确定它们不包含敏感或者机密信息，比如密码或者诸如此类的。1.6.6.在&UNIX/Linux&平台追踪软件错误如果您发送捕捉数据到邮件列表，请确定它们不包含敏感或者机密信息，比如密码或者诸如此类的。你可以通过如下命令获得追踪信息：$&gdb&`whereis&wireshark&|&cut&-f2&-d:&|&cut&-d'&'&-f2`&core&&&bt.txtbacktrace^D$注意在逐字输入第一行的字符！[8]注意追踪是一个&GDB&命令。你可以在输完第一上以后输入它，但是会没有相应，命令（）将会退出&GDB&命令。以上命令让你在当前目录得到一个名为&的文本文件，它包含您的&报告。注意如果您缺少&GDB，您必须检查您的操作系统的调试器。你可以发送追踪邮件到&wireshark-dev[AT]wireshark.org邮件列表1.6.7.在&Windows&平台追踪软件错误Windows&下无法包含符号文件&它们非常大。因此不太可能创建十分有意义的追踪文件。你将汇报软件错误就像前面描述的其他问题一样。（这句不尽人意）[7]&译者注：那句话的意思是，我在&时碰到一个警告信息[8]&译者注：原文是：不知道是什么意思，后勤抽搐？熟悉&的或许知道第2章&编译/安装&Wireshark目录2.1.须知2.2.获得源2.3.在&UNIX&下安装之前2.4.在&UNIX&下编译&Wireshark2.5.在&UNIX&下安装二进制包2.5.1.&在&Linux&或类似环境下安装&RPM&包2.5.2.&在&Debian&环境下安装&Deb&包2.5.3.&在&Gentoo&Linux&环境下安装&Portage2.5.4.&在&FreeBSD&环境下安装包2.6.解决&UNIX&下安装过程中的问题2.7.在&Windows&下编译源2.8.在&Windows&下安装&Wireshark2.8.1.&安装&Wireshark2.8.2.&手动安装&WinPcap2.8.3.&更新&Wireshark2.8.4.&更新&WinPcap2.8.5.&卸载&Wireshark2.8.6.&卸载&WinPcap2.1.须知万事皆有开头，也同样如此。要想使用&，你必须：获得一个适合您操作系统的二进制包，或者获得源文件为您的操作系统编译。目前，只有两到三种&发行版可以传送&，而且通常传输的都是过时的版本。至今尚未有&版本可以传输Wireshark&.&Windows&的任何版本都不能传输&基于以上原因，你需要知道从哪能得到最新版本的&以及如何安装它。本章节向您展示如何获得源文件和二进制包，如何根据你的需要编译&源文件。以下是通常的步骤：下载需要的相关包，例如：源文件或者二进制发行版。将源文件编译成二进制包如果您下载的是源文件的话。这样做做可以整合编译和或安装其他需要的包。安装二进制包到最终目标位置。2.2.获得源你可以从&网站&http://www.wireshark.org.同时获取源文件和二进制发行版。选择您需要下载的链接，然后选择源文件或二进制发行包所在的镜像站点（尽可能离你近一点的站点）。下载所有需要的文件!一般来说，除非您已经下载&如果您想编译&源文件，您可能需要下载多个包。这些在后面章节会提到。注意当你发现在网站上有多个二进制发行版可用，您应该选择适合您平台的版本，他们同时通常会有多个版本紧跟在当前版本后面，那些通常时拥有那些平台的用户编译的。基于以上原因，您可能想自己下载源文件自己编译，因为这样相对方便一点。2.3.在&UNIX&下安装之前在编译或者安装二进制发行版之前，您必须确定已经安装如下包：GTK+,&The&GIMP&Tool&Kit.您将会同样需要&它们都可以从&www.gtk.org&获得。Libpcap&,&Wireshark&用来捕捉包的工具您可以从&www.tcpdump.org&获得。根据您操作系统的不同，您或许能够安装二进制包，如&或许您需要获得源文件并编译它。如果您已经下载了&源文件，例2.1&“从源文件编译&GTK+”提供的指令对您编译有所帮助。例2.1.从源文件编译&GTK+gzip&-dc&gtk+-1.2.10.tar.gz&|&tar&xvf&-./configuremake&installtest--------------注意您可能需要修改例2.1&“从源文件编译&GTK+”中提供的版本号成对应您下载的&版本。如果&的目录发生变更，您同样需要修改它。，显示您需要修改的目录。注意如果您使用&或者安装了&tar，您可以使用&tar&zxvfgtk+-1.2.10.tar.gz命令。同样也可能使用&gunzip或者&gzcat&而不是许多&中的&gzipd注意如果您在&中下载了&或者其他文件。您的文件可能名称为：如果在执行例2.1&“从源文件编译&GTK+”中的指令时有错误发生的话，你可以咨询&网站。如果您已经下载了&源，一般指令如例2.2&“&编译、安装&libpcap”显示的那样会帮您完成编译。同样，如果您的操作系统不支持&tcpdump,您可以从&tcpdump&网站下载安装它。例2.2.编译、安装&libpcapgzip&-dc&libpcap-0.9.4.tar.Z&|&tar&xvf&-cd&libpcap-0.9.4./configuremakemake&install注意Libpcap&的目录需要根据您的版本进行修改。tar&xvf&命令显示您解压缩的目录。RedHat&6.x&及其以上版本环境下（包括基于它的发行版，如&）您可以直接运行&安装所有的包。大多数情况下的&需要安装&和&反过来说，你可能需要安装所有包的定制版。安装命令可以参考例2.3&“在&RedHat&Linux6.2或者基于该版本得发行版下安装需要的&RPM&包。如果您还没有安装，您可能需要安装需要的&。例2.3.在&RedHat&Linux或者基于该版本得发行版下安装需要的&RPM&包cd&/mnt/cdrom/RedHat/RPMSrpm&-ivh&glib-1.2.6-3.i386.rpmrpm&-ivh&glib-devel-1.2.6-3.i386.rpmrpm&-ivh&gtk+-1.2.6-7.i386.rpmrpm&-ivh&gtk+-devel-1.2.6-7.i386.rpmrpm&-ivh&libpcap-0.4-19.i386.rpm注意如果您使用&之后的版本，需要的&包可能已经变化。您需要使用正确的RMPs&包。在&下您可以使用&命令。将会为您完成所有的操作。参见例2.4&“在&Deban&下安装&Deb”例2.4.在&Deban&下安装&Debapt-get&install&wireshark-dev2.4.在&UNIX&下编译&Wireshark如果在&操作系统下可以用如下步骤编译&源代码：如果使用&则解压&gzip'd文件如果您使用&，则解压&tar&文件。对于&命令如下：tar&zxvf&wireshark-0.99.5-tar.gz对于UNIX&版本，命令如下gzip&-d&wireshark-0.99.5-tar.gztar&xvf&wireshark-0.99.5-tar注意使用管道命令行gzip&Cdc&Wireshark-0.99.5-tar.gz|tar&xvf同样可以[9]注意如果您在&下下载了&你会发现文件名中的那些点变成了下划线。将当前目录设置成源文件的目录。配置您的源文件以编译成适合您的&的版本。命令如下：./configure如果找个步骤提示错误，您需要修正错误，然后重新&解决编译错误可以参考第2.6节“解决&UNIX&下安装过程中的问题”使用&命令将源文件编译成二进制包，例如：make安装您编译好的二进制包到最终目标，使用如下命令：make&install一旦您使用&安装了&您就可以通过输入&命令来运行它了。[9]&译者注：看到别人翻译&之类的，似乎就是叫管道，不知道是否准确2.5.在&UNIX&下安装二进制包一般来说，在您的&下安装二进制发行包使用的方式根据您的&的版本类型而各有不同。例如&下，您可以使用&安装，您可以使用setld&命令。2.5.1.在&Linux&或类似环境下安装&RPM&包使用如下命令安装&包rpm&-ivh&wireshark-0.99.5.i386.rpm如果因为缺少&依赖的软件而导致安装错误，请先安装依赖的软件，然后再尝试安装。REDHAT下依赖的软件请参考例2.3&“在&RedHat&Linux&6.2或者基于该版本得发行版下安装需要的&RPM&包2.5.2.在&Debian&环境下安装&Deb&包使用下列命令在&下安装&apt-get&install&Wiresharkapt-get会为您完成所有的相关操作2.5.3.在&Gentoo&Linux&环境下安装&Portage使用如下命令在&下安装&以及所有的需要的附加文件USE=&adns&gtk&ipv6&portaudio&snmp&ssl&kerberos&threads&selinux&&emerge&wireshark2.5.4.在&FreeBSD&环境下安装包使用如下命令在&下安装&pkg_add&-r&wiresharkpkg_add&会为您完成所有的相关操作2.6.解决&UNIX&下安装过程中的问题&[10]安装过程中可能会遇到一些错误信息。这里给出一些错误的解决办法：如果&configure&那一步发生错误。你需要找出错误的原因，您可以检查日志文件&在源文件目录下，看看都发生了哪些错误。有价值的信息通常在最后几行。一般原因是因为您缺少&环境，或者您的&版本过低。错误的另一个原因是因为因为缺少&这就是前面提到的捕捉包的工具。另外一个常见问题是很多用户抱怨最后编译、链接过程需要等待太长时间。这通常是因为使用老式的&sed&命令（比如&下传输）。自从&脚本使用&命令建立最终链接命令，常常会导致不可知的错误。您可以通过下载最新版本的&解决该问题&http://directory.fsf.org/GNU/sed.html.如果您无法检测出错误原因。发送邮件到&wireshark-dev&说明您的问题。当然，邮件里要附上config.log&以及其他您认为对解决问题有帮助的东西，例如&过程的追踪。[10]译者注：本人不熟悉&，这一段翻译的有点云里雾里，可能大家通过这部分想安装&会适得其反，那就对不住了。下面个人说一下&下安装方法。