Wireshark初步入門

第一次捕獲數據包

爲了能讓Wireshark獲得一些數據包，你能夠開始你的第一次數據包捕獲實驗了。你可能會想：「當網絡什麼問題都沒有的時候，怎麼能捕獲數據包呢？」
首先，網絡老是有問題的。
其次，作數據包分析並不必定要等到有問題的時候再作。事實上，大多數的數據包分析員在分析沒有問題的網絡流量上花的時間要比解決問題的時候多。爲了能高效地解決網絡問題，你也一樣須要獲得一個基準來與之對比。舉例來講，若是你想經過分析網絡流量來解決關於DHCP的問題，你至少須要知道DHCP在正常工做時的數據流是什麼樣子的。
更普遍地講，爲了可以發現平常網絡活動的異常，你必須對平常網絡活動的狀況有所瞭解。
下面咱們來捕獲數據包。

1. 打開Wireshark。
2. 從主下拉菜單中選擇Capture，而後是Interface。（捕獲 --> 選項）
   這時你應該能夠看到一個對話框，裏面列出了你能夠用來捕獲數據包的各類設備，以及它們的IP地址。
3. 選擇你想要使用的設備，如圖所示，單擊Start，或者直接單擊歡迎畫面中Interface List下的某一個設備。隨後數據就會在窗口中顯現出來。
   
   
4. 等上一分鐘左右，當你打算中止捕獲並查看你的數據時，在Capture的下拉菜單中單擊Stop按鈕便可。（捕獲 --> 中止）

當作完以上步驟，Wireshark的主窗口中應該已經呈現了相應的數據，但此時你可能對這些數據的規模感到頭疼，這也就是爲何咱們把Wireshark一整塊的主窗口進行劃分的緣由。

Wireshark主窗口

Wireshark的主窗口以下所示。

Wireshark主窗口的設計包括3個面板：Packet List、Packet Details、Packet Bytes。
主窗口的3個面板想忽悠着來呢西。若是但願在Packet Details面板中查看一個單獨的數據包的具體內容，你必須在Packet List面板中單擊選中那個數據包。在你選中了數據包以後，你能夠經過在Packet Details面板中選中數據包的某個字段，從而在Packet Bytes面板中查看相應字段的字節信息。
下面介紹每一個面板的內容。
Packet List(數據包列表): 最上面的面板用表格顯示了當前不惑文件中的全部數據包，其中包括了數據包序號、數據包被捕獲的相對時間、數據包的源地址和目的地址、數據包的協議以及在數據包中找到的概況信息等列。
Packet Details(數據包細節): 中間的面板分層地顯示了一個數據包中地內容，而且能夠經過展開或是收縮來顯示這個數據包中所捕獲地所有內容。
Packet Bytes(數據包字節): 最下面的面板多是最使人困惑地，由於它顯示了一個數據包未經處理地原始樣子，也就是其在鏈路上傳播時地樣子。這些原始數據看上去一點都不舒服並且不容易理解。

Wireshark首選項

Wireshark提供了一些首選項設定，可讓你根據須要進行定時。若是須要設定Wireshark首選項，在主下拉菜單中選擇Edit而後單擊Preferences，而後你即可以看到一個首選項地對話框，裏面有一些能夠定製地選項，如圖所示。 （編輯 --> 首選項）

Wireshark首選項分爲6個主要部分。
User Interface(用戶接口): 這些選項決定了Wireshark將如何顯示數據。你能夠根據你的我的喜愛對大多數選項進行調整，好比是否保存窗口位置、3個主要窗口的佈局、滾動條地擺放、Packet List面板中列地擺放，以及顯示捕獲數據的字體、前景色和背景色等。
Capture(捕獲): 這些選項可讓你對捕獲數據包地方式進行特殊的設定，好比你默認使用的設備、是否默認使用混雜模式、是否實時更新Packet List面板等。
Printing(打印): 這個部分中的選項可讓你對Wireshark如何打印你的數據進行特殊的設定。
Name Resolutions(名字解析): 經過這些設定，你能夠開啓Wireshark將地址（包括MAC、網絡以及傳輸名字解析）解析成更加容易分辨地名字這一功能，而且能夠設定能夠併發處理名字解析請求的最大數目。
Statistics(統計): 這一部分提供了一些Wireshark中統計功能地設定選項。
Protocols(協議): 這個部分中的選項與捕捉和顯示各類Wireshark可以解碼地數據包有關。並非每個協議都有配置選項，可是一些協議地某些選項則能夠進行更改。除非你有特殊的緣由去修改這些選項，不然最好保持它們地默認值。

數據包彩色高亮

Wireshark地彩色高亮有助於快速標識協議。

每個數據包地顏色都是有講究地，這些顏色對應着數據包使用的協議。舉例來講，全部的DNS流量都是藍色的，而HTTP流量都是綠色的。將數據包進行彩色高亮，可讓你很快地講不通協議的數據包分開，而不須要對每一個數據包都查看Packet List面板中地協議列。你會發現這樣在瀏覽較大地不惑文件時，能夠極大地節省時間。

如圖所示，Wireshark經過Coloring RUles（着色規則）窗口能夠很容易地查看每一個協議所對應的顏色。能夠在主下拉菜單中選擇View而後單擊Coloring Rules來打開這個窗口。

你能夠建立你本身的着色規則，或者修改已有設置。舉例來講，使用下列步驟能夠講=將HTTP流量綠色的默認背景改爲淡紫色。

1. 打開Wireshark，而且打開Coloring Rules窗口（View -> Coloring Rules）。
2. 在着色規則地列表中找到HTTP着色規則並單擊選中。
3. 單擊Edit按鈕，你會看到一個Edit Color Filter窗口，以下圖所示。
   
   這裏的2.2.7版本稍微有一點改動，具體能夠看出來。
4. 單擊Background Color按鈕。
5. 使用顏色滾輪選擇一個你但願使用的顏色，而後單擊OK。
6. 再次單擊OK來應用改變，並回到主窗口。主窗口此時應該已經重載，並使用了更改過的顏色樣式。

讓你在網絡上使用Wireshark時，你可能會發現你處理某些協議比其餘協議要多。這時彩色高亮地數據包就能讓你工做地更加方便。舉例來講，若是你以爲你的網絡上有一個惡意的DHCP服務器在分發IP，你能夠簡單地修改DHCP協議的着色規則，使其呈現黃色（或者其餘便於辨認地顏色）。這可使你可以更快地找出全部DHCP流量，並讓你地數據包分析工做更有效率。 你還能夠經過基於你本身定製地過濾器建立着色規則，來擴展這些着色規則地用途。