wireshark新手導航

本篇教你如何開始使用Wireshark。開始本篇以前，請先已經安裝完wireshark 3.0.0。

 初始界面

---

啓動wireshark，能夠看到程序界面主要由如下幾部分組成：

窗口標題-window title 

菜單-menu
工具欄-main toolbar
封包列表-packet list (empty)
封包詳情-packet details (empty)
封包字節-packet bytes (empty)
狀態欄-statusbar (with filter toolbar)

 

初始時Wireshark下沒有數據包，因此大部分程序窗口都顯示爲空.

菜單中的大部分可用按鈕都在工具欄也會顯示

 

抓取報文

---

 首先，抓取網絡報文或數據。有兩種方式：

—打開已存在的抓包文件

—直接在網絡上抓取

若是不會本身抓包，可用使用已有的抓包文件。從 "http://www.wireshark.org/sample" 能夠獲取抓包文件

從菜單上 "File->Open..." （或者從工具欄) 打開已有抓包文件

注意: 抓包文件常見擴展名 ".cap" (or ".cap.gz" for gzipped 等).

打開抓包文件後，你就能在屏幕上看到數據包了:-)

 

顯示區域

---

封包列表，有不少列，包括封包序號，時間戳（s），源地址，協議。選中封包，詳情顯示在下方封包詳情窗口。

封包詳細信息，顯示當前選中封包的詳細信息。展開樹節點查看更所封包詳情。

封包字節，以16進制形式顯示封包數據。和封包詳細信息顯示內容相同，只是展示方式不一樣。在封包詳細信息中選中部份內容，在封包字節窗口會同步高亮顯示相同內容，反之亦然。

三個顯示區域都有各自的內容菜單，在區域內單擊右鍵便可見。

如何分析特定協議的網絡數據不在本文討論範圍內

 

顯示過濾器

---

經過設置顯示過濾器，可用減小封包顯示數量（過濾掉不關注的封包）。查看幫助窗口的 "Display Filters"獲取更多顯示過濾使用方案。

 

色彩標識:

---

封包列表能夠設置顏色；這意味着不一樣的封包能夠用不一樣顏色，經過顏色讓各類協議的報文一目瞭然。例如默認綠色是TCP報文，深藍色是DNS，淺藍是UDP，黑色標識出有問題的TCP報文——好比亂序報文。

有兩類着色規則：臨時的（僅用於當前對話）和永久性（跨對話使用）

臨時着色：按住<ctrl> +數字鍵 (0-9)建立，這種方式只對當前選中及同類的封包有效。臨時着色也能夠經過菜單-視圖-對話着色，選中 color X來添加着色

永久着色：菜單-視圖-着色規則，這裏是永久性着色規則。這個着色列表會逐條對照報文，直到找到匹配的規則並着色。若是沒有匹配，則報文捕捉色。

注意：當抓取報文文件很大時，過多的着色規則會使進程變慢。

 

其餘顯示

---

你能夠標記報文，以方便再次查閱；若是對指定包之間的時間關係感興趣，也能夠設置時間參考。 

注意：當關閉抓包文件後，這些設置會丟失。

 

網絡抓包

---

估計你如今很想在網絡接口上體驗一下真實的數據抓包。

打開菜單的「捕獲->開始」，能夠看到不少設置選項。初次使用，保持默認設置就好。

單擊 "OK"，開始抓取並彈出一個對話框，顯示實際抓包數量以及一些封包的基礎統計數據

當中止抓取，屏幕顯示和你經過 "File->Open" 命令從磁盤打開抓包文件顯示的同樣

查看幫助的「捕獲」章節，能夠獲取更多信息

 

總結

---

 這裏描述功能有限，更多功能能夠查看下菜單。

學習更多Wireshark知識，參考官網"http://www.wireshark.org"，官網提供用戶使用指南以及其餘有用信息。

咱們但願本文幫助你瞭解了Wireshark的基礎使用，但願你會喜歡上這款軟件。 

 

注：本文來源官網意譯，如需轉載情聯繫