UNIX/LINUX&下安装时，有两种安装方式，是下载源码包自己编译，这种方式的好处是因为下载源码包是单一的，可以自行加以修改，编译就是适合自己平台的了。2、是利用已经做好的发行包直接安装，这种方法的好处是只要下载到跟自己平台对应的就可以，但缺点也在这里，不是每个平台都能找到合适的。不管是编译安装，还是使用发行包安装，都需要有一些有些基本基本支持。比如Linux&下的&支持，捕捉包时需要用的&这一点可以参考第2.3节“在&UNIX下安装之前”。编译的一般步骤是解压，编译，安装（tar&zxvfWireshark-0.99.5-tar.makeak&install）直接安装则是根据各自平台安装的特点。2.7.在&Windows&下编译源在&平台下，我们建议最好是使用二进制包直接安装，除非您是从事&开发的。&如果想了解关于&下编译安装&，请查看我们的开发&网站&http://wiki.wireshark.org/Development&来了解最新的开发方面的文档。2.8.在&Windows&下安装&Wireshark本节将探讨在&下安装&二进制包。2.8.1.安装&Wireshark您获得的&二进制安装包可能名称类似&安装包包含&所以您不需要单独下载安装它。您只需要在&http://www.wireshark.org/download.html#releases下载&安装包并执行它即可。除了普通的安装之外，还有几个组件供挑选安装。提示：尽量保持默认设置如果您不了解设置的作用的话。选择组件[11]Wireshark(包括&和&接口无法同时安装如果您使用&的&界面遇到问题可以尝试&，在&下色（）显示模式无法运行&但是某些高级分析统计功能在&下可能无法实现。Wireshark&GTK1-Wireshark&是一个&网络分析工具Wireshark&GTK2-Wireshark&是一个&网络分析工具（建议使用&模组工具）GTK-Wimp-GTKWimp是诗歌&窗口模拟看起来感觉像原生&程序，推荐使用TSshark-TShark是一个命令行的网络分析工具插件扩展分析引擎Dissector&Plugins-分析插件：带有扩展分析的插件T&reeStatistics&Plugins-树状统计插件：统计工具扩展Mate&-&Meta&Analysisi&andan&T&racingn&Engine&(experimentn&al&:可配置的显示过滤引擎，参考&http://wiki.wireshark.org/Mate.SNMPMIBs:&SNMP，的详细分析。Tools/工具处理捕捉文件的附加命令行工具User’s&Guide-用户手册本地安装的用户手册。如果不安装用户手册，帮助菜单的大部分按钮的结果可能就是访问&•Editcap&-&Editcap&is&a&program&that&reads&a&capture&file&and&writes&some&or&all&of&the&packets&into&another&capture&file./Editcap&是一个读取捕捉文件的程序，还可以将一个捕捉文件力的部分或所有信息写入另一个捕捉文件。（文件合并&插入？）T&ext2Pcap-&Text2pcap&is&a&program&that&reads&in&an&ASCII&hex&dump&and&writes&the&data&into&a&libpcap-style&capture&file./Tex2pcap是一个读取&，写入数据到&个文件的程序。Mergecap&-&Mergecap&is&a&program&that&combines&multiple&saved&capture&files&into&a&single&output&file.&/&Mergecap&是一个可以将多个播捉文件合并为一个的程序。Capinfos&-&Capinfos&is&a&program&that&provides&information&on&capture&files.&/Capinfos&是一个显示捕捉文件信息的程序。“Additional&T&asks页Start&Menu&Shortcu-开始菜单快捷方式增加一些快捷方式到开始菜单Desktop&Icon-桌面图标增加&图标到桌面Quick&Launch&Icon-快速启动图标增加一个&图标到快速启动工具栏Associatefile&extension&to&Wireshark-Wireshark文件关联将捕捉包默认打开方式关联到&Installal&WinPcap?”页Wireshark&安装包里包含了最新版的&安装包。如果您没有安装&。您将无法捕捉网络流量。但是您还是可以打开以保存的捕捉包文件。Currently&installeWinPcap&version-当前安装的&版本Installal&WinPcap&x.x&-如果当前安装的版本低于&自带的，该选项将会是默认值。Start&WinPcap&service&&NPF&&at&startup&-将&的服务&在启动时运行&这样其它非管理员用户就同样可以捕捉包了。更多关于&的信息：Wireshark相关&http://wiki.wireshark.org/WinPcapWinPcap&官方网站：http://www.winpcap.org安装命令选项您可以直接在命令行运行安装包，不加任何参数，这样会显示常用的参数以供交互安装。&在个别应用中，可以选择一些参数定制安装：/NCRC&禁止&校检/S静默模式安装或卸载&注意：静默模式安装时不会安装&/desktopicon&安装桌面图标，表示安装图标，反之则不是，适合静默模式。/quicklaunchicon将图标安装到快速启动工具栏，安装到工具栏，不安装，不填按默认设置。/D设置默认安装目录首选安装目录和安装目录注册表键值，该选项必须设置到最后。即使路径包含空格例2.5.wireshark-setup-0.99.5.exe&/NCRC&/S&/desktopicon=yes&/quicklaunchicon=no&/D=C:\Program&Files\Foo2.8.2.手动安装&WinPcap注意事先声明，安装时会谨慎对待&的安装，所以您通常不必担心&。下面的&仅适合您需要尝试未包括在&内的不同版本&。例如一个新版本的WinPcap&发布了，您需要安装它。单独的&版本（包括&版）可以在下面地址下载到WinPcap&官方网站：http://www.winpcap.orgWiretapped.net&镜像站点http://www.mirrors.wiretapped.net/security/packet-capture/winpcap在下载页面您将会发现&的安装包名称通常类似于。它们可以在&下安装。2.8.3.更新&Wireshark有时候您可能想将您的&更新到最新版本，如果您订阅了&通知邮件，您将会获得&新版本发布的通知，见第1.6.4节“邮件列表。新版诞生通常需要周。更新&就是安装一下新版本。下载并安装它就可以。更新通常不需要重新启动，也不会更改过去的默认设置2.8.4.更新&WinPcapWinPcap&的更新不是十分频繁，通常一年左右。新版本出现的时候您会收到&的通知。更新&后需要重新启动。警告在安装新版&之前，如果您已经安装了旧版&您必须先卸载它。最近版本的&安装时会自己卸载旧版。2.8.5.卸载&Wireshark你可以用常见方式卸载&使用添加删除程序，选择选项开始卸载即可。Wireshark&卸载过程中会提供一些选项供您选择卸载哪些部分，默认是卸载核心组件，但保留个人设置和&WinPcap&默认不会被卸载，因为其他类似&的程序有可能同样适用&2.8.6.卸载&WinPcap你可以单独卸载&在添加删除程序选择卸载它。注意卸载&之后您将不能使用&捕捉包。在卸载完成之后最好重新启动计算机。[11]&涉及到过多的名次，软件又没有中文版，这里及以后尽量不翻译名称第3章&用户界面目录3.1.须知3.2.启动&Wireshark3.3.主窗口3.3.1.&主窗口概述3.4.主菜单3.5.&&File&菜单3.6.&&Edit&菜单3.7.&&View&菜单3.8.&&Go&菜单3.9.&&Capture&菜单3.10.&&Analyze&菜单3.11.&&Statistics&菜单3.12.&&Help&菜单3.13.&&Main&工具栏3.14.&&Filter&工具栏3.15.&&Pcaket&List&面板3.16.&&Packet&Details&面板3.17.&&Packet&Byte&面板3.18.状态栏3.1.须知现在您已经安装好了&几乎可以马上捕捉您的一个包。紧接着的这一节我们将会介绍：Wireshark&的用户界面如何使用如何捕捉包如何查看包如何过滤包……以及其他的一些工作。3.2.启动&Wireshark你可以使用&命令行或者资源管理器启动&提示开始&时您可以指定适当的参数。参见第9.2节“从命令行启动&Wireshark”注意在后面的章节中，将会出现大量的截图，因为&运行在多个平台&，并且支持多个&您的屏幕上显示的界面可能与截图不尽吻合。但在功能上不会有实质性区别。尽管有这些区别，也不会导致理解上的困难。3.3.主窗口先来看看图3.1&“主窗口界面，大多数打开捕捉包以后的界面都是这样子（如何捕捉打开包文件随后提到）。图3.1.主窗口界面和大多数图形界面程序一样，主窗口由如下部分组成：菜单（见第3.4节“主菜单）用于开始操作。主工具栏见第3.13节“&Main&工具栏)提供快速访问菜单中经常用到的项目的功能。Fiter&toolbar/过滤工具栏见第3.14节“&Filter&工具栏)提供处理当前显示过滤得方法。见浏览时进行过滤Packet&List&面板（见第3.15节“&Pcaket&List&面板）显示打开文件的每个包的摘要。点击面板中的单独条目，包的其他情况将会显示在另外两个面板中。Packet&detail&面板（见第3.16节“&Packet&Details&面板）显示您在&面板中选择的包德更多详情。Packet&bytes&面板（见第3.17节“&Packet&Byte&面板）显示您在&面板选择的包的数据，以及在Packet&details&面板高亮显示的字段。状态栏（见第3.18节“状态栏）显示当前程序状态以及捕捉数据的更多详情。注意主界面的三个面版以及各组成部分可以自定义组织方式。见第9.5节“首选项3.3.1.主窗口概述Packet&list&和&面版控制可以通过快捷键进行。&表3.1&“&导航快捷键显示了相关的快捷键列表。&表3.5&“&GO&菜单项有关于快捷键的更多介绍表3.1.导航快捷键快捷键Tab,Shift+TabDownUpCtrl-Down,F8描述在两个项目间移动，例如从一个包列表移动到下一个移动到下一个包或者下一个详情移动到上一个包或者上一个详情移动到下一个包，即使焦点不在&面版Ctrl-UP,F7移动到前一个报，即使焦点不在&面版在&面版，关闭被选择的详情树状分支。如果以关闭，则返回到父Left分支。Right在&面版，打开被选择的树状分支BackspacePacket&Detail&面版，返回到被选择的节点的父节点Return,EntePacket&Detail&面版，固定被选择树项目。r另外，在主窗口键入任何字符都会填充到&里面。3.4.主菜单Wireshark&主菜单位于&窗口的最上方。图3.2&“主菜单提供了菜单的基本界面。图3.2.主菜单主菜单包括以下几个项目File包括打开、合并捕捉文件，save/保存打印导出捕捉文件的全部或部分。以及退出Wireshark&项见第3.5节“&File&菜单Edit包括如下项目：查找包，时间参考，标记一个多个包，设置预设参数。（剪切，拷贝，粘贴不能立即执行。）见第3.6节“&Edit&菜单View控制捕捉数据的显示方式，包括颜色，字体缩放，将包显示在分离的窗口，展开或收缩详情面版的地树状节点，见第3.7节“&View&菜单GO包含到指定包的功能。见第3.8节“&Go&菜单Capture允许您开始或停止捕捉、编辑过滤器。见第3.9节“&Capture&菜单Analyze包含处理显示过滤，允许或禁止分析协议，配置用户指定解码和追踪&流等功能。见第3.10节“&Analyze&菜单Statistics包括的菜单项用户显示多个统计窗口，包括关于捕捉包的摘要，协议层次统计等等。见第3.11节“&Statistics&菜单Help包含一些辅助用户的参考内容。如访问一些基本的帮助文件，支持的协议列表，用户手册。在线访问一些网站，关于等等。见第3.12节“&Help&菜单本章链接介绍菜单的一般情况，更详细的介绍会出现在后续章节。提示你可以直接点击访问菜单项，也可以使用热键，热键显示在菜单文字描述部分。例如：您可以使用&打开捕捉对话框。3.5.&&File&菜单WireSharkFile菜单包含的项目如表表3.2&“File&菜单介绍所示图3.3.&File&菜单表3.2.&File&菜单介绍Open...菜单项快捷键Ctr+O描述显示打开文件对话框，让您d入捕捉文件用以浏览。见第&5.2.1节“打开捕捉文件对话框弹出一个子菜单显示最近打开过的文件供Open&RecentMerg选择。显示合并捕捉文件的对话框。让您选择一个文件和当前打开的文件合并。见第5.4节“合并捕捉文件关闭当前捕捉文件，如果您未保存，系统将CloseSaveCtrl+WCrl+S提示您是否保存（如果您预设了禁止提示保存，将不会提示）保存当前捕捉文件，如果您没有设置默认的保存文件名，&出现提示您保存文件的对话框。详情第5.3.1节“&saveSave&AsFile&Set&LiFilesFile&Set&NFileFile&set&Previou&FilesExport&&as&“Plain&T”&FileExport&&as&&PostScript&&FilesExport&&as&&CVS&(CommaSeparatedValuesPacketSummary)File...Export&&&as&“PSML”&FileExport&as&&PDML&&File...Export&SelectedPacketBytes…PrintQuitShift+Ctrl+SCtr+PCtrl+QCapture&File&As/&保存文件为对话框注意如果您已经保存文件，该选项会是灰色不可选的。注意您不能保存动态捕捉的文件。您必须结束捕捉以后才能进行保存让您将当前文件保存为另外一个文件面，将会出现一个另存为的对话框(参见&第5.3.1节“&save&Capture&File&As/&保存文件为&&对话框)允许您显示文件集合的列表。将会弹出一个对话框显示已打开文件的列表,参见&第5.5节“文件集合如果当前d入文件是文件集合的一部分，将会跳转到下一个文件。如果不是，将会跳转到最后一个文件。这个文件选项将会是灰色。如果当前文件是文件集合&的一部分，将会调到它所在位置的前一个文件。如果不是则跳到文件集合的第一个文件，同时变成灰色。这个菜单允许您将捕捉文件中所有的或者部分的包导出为&格式。它将会弹出一个Wireshark&导出对话框,见&第5.6.1节“&Export&as&Plain&Text&File&对话框将捕捉文件的全部或部分导出为PostScrit文件。将会出现导出文件对话框。参见第5.6.2节“&Export&as&PostScript&File&对话框导出文件全部或部分摘要为格式（可用在电子表格中）。将会弹出导出对话框见第5.6.3节“&ExportasCSV&(CommaSeparated&Values)File&对话框。导出文件的全部或部分为&格式（包摘要标记语言）&文件。将会弹出导出文件对话框。见第5.6.4节“&Export&as&PSMLFile&&对话框导出文件的全部或部分为PDML(包摘要标记语言格式的&文件。将会弹出一个导出文件对话框,见第5.6.5节“&Export&asPDML&File&&对话框导出当前在Packet&byte&面版选择的字节为二进制文件。将会弹出一个导出对话框。见第5.6.6节“&Export&selected&packet&bytes&对话框打印捕捉包的全部或部分，将会弹出打印对话框。见第5.7节“打印包退出&如果未保存文件，会提示是否保存。3.6.&&Edit&菜单Wireshark&的菜单包含的项目见表3.3&“Edit&菜单项图3.4.&&E&dit&菜单表3.3.&E&dit&菜单项菜单项快捷键描述Copy&As&FilterShift+Ctrl+C使用详情面版选择的数据作为显示过滤。显示过滤将会拷贝到剪贴板。Find&Packet.Find&NFind&PreviouMarkPacket(toggle)Find&NMarkFindPreviousCtr+F打开一个对话框用来通过限制来查找包，见在使用&以后，使用该菜单会查找匹配规则的下一个Ctrl+N包Ctr+B查找匹配规则的前一个包。Ctrl+M标记当前选择的包。见第6.9节“标记包Shift+C查找下一个被标记的包trl+NCtrl+ShMarkMarkPacketsUnmarkPacketSetALLAllT&imeift+B查找前一个被标记的包标记所有包取消所有标记Reference(toggle)Ctrl+T以当前包时间作为参考见第6.10.1节“包参考时间FindReferenceNext找到下一个时间参考包FindPreviousRefrence...Preferences...Shift+Ctrl+P找到前一个时间参考包打开首选项对话框，个性化设置&的各项参数，设置后的参数将会在每次打开时发挥作用。详见第9.5节“首选项3.7.&&View&菜单表3.4&“&View&菜单项显示了&菜单的选项图3.5.&&View&菜单表3.4.&&View&菜单项菜单项快捷键描述Main&T&oolbFilter&T&oolbarStatusbarPacket&ListPacket&DetailsPacket&Bytes显示隐藏Main&toolbar(&主工具栏),&见&第3.13节“&Main&工具栏显示或隐藏Filter&Toolbar(过滤工具栏)见第3.14节“&Filter&工具栏显示或隐藏状态栏,&见第3.18节“状态栏显示或隐藏Packet&List&pane(包列表面板&见第3.15节“&Pcaket&List&面板显示或隐藏Packet&details&pane(包详情面板见第3.16节“&Packet&Details&面板显示或隐藏packet&Bytes&pane(包字节面TimeDisplayFromat&DateandTimeofDay:01:02:03.123456TimeDisplayFormat&T&imeofDay:&01:02:03.123456TimeDisplay&Format&&&SecondsSinceBeginningofCapture:123.123456TimeDisplayFormat&&SecondsSince&Previousou&Captured&Packet:1.123456TimeDisplayFormat&&SecondsSince&Previousou&DisplayedPacket:1.123456Time&Display&Format&&&------TimeDisplayFormat&板，见第3.17节“&Packet&Byte&面板选择这里告诉Wireshark&将时间戳设置为绝对日期时间格式年月日，时分秒&，见第6.10节“时间显示格式及参考时间注意这里的字段&Time&ofDay&,&Dateand&Time&ofDay&,&Seconds&SinceBeginning&ofCapture&,&Seconds&SincePreviousCapturedPacket&和&SecondsSince&PreviousDisplayedPacket&几个选项是互斥的，换句话说，一次同时有一个被选中。将时间设置为绝对时间-日期格式&时分秒格式&见第6.10节“时间显示格式及参考时间将时间戳设置为秒格式，从捕捉开始计时，见第6.10节“时间显示格式及参考时间将时间戳设置为秒格式，从上次捕捉开始计时，见第6.10节“时间显示格式及参考时间将时间戳设置为秒格式，从上次显示的包开始计时见第6.10节“时间显示格式及参考时间根据指定的精度选择数据包中时间戳的显示方式，见第6.10节“时间显示格式及参考时间注意AutomaticPrecision)(FileFormat&Automatic&,&Seconds&和&...seconds&是互斥的Time&DisplayFormat&&&Seconds:0TimeDisplayFormat&&...seconds:&0....Name&Resolution&&&Resolve&NameNameResolution&&Enablefor设置精度为秒，见第6.10节“时间显示格式及参考时间设置精度为秒，秒，秒，百万分之一秒等等。&见第6.10节“时间显示格式及参考时间仅对当前选定包进行解析第7.6节“名称解析是否解析&地址MAC&LayerNameResolution&&EnableforNetwork&LayerNameResolution&&EnableforT&ransportLayerColorize&Packet&ListAuto&Scrooll&i&Live&Capture是否解析网络层地址地址见第7.6节“名称解析是否解析传输层地址第7.6节“名称解析是否以彩色显示包注意以彩色方式显示包会降低捕捉再如包文件的速度控制在实时捕捉时是否自动滚屏，如果选择了该项，在有新数据进入时，&面板会项上滚动。您始终能看到最后的数据。反之，您无法看到满屏以后的数据，除非您手动滚屏Zoom&InZoom&OutNormal&SizeResiz&Al&ColumnusExpend&SubtreeExpand&AlCollapse&AllColoringn&Rulues...Show&Packet&in&NWindowReload3.8.&&Go&菜单Ctrl++Ctrl+-Ctrl+=Ctrl+R增大字体缩小字体恢复正常大小恢复所有列宽注意除非数据包非常大，一般会立刻更改展开子分支看开所有分支，该选项会展开您选择的包的所有分支。收缩所有包的所有分支打开一个对话框，让您可以通过过滤表达来用不同的颜色显示包。这项功能对定位特定类型的包非常有用。见第&9.3节“包色彩显示设置在新窗口显示当前包，(&新窗口仅包含View,B&yteView两个面板重新再如当前捕捉文件Wireshark&&GO&菜单的内容见表3.5&“&GO&菜单项图3.6.&&GO&菜单表3.5.&&GO&菜单项菜单项BackForWardGoPackeGotoCorrespondingPacketPreviousou&PacketNext&PacketFirst&PacketLast&Packet快捷键Alt+LeftAlt+RightCtrl+GCtrl+UPCtrl+Down描述跳到最近浏览的包，类似于浏览器中的页面历史纪录跳到下一个最近浏览的包，跟浏览器类似打开一个对话框，输入指定的包序号，然后跳转到对应的包，见第6.8节“到指定的包跳转到当前包的应答包，如果不存在，该选项为灰色移动到包列表中的前一个包，即使包列表面板不是当前焦点，也是可用的移动到包列表中的后一个包，同上移动到列表中的第一个包移动到列表中的最后一个包3.9.&&Capture&菜单&Capture&菜单的各项说明见表3.6&“&Capture&菜单项图3.7.&&Capture&菜单表3.6.&&Capture&菜单项快捷菜单项键说明Interface...Options...StartStopRestartCaptureFilters...Ctrl+KCtrl+E在弹出对话框选择您要进行捕捉的网络接口,见第4.4节“捕捉接口对话框打开设置捕捉选项的对话框,(见第4.5节“捕捉选项对话框&”)并可以在此开始捕捉立即开始捕捉，设置都是参照最后一次设置。停止正在进行的捕捉，见第4.9.1节“停止捕捉正在进行捕捉时，停止捕捉，并按同样的设置重新开始捕捉仅在您认为有必要时打开对话框，编辑捕捉过滤设置，可以命名过滤器，保存为其他捕捉时使用见第6.6节“定义，保存过滤器3.10.&&Analyze&菜单&Analyze&菜单的各项见表3.7&“&analyze&菜单项图3.8.&&Analyze&菜单表3.7.&&analyze&菜单项菜单项快捷键DisplayFilters...说明打开过滤器对话框编辑过滤设置，可以命名过滤设置，保存为其他地方使用，见第6.6节“定义，保存过滤器ApplyFilter&...as更改当前过滤显示并立即应用。根据选择的项，当前显示字段会被替换成选择在&面板的协议字段PrepareaFilter&...Firewallal&ACLRulesEnableProtocols...Shift+Ctrl+R更改当前显示过滤设置，当不会立即应用。同样根据当前选择项，过滤字符会被替换成&面板选择的协议字段为多种不同的防火墙创建命令行ACL&规则&访问控制列表),支持Cisco&IOS,&Linux&Netfilter&(iptables),&OpenBSD&pf&and&WindowsFirewall&(via&netsh).&Rules&for&MAC&addresses,&IPv4&addresses,&TCPand&UDP&ports,&以及IPv4+&混合端口以上假定规则用于外部接口是否允许协议分析，见第9.4.1节“&Enable&Protocols&对话框[a]看样子他们有个关于这部分的章节3.11.&&Statistics&菜单Wireshark&&statistics&菜单项见表3.8&“”图3.9.&&Statistics&菜单表3.8.菜单项SummaryProtocolHierarchyConversations/EndPointsIO&GraphsConversationListEndpoint&ListServiceResponse&TimeANSIGSMH.225...ISUP&MessageTypesMTP3RTPGSMSIP快捷键描述显示捕捉数据摘要见第8.2节“摘要窗口显示协议统计分层信息，见第8.3节&“&Protocol&Hierarchy&窗口显示会话列表两个终端之间的通信见显示端点列表&通信发起，结束地址&见第8.4.2节“&Endpoints&窗口显示用户指定图表，如包数量时间表见第8.6节“&IO&Graphs&&窗口通过一个组合窗口，显示会话列表,&见第8.5.3节“&协议指定“Conversation&List/会话列表窗口通过一个组合窗口显示终端列表，见第8.4.3节“特定协议的&Endpoint&List&窗口显示一个请求及其相应之间的间隔时间，见第8.7节“服务相应时间见第8.8节“协议指定统计窗口见第8.8节“协议指定统计窗口见第8.8节“协议指定统计窗口见第8.8节“协议指定统计窗口见第8.8节“协议指定统计窗口见第8.8节“协议指定统计窗口见第8.8节“协议指定统计窗口见第8.8节“协议指定统计窗口见第8.8节“协议指定统计窗口VOIP&Calls...WAP-WSP...HTTPISUP&MessagesONC-RPCProgramsTCPStreamGraph见第8.8节“协议指定统计窗口见第8.8节“协议指定统计窗口HTTP&请求相应统计，见第8.8节“协议指定统计窗口见第8.8节“协议指定统计窗口见第8.8节“协议指定统计窗口见第8.8节“协议指定统计窗口3.12.&&Help&菜单帮助菜单的内容见表3.9&“”图3.10.帮助菜单表3.9.快捷菜单项键描述ContentsSupportedProtocolsManaul&Pages&...WiresharkOnline&About&WiresharkF1打开一个基本的帮助系统打开一个对话框显示支持的协议或工具打开浏览器，显示安装在本地的手册按照选择显示在线资源弹出信息窗口显示&的一些相关信息，如插件，目录等。注意有些版本可能不支持调用&浏览器。如果是这样，可能会隐藏此菜单。注意如果调用浏览器错误，检查&首选项关于浏览器设置。3.13.&&Main&工具栏主工具栏提供了快速访问常见项目的功能它是不可以自定义的，但如果您觉得屏幕屏幕过于狭小，需要更多空间来显示数据。您可以使用浏览菜单隐藏它。在主工具栏里面的项目只有在可以使用的时候才能被选择，如果不是可用则显示为灰色，不可选例如：在未载入文件时，保存文件按钮就不可用图3.11.表3.10.主工具栏选项工具栏图标工具栏项接口对应菜单项Capture/Interfaces...描述打开接口列表对话框见第4.3节“开始捕捉打开捕捉选项对话框，见&第4.4节“捕捉接口对话选项。。。Capture/Options框StartST&OPRestarOpen...Capture/StartCapture/StopCaputer/RstartFile/Open使用最后一次的捕捉设置立即开始捕捉停止当前的捕捉，见第4.3节“开始捕捉停止当前捕捉，并立即重新开始启动打开文件对话框，用于载入文件，详见第5.2.1节“打开捕捉文件对话框保存当前文件为任意其他的文件，它将会弹出一个对话框，&见第5.3.1节“&save&Capture&File&As/&保存文件为&对话框注意如果当前文件Save&As...File/Save&As...是临时未保存文件，图标将会显示为CloseReloadPrintFindFile/CloseView/ReloadFile/Print关闭当前文件。如果未保存，将会提示是否保存重新载入当前文件打印捕捉文件的全部或部分，将会弹出一个打印对话框见第5.7节“打印包)packet...Edit/Find&Packet...打开一个对话框，查找包。见第6.7节“查找包Go&BacGo/Go&BackGoGo/Go&ForwardForwardGoto返回历史记录中的上一个跳转到历史记录中的下一个包Packet...Go/Go&to&Packet...弹出一个设置跳转到指定的包的对话框GoToFirstPacketGoToLastPacketGo/First&PacketGo/Last&Packet跳转到第一包跳转到最后一个包ColorizeView/ColorezeAutoView/Auto&ScroolScrollinin&Live&CaptureLiveZoom&inView/Zoom&In切换是否以彩色方式显示包列表开启关闭实时捕捉时自动滚动包列表增大字体zoom&outView/Zoom&Out缩小字体NormalView/NormalSize设置缩放大小为SizeResizeColumnsCaptureFilters..DisplayFilters..View/ResizeColumnsCapture/CaptureFilters...Analyze/&Filters...重置列宽，使内容适合列宽&使包列表内的文字可以完全显示打开对话框，用于创建、编辑过滤器。详见第6.6节“定义，保存过滤器打开对话框，用于创建、编辑过滤器。详见第6.6节“定义，保存过滤器ColoringRules...PreferencView/ColoringRules...定义以色彩方式显示数据包的规则详见“包色彩显示设置第9.3节es...Edit/Preferences打开首选项对话框，详见第9.5节“首选项HelpHelp/Contents打开帮助对话框3.14.&&Filter&工具栏过滤工具栏用于编辑或显示过滤器，更多详情见第6.3节“浏览时过滤包图3.12.过滤工具栏表3.11.工具栏图标工具栏项过滤过滤输入框说明打开构建过滤器对话框见第6.7节“查找包[a]在此区域输入或修改显示的过滤字符，见第6.4节“建立显示过滤表达式&”,在输入过程中会进行语法检查。如果您输入的格式不正确，或者未输入完成，则背景显示为红色。直到您输入合法的表达式，背景会变为绿色。你可以点击下拉列表选择您先前键入的过滤字符。列表会一直保留，即使您重新启动程序。注意做完修改之后，记得点击右边的Apply(应用按钮，表达式...清除应用或者回车，以使过滤生效。注意输入框的内容同时也是当前过滤器的内容（当前过滤器的内容会反映在输入框）标签为表达式的按钮打开一个对话框用以从协议字段列表中编辑过滤器，详见第6.5节““FilterExpression/过滤表达式对话框重置当前过滤器，清除输入框应用当前输入框的表达式为过滤器进行过滤注意在大文件里应用显示过滤可能要很长时间[a]我看到的&按钮貌似没有图标，可能只出现在版中3.15.&&Pcaket&List&面板Packet&list/包列表面板显示所有当前捕捉的包图3.13.&&Packetlist/包列表&面板列表中的每行显示捕捉文件的一个包。如果您选择其中一行，该包得更多情况会显示在包详情，包字节面板在分析解剖包时，会将协议信息放到各个列。因为高层协议通常会覆盖底层协议，您通常在包列表面板看到的都是每个包的最高层协议描述。例如：让我们看看一个包括TCP&包包和一个以太网包。在以太网&链路层？包中解析的数据比如以太网地址），在&分析中会覆盖为它自己的内容比如&地址，在&分析中会覆盖&信息。包列表面板有很多列可供选择。需要显示哪些列可以在首选项中进行设置，见第9.5节“首选项默认的列如下No.包的编号，编号不会发生改变，即使进行了过滤也同样如此Time包的时间戳。包时间戳的格式可以自行设置，见第6.10节“时间显示格式及参考时间Source显示包的源地址。Destination显示包的目标地址。Protocal&显示包的协议类型的简写Info包内容的附加信息右击包，可以显示对包进行相关操作的上下文菜单。见第6.3节“浏览时过滤包3.16.&&Packet&Details&面板&Packet&Details/包详情面板显示当前包在包列表面板被选中的包的详情列表。图3.14.&&Packet&Details/包详情&面板该面板显示包列表面板选中包的协议及协议字段，协议及字段以树状方式组织。你可以展开或折叠它们。右击它们会获得相关的上下文菜单。见第6.4节“建立显示过滤表达式某些协议字段会以特殊方式显示Generated&fields/衍生字段Wireshark&会将自己生成附加协议字段加上括号。衍生字段是通过该包的相关的其他包结合生成的。例如：在对&流应答序列进行分析时。将会在&协议中添加字段Links/链接&如果&检测到当前包与其它包的关系，将会产生一个到其它包的链接。链接字段显示为蓝色字体，并加有下划线。双击它会跳转到对应的包。3.17.&&Packet&Byte&面板Packet&Byte/包字节&面板以进制转储方式显示当前选择包的数据图3.15.&PacketByte/包字节面板通常在进制转储形式中，左侧显示包数据偏移量，中间栏以进制表示，右侧显示为对应的&字符根据包数据的不同，有时候包字节面板可能会有多个页面，例如：有时候&会将多个分片重组为一个，见第7.5节“重组包.这时会在面板底部出现一个附加按钮供你选择查看图3.16.带选项的&Paket&Bytes/包字节&面板注意附加页面的内容可能来自多个包。右击选项按钮会显示一个上下文菜单显示所有可用的页的清单。如果您的面板尺寸过小，这项功能或许有所帮助3.18.状态栏状态栏用于显示信息通常状态栏的左侧会显示相关上下文信息，右侧会显示当前包数目图3.17.初始状态栏该状态栏显示的是没有文件载入时的状态，如：刚启动&时图3.18.载入文件后的状态栏左侧显示当前捕捉文件信息，包括名称，大小，捕捉持续时间等。右侧显示当前包在文件中的数量，会显示如下值P:&捕捉包的数目D:被显示的包的数目M:&被标记的包的数目图3.19.已选择协议字段的状态栏如果你已经在包详情面板选择了一个协议字段，将会显示上图提示括号内的值如上图的&可以作为显示过滤使用。它表示选择的协议字段。&第4章&实时捕捉数据包目录4.1.介绍4.2.准备工作4.3.开始捕捉4.4.捕捉接口对话框4.5.捕捉选项对话框4.5.1.&捕捉桢4.5.2.&捉数据帧为文件。4.5.3.&停止捕捉桢4.5.4.&显示桢选项4.5.5.&名称解析设置4.5.6.&按钮4.6.捕捉文件格式、模式设置4.7.链路层包头类型4.8.捕捉时过滤4.8.1.&自动过滤远程通信4.9.在捕捉过程中4.9.1.&停止捕捉4.9.2.&重新启动捕捉4.1.介绍实时捕捉数据包时&的特色之一Wiershark&捕捉引擎具备以下特点支持多种网络接口的捕捉以太网，令牌环网，支持多种机制触发停止捕捉，例如：捕捉文件的大小，捕捉持续时间，捕捉到包的数量捕捉时同时显示包解码详情设置过滤，减少捕捉到包的容量。见第4.8节“捕捉时过滤长时间捕捉时，可以设置生成多个文件。对于特别长时间的捕捉，可以设置捕捉文件大小罚值，设置仅保留最后的&个文件等手段。见第4.6节&“捕捉文件格式、模式设置Wireshark&捕捉引擎在以下几个方面尚有不足从多个网络接口同时实时捕捉，但是您可以开始多个应用程序实体，捕捉后进行文件合并根据捕捉到的数据停止捕捉或其他操作4.2.准备工作第一次设置&捕捉包可能会遇到一些小麻烦提示关于如何进行捕捉设置的较为全面的向导可以在http://wiki.wireshark.org/CaptureSetup.这里有一些常见需要注意的地方你必须拥有&特权以开始捕捉[12]必须选择正确的网络接口捕捉数据如果您想捕捉某处的通信，你必须作出决定：在什么地方可以捕捉到……以及许多如果你碰到设置问题，建议看看前面的那个向导，或许会有所帮助[12]记得在&安装那一节层提到如果作为服务启动可以避免非管理员无法进行捕捉，不知道二者能否相互印证。4.3.开始捕捉可以使用下任一方式开始捕捉包使用打开捕捉接口对话框，浏览可用的本地网络接口，见图4.1&“&Capture&Interfaces&捕捉接口对话框,选择您需要进行捕捉的接口启动捕捉你也可以使用捕捉选项按钮启动对话框开始捕捉，见图4.2&“&Capture&Option/捕捉选项&对话框如果您前次捕捉时的设置和现在的要求一样，您可以点击开始捕捉按钮或者是菜单项立即开始本次捕捉。如果你已经知道捕捉接口的名称，可以使用如下命令从命令行开始捕捉：wireshark&-i&eth0&-k上述命令会从&接口开始捕捉，有关命令行的介绍参见第9.2节“从命令行启动&Wireshark”4.4.捕捉接口对话框如果您从捕捉菜单选择，将会弹出如图4.1&“&Capture&Interfaces&捕捉接口对话框所示的对话框警告打开捕捉对话框时&同时正在显示捕捉的数据，这将会大量消耗您的系统资源。尽快选择您需要的接口以结束该对话框。避免影响系统性能注意这个对话框只显示本地已知的网络接口，可能无法检测到所有的本地接口，Wireshark&不能检测远程可用的网络接口，只能使用列出可用的网络接口图4.1.&&CaptureInterfaces&捕捉接口对话框描述从操作系统获取的接口信息IPWireshark&能解析的第一个IP&地址，如果接口未获得IP&地址（如，不存在可用的DHCP&服务器，将会显示&如果有超过一个&的，只显示第一个无法确定哪一个会显示Packets打开该窗口后，从此接口捕捉到的包的数目。如果一直没有接收到包，则会显示为灰度Packets/s最近一秒捕捉到包的数目。如果最近一秒没有捕捉到包，将会是灰度显示Stop停止当前运行的捕捉Capture从选择的接口立即开始捕捉，使用最后一次捕捉的设置。Options打开该接口的捕捉选项对话框见第4.5节“捕捉选项对话框Details(仅&Win32系统)打开对话框显示接口的详细信息Close关闭对话框4.5.捕捉选项对话框如果您从捕捉菜单选择&按钮或者从主工具栏选择对应的项目&弹出捕捉选项对话框。如图4.2&“&Capture&Option/捕捉选项对话框所示图4.2.&&CaptureOption/捕捉选项&对话框提示如果你不了解各项设置的意义，建议保持默认。你可以用对话框中的如下字段进行设置4.5.1.捕捉桢Interface该字段指定你想用于进行捕捉的借口。一次只能使用一个接口。这是一个下拉列表，简单点击右侧的按钮，选择你想要使用的接口。默认第一是支持捕捉的&非环回接口，如果没有这样的接口，第一个将是环回接口。在某些系统中，回借口不支持捕捉包平台下的环回接口就不支持。在命令行使用参数可以替代该选项IP&address表示选择接口的&地址。如果系统未指定&地址，将会显示为Link-layer&header&type除非你有些特殊应用，尽量保持此选项默认。想了解更多详情，见第4.7节“链路层包头类型Buffer&size:&n&megabyte(s)输入用于捕捉的缓层大小。该选项是设置写入数据到磁盘前保留在核心缓存中捕捉数据的大小，如果你发现丢包。尝试增大该值。注意该选项仅适用于&平台Capture&packets&in&promiscuous&mode指定&捕捉包时，设置接口为杂收模式有些人翻译为混杂模式&。如果你未指定该选项，将只能捕捉进出你电脑的数据包不能捕捉整个局域网段的包[13]注意如果其他应用程序将网卡设置为杂收模式，即使不选中该选项，也会工作于杂收模式下。注意即使在杂收模式下，你也未必能够接收到整个网段所有的网络包。详细解释见http://www.wireshark.org/faq.html#promiscsniffLimit&each&packet&to&n&bytes指定捕捉过程中，每个包的最大字节数。在某些地方被称为。&[14]如果禁止该选项，默认值为，这适用于大多数协议，下面是一些大多数情况下都适用的规则这里又出现了拇指规则，第一章，系统需求时提到过。这里权且翻译作普适而非绝对的规则如果你不确定，尽量保持默认值如果你不需要包中的所有数据。例如：如果您仅需要链路层、和&包头，您可能想要选择一个较小的快照长度。这样只需要较少的&占用时间用于复制包，包需要的缓存也较少。如此在繁忙网络中捕捉时丢失的包也可能会相应少一点。如果你没有捕捉包中的所有数据&适用&截断了包，你可能会发现有时候你想要的包中的数据部分被截断丢弃了。或者因为缺少重要的部分，想对某些包进行重组而发现失败。Capture&Filter指定捕捉过滤。捕捉过滤器将会在有第4.8节“捕捉时过滤详细介绍，默认情况下是空的。同样你也可以点击捕捉按钮，通过弹出的捕捉过滤对话框创建或选择一个过滤器，详见第6.6节“定义，保存过滤器4.5.2.捉数据帧为文件。捕捉文件设置的使用方法的详细介绍见第4.6节“捕捉文件格式、模式设置File指定将用于捕捉的文件名。该字段默认是空白。如果保持空白，捕捉数据将会存储在临时文件夹。详见第4.6节“捕捉文件格式、模式设置你可以点击右侧的按钮打开浏览窗口设置文件存储位置Use&multiple&files如果指定条件达到临界值，将会自动生成一个新文件，而不是适用单独文件。Next&file&every&n&megabyte(s)仅适用选中&如果捕捉文件容量达到指定值，将会生成切换到新文件Next&file&every&n&minutes(s)仅适用选中&如果捕捉文件持续时间达到指定值，将会切换到新文件。Ring&buffer&with&n&files仅适用选中&仅生成制定数目的文件。Stop&caputure&after&n&file(s)仅适用选中&当生成指定数目文件时，在生成下一个文件时停止捕捉生成&个还是&个文件4.5.3.停止捕捉桢...&after&n&packet(s)在捕捉到指定数目数据包后停止捕捉...&after&n&megabytes(s)在捕捉到指定容量的数据(byte(s)/kilobyte(s)/megabyte(s)/gigabyte(s)&)后停止捕捉。如果没有适用&user&multiple&files&,该选项将是灰色...&after&n&minute(s)在达到指定时间后停止捕捉4.5.4.显示桢选项Update&list&of&packets&in&real&time在包列表面板实时更新捕捉数据。如果&未选定&该选项，在&捕捉结束之前将不能显示数据。如果选中该选项，Wireshark&将生成两个独立的进程，通过捕捉进程传输数据给显示进程。Automatic&scrolling&in&live&capture指定&在有数据进入时实时滚动包列表面板，这样您将一直能看到最近的包。反之，则最新数据包会被放置在行末，但不会自动滚动面板。如果未设置该选项将是灰色不可选的。Hide&capture&info&dialog选中该选项，将会隐藏捕捉信息对话框4.5.5.名称解析设置Enable&MAC&name&resolution设置是否让&翻译&地址为名称，见第7.6节&“名称解析Enable&network&name&resolution是否允许&对网络地址进行解析，见第7.6节“名称解析4.5.6.按钮进行完上述设置以后，你可以点击&start&按钮进行捕捉也可以点击&Cancel&退出捕捉开始捕捉以后，在你收集到足够的数据时你可以停止捕捉。见第4.9节“在捕捉过程中[13]网卡在局域网内会接到很多不属于自己的包，默认情况下，网卡会不对这些包进行处理。貌似设置为杂收模式，会监听所有的包，但并不作出相应。[14]粗略查了一下&未找到该词的合适翻译&多见于&的描述，如果把该单词拆分，&单元，快照，长度，似乎就是单位长度，单元大小的意思。在看看该段下面第二个如果中提到的&应该是二者的简写形式，快照长度4.6.捕捉文件格式、模式设置在&捕捉时，捕捉引擎环境下会抓取来自网卡的包存放在相对来说较小的核心缓存内。这些数据由&读取并保存到用户指定的捕捉文件中。保存包数据到捕捉文件时，可采用差异模式操作。提示处理大文件数百兆将会变得非常慢。如果你计划进行长时间捕捉，或者处于一个高吞吐量的网络中，考虑使用前面提到的多文件选项。该选项可以将捕捉包分割为多个小文件。这样可能更适合上述环境。注意使用多文件可能会切断上下文关联信息。保留载入包的上下文信息，所以它会报告上下文关联问题例如流问题和关联上下文协议信息例如：何处数据产生建立阶段，必须查找后续包。这些信息仅能在载入文件中显示，使用多文件模式可能会截断这样的上下文。如果建立连接阶段已经保存在一个文件中，你想要看的在另一个文件中，你可能无法看到可用的上下文关联信息。提示关于捕捉文件的目录信息，可见表4.1.捕捉文件模式选项&File&选项-foo.capfoo.capfoo.c--x&Usemultiplefiles&选项---&Ring&buffwith&n&files&选项ModeSingletemporaryfileSinglenamed&fileMultiplefiles,continuousMultiple最终文件命名方式etherXXXXXX&(where&XXXXXX是一个独立值foo.capfoo_.cap,foo_.cap,&...foo_.cap,apxxfiles,ringbufferfoo_.cap,&...Single&temporary&file将会创建并使用一个临时文件默认选项捕捉文件结束后，该文件可以由用户指定文件名。Single&named&file使用单独文件，如果你想放到指定目录，选择此模式Multiple&files,continuous与&模式类似，不同点在于，当捕捉达到多文件切换临界条件时之一时，会创建一个新文件用于捕捉Multiple&files,ring&buffer与模式类似，不同之处在于，创建的文件数目固定。当达到&值时，会替换掉第一个文件开始捕捉，如此循环往复。该模式可以限制最大磁盘空间使用量，即使未限制捕捉数据输入，也只能保留最后几个捕捉数据。4.7.链路层包头类型在通常情况下，你不需要选择链路层包头类型。下面的段落描述了例外的情况，此时选择包头类型是有必要的，所以你需要知道怎么做：如果你在某种版本&操作系统下从某种设备无线局域网设备捕捉数据，可能需要在和中做出选择。将会导致捕捉到的包带有伪以太网帧头&不知道是不是应该叫伪首部更准确些&将会导致他们带有802.11帧头。如果捕捉时的应用程序不支持帧头，你需要选择如果你使用&某种网络监视卡连接到同步串口线译者注：文为&，权且翻译作前文吧，未接触过此卡、未熟稔此线名称，可能会出现或&Cisco&HDLC&(自己&去供选择。根据你自己的情况选择二者中的一个。如果你使用&同上连接到&网络，将会提供、供选择。如果捕捉的通信是&封装&不翻译为妙，或者需要在不支持&帧头的应用程序下捕捉，选择前者。反之选择后者。如果你在以太网捕捉，将会提供&Ethernet&、供选择，如果您是在Cisco&Cable&Modem&Termination&System(CMTS是思科同轴电缆终端调制解调系统？下捕捉数据。它会将&同轴电缆数据服务接口通信放置到以太网中，供捕捉。此时需要选择反之则反之。4.8.捕捉时过滤Wireshark&使用&过滤语句进行捕捉过滤。在&主页有介绍，但这些只是过于晦涩难懂，所以这里做小幅度讲解。提示你可以从&http://wiki.wireshark.org/CaptureFilters&找到捕捉过滤范例在&捕捉选项对话&见图4.2&“&Capture&Option/捕捉选项&&对话框&”)框输入捕捉过滤字段。下面的语句有点类似于tcpdump&捕捉过滤语言。在&主页&http://www.tcpdump.org/tcpdump_man.html&可以看到&表达式选项介绍。捕捉过滤的形式为：和取值and/or)进行进行基本单元连接，加上可选的，高有限级的&not:[not]&primitive&[and|or&[not]&primitive&...]例4.1.捕捉来自特定主机的&telnet&协议tcp&port&23&and&host&10.0.0.5本例捕捉来自或指向主机的&通信，展示了如何用&连接两个基本单元。另外一个例子例4.2&“捕捉所有不是来自的&telnet通信展示如何捕捉所有不是来自的&通信。例4.2.捕捉所有不是来自10.0.0.5的&telnet通信tcp&host&23&and&not&src&host&10.0.0.5此处笔者建议增加更多范例。但是并没有添加。一个基本单元通常是下面中的一个[src|dst]&host&此基本单元允许你过滤主机&地址或名称。你可以优先指定&关键词来指定你关注的是源地址还是目标地址。如果未指定，则指定的地址出现在源地址或目标地址中的包会被抓取。ether&[src|dst]&host&此单元允许你过滤主机以太网地址。你可以优先指定关键词src|dst&在关键词&和&之间，来确定你关注的是源地址还是目标地址。如果未指定，同上。gateway&host过滤通过指定&host&作为网关的包。这就是指那些以太网源地址或目标地址是&host，但源&地址和目标&地址都不是&host的包[src|dst]&net&&[{mask}|{len&}]通过网络号进行过滤。你可以选择优先指定&src|dst&来确定你感兴趣的是源网络还是目标网络。如果两个都没指定。指定网络出现在源还是目标网络的都会被选择。另外，你可以选择子网掩码或者&无类别域形式。[tcp|udp]&[src|dst]&port&&port]过滤&及端口号。可以使用&src|dst&和&tcp|udp&关键词来确定来自源还是目标，&tcp&协议还是&udp&协议。tcp|udp&必须出现在&src|dst&之前。less|greater&选择长度符合要求的包。（大于等于或小于等于）ip|ether&proto&选择有指定的协议在以太网层或是&层的包ether|ip&broadcast|multicast选择以太网层的广播或多播&relop&创建一个复杂过滤表达式，来选择包的字节或字节范围符合要求的包。请参考&http://www.tcpdump.org/tcpdump_man.html4.8.1.自动过滤远程通信如果&是使用远程连接的主机运行的例如使用&输出，终端服务器，远程连接必须通过网络传输，会在你真正感兴趣的通信中产生大量数据包通常也是不重要的想要避免这种情况，可以设置为如果发现有远程连接通过察看指定的环境变量&，自动创建一个过滤器来匹配这种连接。以避免捕捉&捕捉远程连接通信。下列环境变量可以进行分析SSH――CONNECTION(ssh)&&&SSH_CLIENT&(ssh)&&REMOTEHOST&(tcsh,&others?)DISPLAY(x11)[remote&name]:SESSIONNAME&(terminal&server)4.9.在捕捉过程中捕捉时，会出现下面的对话框图4.3.捕捉信息对话框上述对话框会向你显示捕捉到包的数目，捕捉持续时间。选择的被统计的协议无法更改什么鸟意思？提示这个对话框可以被隐藏，在前次的捕捉选项对话框设置即可。4.9.1.停止捕捉运行中的捕捉线程可以用下列方法停止：使用捕捉信息对话框上的stop&按钮停止。注意捕捉信息对话框有可能被隐藏，如果你选择了使用菜单项使用工具栏项Stop&使用快捷键Stop&如果设置了触发停止的条件，捕捉达到条件时会自动停止。4.9.2.重新启动捕捉运行中的捕捉进程可以被重新启动。这将会移出上次捕捉的所有包。如果你捕捉到一些你不感兴趣的包，你不想保留它，这个功能十分有用。重新启动是一项方便的功能，类似于停止捕捉后，在很短的时间内立即开始捕捉。以下两种方式可以实现重新启动捕捉使用菜单项Restart&使用工具栏项Restart&&第5章&文件输入／输出及打印目录5.1.说明5.2.打开捕捉文件5.2.1.&打开捕捉文件对话框5.2.2.&输入文件格式5.3.保存捕捉包5.3.1.&&save&Capture&File&As/保存文件为&对话框5.3.2.&输出格式5.4.合并捕捉文件5.4.1.&合并文件对话框5.5.文件集合5.5.1.&文件列表对话框5.6.导出数据5.6.1.&&Export&as&Plain&Text&File&对话框5.6.2.&&Export&as&PostScript&File&&对话框5.6.3.&&Export&as&CSV&(Comma&Separated&Values)File&&对话框5.6.4.&&Export&as&PSML&File&&对话框5.6.5.&&Export&as&PDML&File&对话框5.6.6.&&Export&selected&packet&bytes&对话框5.6.7.&&Export&Objects&对话框5.7.打印包5.7.1.&打印&对话框5.8.包范围选项5.9.包格式选项5.1.说明本章将介绍捕捉数据的输入输出。打开／导入多种格式的捕捉文件保存／导出多种格式的捕捉文件合并捕捉文件打印包5.2.打开捕捉文件Wireshark&可以读取以前保存的文件。想读取这些文件，只需选择菜单或工具栏的：Open”。将会&弹出打开文件对话框。详见第5.2.1节“打开捕捉文件对话框如果使用拖放功能会更方便要打开文件，只需要从文件管理器拖动你想要打开的文件到你的&主窗口。但拖放功能不是在所有平台都支持。在你载入新文件时，如果你没有保存当前文件，&会提示你是否保存，以避免数据丢失。&你可以在首选项禁止提示保存除&原生的格式格式，同样被tcpdump/Windump和&其他基于&使用外，可以很好地读取许多捕捉文件格式。支持的格式列表见第5.2.2节“输入文件格式5.2.1.打开捕捉文件对话框打开文件对话框可以用来查找先前保存的文件。表5.1&“特定环境下的打开文件对话框显示了一些&打开文件对话框的例子。对话框的显示方式取决于你的操作系统对话框的显示方式取决于操作系统，以及&工具集的版本。但不管怎么说，基本功能都是一样的。常见对话框行为：选择文件和目录点击&按钮，选择你需要的文件并打开它点击&按钮返回&主窗口而不载入任何文件。Wireshark&对话框标准操作扩展如果选中文件，可以查看文件预览信息例如文件大小，包个数。。。通过按钮、显示字段指定显示过滤器。过滤器将会在打开文件后应用。在输入过滤字符时会进行语法检查。如果输入正确背景色为绿色，如果错误或输入未结束，背景色为绿色。点击&按钮会打开过滤对话框，用于辅助输入显示过滤表达式。详见第6.3节“浏览时过滤包)XXXX-we&need&a&better&description&of&these&read&filters(貌似说这一段需要更多的做介绍通过点击复选框指定那些地址解析会被执行。详见第7.6节“名称解析在大文件中节约大量时间你可以在打开文件后修改显示过滤器，和名称解析设置。但在一些巨大的文件中进行这些操作将会占用大量的时间。在这种情况下建议在打开文件之前就进行相关过滤，解析设置。表5.1.特定环境下的打开文件对话框图5.1.&Windows&下的打开对话框Microsoft&Windows(GTK2K&installed)此对话框一般都带有一些&扩展此对话框的说明：如果可用，按钮将会打开本节的用户手册。&Filter.&按钮&在当前版本的&下不可用我看了一下，的确不可用，但过滤输入框还是可用的错误提示功能如果&无法识别选中的捕捉文件，Open&按钮将为灰色不可用[a]图5.2.新版&Gt下的打开对话框Unix/Linux:GTK&version&&=图5.3.旧版&GTK&下的打开对话框这是在&桌面环境下的打开文件对话框对此对话框的说明。“+”按钮可以将右侧选中的目录添加到收藏夹。成为预设目录。&-&&按钮可以移除左侧目录列表中选中的目录。(&Home&,&Desktop&,&Filesystem&不可以移除如果&不能识别选中的捕捉文件，按钮将是灰色不可用。Unix/Linux:GTK&version&&2.4&/&MicrosoftWindows(GTK1&installedgimp/gnome&桌面环境，或&下的的。该对话框说明如果未能识别不做文件，按钮将为灰色不可用[a]我测试了一下，无论什么文件，都会去尝试打开，更遑论错误检查5.2.2.输入文件格式可以打开的捕捉文件格式列表：libpcap,&tcpdump&and&various&other&tools&using&tcpdump's&capture&formatSun&snoop&and&atmsnoopShomiti/Finisar&Surveyor&capturesNovell&LANalyzer&capturesMicrosoft&Network&Monitor&capturesAIX's&iptrace&capturesCinco&Networks&NetXray&capturesNetwork&Associates&Windows-based&Sniffer&and&Sniffer&Pro&capturesNetwork&General/Network&Associates&DOS-based&Sniffer&(compressed&or&uncompressed)&capturesAG&Group/WildPackets&EtherPeek/TokenPeek/AiroPeek/EtherHelp/PacketGrabbercapturesRADCOM's&WAN/LANAnalyzer&capturesNetwork&Instruments&Observer&version&9&capturesLucent/Ascend&router&debug&outputHP-UX's&nettlToshiba's&ISDN&routers&dump&outputISDN4BSD&i4btrace&utilitytraces&from&the&EyeSDN&USB&S0IPLog&format&from&the&Cisco&Secure&Intrusion&Detection&Systempppd&logs&(pppdump&format)the&output&from&VMS's&TCPIPtrace/TCPtrace/UCX$TRACE&utilitiesthe&text&output&from&the&DBS&Etherwatch&VMS&utilityVisual&Networks'&Visual&UpTimetraffic&capturethe&output&from&CoSine&L2&debugthe&output&from&Accellent's&5Views&LAN&agentsEndace&Measurement&Systems'&ERF&format&capturesLinux&Bluez&Bluetooth&stack&hcidump&-w&tracesCatapult&DCT2000&.out&files不正确的包类型可能无法会导致打开错误。某些类型的捕捉包可能无法读取。以太网环境下捕捉的大部分类型格式一般都等打开。但有些包类型如令牌环环包，不是所有的格式都被&支持。5.3.保存捕捉包你可以通过&菜单保存捕捉文件。在保存时可以选择保存哪些包，以什么格式保存。保存可能会丢失某些有用的信息保存可能会少量都是某些信息。例如：已经被丢弃的包会丢失。详见5.3.1.&&save&Capture&File&As/保存文件为&对话框&Save&Capture&File&As&对话框用于保存当前捕捉数据到文件。列举了该对话框的一些例子。对话框的显示方式取决于你的操作系统对话框的显示方式取决于你的操作系统和&工具集版本的不同。但大部分基本功能都是一样的。表5.2.特定环境下的&Save&Capture&File&A对话框图5.4.&Windows&下的保存为对话框Microsoft&Windows(GTK2K&installed)此对话框一般都带有一些&扩展此对话框的说明：如果可用，按钮将会打开本节的用户手册。如果你未输入文件扩展名&例如&会自动添加该文件格式的标准扩展名。Unix/Linux:GTK&version&&=这是在&桌面环境下的保存文件对话框图5.5.新版&GtK&下的保存为对话框对此对话框的说明。&Browse&for&other&flders&前的&按钮可以让你指定文件保存的位置。。图5.6.旧版&GTK下的保存为对话框Unix/Linux:GTK&version&&2.4&/&MicrosoftWindows(GTK1&installedgimp/gnome&桌面环境，或&下的的。通过这些对话框，你可以执行如下操作：输入你指定的文件名。选择保存的目录选择保存包的范围，见第5.8节“包范围选项通过点击文件类型下拉列表指定保存文件的格式。见可供选中的文件格式可能会没有那么多有些类型的捕捉格式可能不可用，这取决于捕捉包的类型。可以直接保存为另一种格式。你可以以一种格式读取捕捉文件，保存时使用另外一种格式这句可能翻译有误。点击按钮保存。如果保存时遇到问题，会出现错误提示。确认那个错误提示以后，你可以重试。点击按钮退出而不保存捕捉包。5.3.2.输出格式可以将&不着的包保存为其原生格式文件，也可以保存为其他格式供其他工具进行读取分析。各文件类型之间的时间戳精度不尽相同将当前文件保存为其他格式可能会降低时间戳的精度，见第7.3节“时间戳Wireshark&可以保存为如下格式。libpcap,&tcpdump&and&various&other&tools&using&tcpdump's&capture&format&(*.pcap,*.cap,*.dmp)Accellent&5Views&(*.5vw)HP-UX's&nettl&(*.TRC0,*.TRC1)Microsoft&Network&Monitor&-&NetMon&(*.cap)Network&Associates&Sniffer&-&DOS&(*.cap,*.enc,*.trc,*fdc,*.syc)Network&Associates&Sniffer&-&Windows&(*.cap)Network&Instruments&Observer&version&9&(*.bfr)Novell&LANalyzer&(*.tr1)Sun&snoop&(*.snoop,*.cap)Visual&Networks&Visual&UpTime&traffic&(*.*)5.4.合并捕捉文件有时候你需要将多个捕捉文件合并到一起。例如：如果你对多个接口同时进行捕捉，合并就非常有用(Wireshark&实际上不能在同一个实体运行多次捕捉，需要开启多个&实体有三种方法可以合并捕捉文件：从菜单使用，menu&ite&Merge&(菜单项&合并&)，打开合并对话框，见第5.4.1节“合并文件对话框使用拖放功能，将多个文件拖放到主窗口。会创建一个临时文件尝试对拖放的文件按时间顺序进行合并。如果你只拖放一个文件，可能只是简单地替换已经打开的文件。使用&mergecap&工具。该工具是在命令行进行文件合并的。它提供了合并文件的丰富的选项设置。见5.4.1.合并文件对话框通过该对话框可以选择需要合并的文件，并载入合并它们。首先你会被提示有一个文件未保存如果当前文件未保存，会在启动合并对话框之前提示你是否保存文件。此处的对话框的大多数内容与打开捕捉文件对话框类似，参见第5.2.1节“打开捕捉文件对话框合并对话框中用于合并的控制选项：将包插入已存在文件前将选择文件内的包插入到当前已经载入文件之前按时间顺序合并文件将当前选择的文件和已载入的文件里的所有包按时间顺序合并追加包到当前文件将选择文件的包插入到当前载入文件的末尾表5.3.不同环境下的&Merge&Capture&File&A对话框图5.7.&Windows&下的&合并&对话框Microsoft&Windows(GTK2K&installed)此对话框一般都带有一些&扩展图5.8.新版&GtK&下的合并话框图5.9.旧版&GTK&下的合并对话框5.5.文件集合Unix/Linux:GTK&version&&=这是在&桌面环境下的合并对话框Unix/Linux:GTKversion&&2.4&/&MicrosoftWindows&(GTK1&installed在进行捕捉时见：第4.6节“捕捉文件格式、模式设置)如果设置多文件选项，捕捉数据会分割为多个文件，称为文件集合大量文件手动管理十分困难，的文件集合特性可以让文件管理变得方便一点。Wireshark&是如何知道一个文件所属的文件集合&t&的?文件集合中的文件名以前缀号码号码&日期时间后缀的形式生成的。类似于：文件集合所有的文件都有一个共同的前缀例如前面的和后缀例如以及变化的中间部分。要查找一个文件集合的所有文件。会扫描当前载入文件的目录下的所有文件，找到那些和当前文件名具有相同部分（前缀和后缀）的作为文件集合。这个简单的机制通常能正常运行，但也有它的弊端。如果几次进行的捕捉具有相同的前缀和后缀，会将它们看作同一个文件集合。如果文件被更名或者放在不同的目录下，这样的按文件名查找机制会无法找到文件集合的所有文件。使用菜单项的子菜单可以对文件集合集合进行很方便的控制。List&Files对话框显示一个对话框列出所有被识别出来属于当前文件集合的文件列表。Next&Files关闭当前文件，打开文件集合列表中的下一个文件。Previousou&Files关闭当前文件，打开文件集合列表中的前一个文件。5.5.1.文件列表对话框图5.10.文件列表对话框每行包含文件集合中的一个文件的相关信息。Filename&文件名称。如果你双击文件名称或者单击单选钮，当前文件会被关闭，同时载入对应的文件。Created文件创建时间。Last&Modified最后一次修改文件的时间。size文件的大小。最后一行显示所有文件所在的目录。在每次捕捉文件被打开、关闭时，对话框的内容会变化。Close&按钮关闭该对话框。5.6.导出数据Wireshark&支持多种方法，多种格式导出包数据，本节描述&常见的导出包数据方法。注意个别数据需要使用许多特殊方式导出，在合适的时候我们会对其进行介绍。XXX&-&add&detailed&descriptions&of&the&output&formats&and&some&sample&output,&too./同样需要对导出格式进行介绍，同样也需要一些范例范例5.6.1.&&Export&as&Plain&Text&File&对话框导出包数据为文本文本见，适合打印包数据。图5.11.&&E&xport&as&Plain&TFile&对话框Export&to&file:导出包数据为指定的文件Packet&Range参见第5.8节“包范围选项Packet&Details参见5.6.2.&&Export&as&PostScript&Fil对话框导出数据为&格式，是一种打印格式。提示PostScribt&文件可以使用&转换为&格式。例如导出文件名为&，然后调用&ps2pdf&foo.ps&命令就可以进行转换。图5.12.&&E&xportas&PostScript&File&对话框Export&to&file:导出包数据为指定的文件Packet&Range:&参见第5.8节“包范围选项Packet&Details:参见5.6.3.&&Export&as&CSVCS&(CommaSeparated&Values)&File&对话框注：笔者认为此处应该增加截屏，因为我的&xp&下界面与前图风格迥异，这里就不提供了导出包的摘要为&格式，可以被电子表格程序使用。Export&to&file导出包数据为指定的文件Packet&Range参见第5.8节“包范围选项5.6.4.&&Export&as&PSML&File&对话框导出包数据为PSML格式，它是一种仅包含包摘要信息的http://www.nbee.org/Docs/NetPDL/PSML.htm.图5.13.&&E&xportas&PSML&File&&对话框Export&to&file:导出包数据为指定的文件Packet&Range:&参见第5.8节“包范围选项xml格式。PSML格式的说明参见：上图没有诸如&的选项，因为&文件格式有特殊要求，不包含这些内容。5.6.5.&&Export&as&PDML&File&对话框导出数据包为PDML格式，PDML是包含包详情的xml格式文件。见:http://www.nbee.org/Docs/NetPDL/PDML.htm注意PDML&格式还没有发行版，执行&还处在测试阶段，期望外来版本会有所变化。图5.14.&&E&xportas&PDML&File&对话框Export&to&file:将包数据导出到Packet&Range:参见第5.8节“包范围选项上述对话框里没有诸如&选项，这是由于&格式约定的内容决定的。5.6.6.&&Export&selected&packet&bytes&对话框PDML文件的说明图5.15.&&E&xportSelected&Packet&Bytes&对话框Name:导出数据包为文件Save&in&folder&导出数据包到指定目录Browser&for&other&folders通过浏览来指定导出数据的目录。5.6.7.&&Export&Objects&对话框这个对话框是用来扫描当前打开包文件或者是正在捕捉中的包文件，将其中的对象，如&文档，图片文件，可执行文件等等任何可以通过&传输的对象进行重组集合，让你可以将他们保存刀磁盘。如果捕捉正在进行中，列表会在发现新对象之后的几秒内立即更新。保存的对象不需要进行额外处理就可以被对应的查看工具打开，或者直接运行如果它可以在&所在的平台运行的话。这项功能在&下的&中无法使用。图5.16.&&E&xportObjects&对话框各列说明Packet&num包含该对象数据的包的数目，有时候多个对象可能包含在同一个包里。Hostname作为服务器相应&请求发送对象的主机的主机名。Content&Type对象的&内容类型Bytes对象的字节数FilenameURL&的最后一部分最后一个之后。通常这部分是文件名，但有时是一个又常又复杂的字符串，这通常表明该文件是一个请求。类似于填写表单以后通过&提交后跳转页面的&按钮说明：Help打开本节的用户手册节？Close关闭该对话框Save&As用指定文件名保存当前选择对象。默认文件名是&列中显示的对象文件名。Save&All将列表中所有对象按&列显示名称保存。系统会提示你选择哪个目录文件夹保存他们。如果文件名在当前操作系统或者文件系统下不合法会提示错误，该对象不会被保存但其他对象会被保存。5.7.打印包要打印包，选择&菜单的菜单项。这时会弹出如图5.17&“&&Print&&对话框所示的打印对话框。5.7.1.打印&对话框图5.17.&Print&对话框下面的字段在打印对话可用。Printer该字段包括一对互斥的单选钮Print&Text指定包打印为&格式PostScript在打印过程中使用&打印软件生成打印输出。[15&]Output&to&file打印为文件，文件名使用输入的