2024wireshark工具使用手冊(cè)

wireshark工具應(yīng)用手冊(cè)第1章介紹目錄什么是Wireshark主要應(yīng)用特性捕捉多種網(wǎng)絡(luò)接口支持多種其它程序捕捉的文件支持多格式輸出對(duì)多種協(xié)議解碼提供支持開(kāi)源軟件Wireshark不能做的事系通需求一般說(shuō)明MicrosoftWindowsUnix/Linux從哪里可以得到WiresharkWiresahrk簡(jiǎn)史Wireshark開(kāi)發(fā)維護(hù)匯報(bào)問(wèn)題和獲得幫助網(wǎng)站百科全書(shū)FAQ郵件列表報(bào)告問(wèn)題UNIX/Linux平臺(tái)追蹤軟件錯(cuò)誤Windows平臺(tái)追蹤軟件錯(cuò)誤Wireshark是網(wǎng)絡(luò)包分析工具。網(wǎng)絡(luò)包分析工具的主要作用是嘗試捕獲網(wǎng)絡(luò)包，并嘗試顯示包的盡可能詳細(xì)的情況。（當(dāng)然比那個(gè)更高級(jí)）過(guò)去的此類(lèi)工具要么是過(guò)于昂貴，要么是屬于某人私有，或者是二者兼顧。Wireshark出現(xiàn)以后，這種現(xiàn)狀得以改變。Wireshark可能算得上是今天能使用的最好的開(kāi)元網(wǎng)絡(luò)分析軟件。主要應(yīng)用下面是Wireshark一些應(yīng)用的舉例：網(wǎng)絡(luò)管理員用來(lái)解決網(wǎng)絡(luò)問(wèn)題網(wǎng)絡(luò)安全工程師用來(lái)檢測(cè)安全隱患開(kāi)發(fā)人員用來(lái)測(cè)試協(xié)議執(zhí)行情況用來(lái)學(xué)習(xí)網(wǎng)絡(luò)協(xié)議除了上面提到的，Wireshark還可以用在其它許多場(chǎng)合。特性支持UNIX和Windows在接口實(shí)時(shí)捕捉包能詳細(xì)顯示包的詳細(xì)協(xié)議信息可以打開(kāi)/保存捕捉的包可以導(dǎo)入導(dǎo)出其他捕捉程序支持的包數(shù)據(jù)格式可以通過(guò)多種方式過(guò)濾包多種方式查找包通過(guò)過(guò)濾以多種色彩顯示包創(chuàng)建多種統(tǒng)計(jì)分析…還有許多不管怎么說(shuō)，要想真正了解它的強(qiáng)大，您還得使用它才行圖1.1.Wireshark捕捉包并允許您檢視其內(nèi)容捕捉多種網(wǎng)絡(luò)接口Wireshark可以捕捉多種網(wǎng)絡(luò)接口類(lèi)型的包，哪怕是無(wú)線局域網(wǎng)接口。想了解支持的所有網(wǎng)絡(luò)接口類(lèi)型，可以在我們的網(wǎng)站上找到\h/CaptureSetup/NetworkMedia.支持多種其它程序捕捉的文件Wireshark可以打開(kāi)多種網(wǎng)絡(luò)分析軟件捕捉的包，詳見(jiàn)???支持多格式輸出Wieshark可以將捕捉文件輸出為多種其他捕捉軟件支持的格式，詳見(jiàn)???對(duì)多種協(xié)議解碼提供支持可以支持許多協(xié)議的解碼(在Wireshark中可能被稱(chēng)為解剖)???開(kāi)源軟件Wireshark是開(kāi)源軟件項(xiàng)目，用GPL協(xié)議發(fā)行。您可以免費(fèi)在任意數(shù)量的機(jī)器上使用它，不用擔(dān)心授權(quán)和付費(fèi)問(wèn)題，所有的源代碼在GPL框架下都可以免費(fèi)使用。因?yàn)橐陨显颍藗兛梢院苋菀自赪ireshark上添加新的協(xié)議，或者將其作為插件整合到您的程序里，這種應(yīng)用十分廣泛。不能做的事Wireshark不能提供如下功能Wireshark不是入侵檢測(cè)系統(tǒng)。如果他/她在您的網(wǎng)絡(luò)做了一些他/她們不被允許的奇怪的事情，Wireshark不會(huì)警告您。但是如果發(fā)生了奇怪的事情，Wireshark可能對(duì)察看發(fā)生了什么會(huì)有所幫助。[3]Wireshark“測(cè)量”(監(jiān)視Wireshark不會(huì)發(fā)送網(wǎng)絡(luò)包或做其它交互性的事情（名稱(chēng)解析除外，但您也可以禁止解析。[3]譯者注：因?yàn)椴皇侨肭謾z測(cè)之用，所以不會(huì)將入侵檢測(cè)和普通通信區(qū)別對(duì)待，但是都會(huì)體現(xiàn)在網(wǎng)絡(luò)包里面，如果您有足夠的經(jīng)驗(yàn)，或許能通過(guò)監(jiān)視網(wǎng)絡(luò)包發(fā)現(xiàn)入侵檢測(cè)想要安裝運(yùn)行Wireshark需要具備的軟硬件條件...一般說(shuō)明給出的值只是最小需求，在大多數(shù)網(wǎng)絡(luò)中可以正常使用，但不排除某些情況下不能使用。[4]在繁忙的網(wǎng)絡(luò)中捕捉包將很容塞滿您的硬盤(pán)！舉個(gè)簡(jiǎn)單的例子：在100MBIT/s全雙工以太網(wǎng)中捕捉數(shù)據(jù)將會(huì)產(chǎn)生750MByties/min的數(shù)據(jù)！在此類(lèi)網(wǎng)絡(luò)中擁有高速的CPU，大量的內(nèi)存和足夠的磁盤(pán)空間是十分有必要的。如果Wireshark運(yùn)行時(shí)內(nèi)存不足將會(huì)導(dǎo)致異常終止?？梢栽赲h/KnownBugs/OutOfMemory察看詳細(xì)介紹以及解決辦法。Wireshark作為對(duì)處理器時(shí)間敏感任務(wù)，在多處理器/多線程系統(tǒng)環(huán)境工作不會(huì)比單獨(dú)處理器有更快的速度，例如過(guò)濾包就是在一個(gè)處理器下線程運(yùn)行，除了以下情況例外：在捕捉包時(shí)“實(shí)時(shí)更新包列表”，此時(shí)捕捉包將會(huì)運(yùn)行在一個(gè)處理下，顯示包將會(huì)運(yùn)行在另一個(gè)處理器下。此時(shí)多處理或許會(huì)有所幫助。[5]MicrosoftWindows2000,XPHome版,XPPro版,XPTabletPC，XPMediaCenter,Server2003orVista(推薦在XP下使用)32-bit奔騰處理器或同等規(guī)格的處理器（建議頻率：400MHz或更高）,64-bit處理器在WoW64仿真環(huán)境下-見(jiàn)一般說(shuō)明128MB系統(tǒng)內(nèi)存（建議256Mbytes或更高）75MB可用磁盤(pán)空間（如果想保存捕捉文件，需要更多空間）800*600（建議1280*1024或更高）分辨率最少65536(16bit)色，(256色舊設(shè)備安裝時(shí)需要選擇”legacyGTK1”)網(wǎng)卡需求：以太網(wǎng)：windows支持的任何以太網(wǎng)卡都可以無(wú)線局域網(wǎng)卡：見(jiàn)MicroLogixsupportlist,不捕捉802.11包頭和無(wú)數(shù)據(jù)楨。其它接口見(jiàn)：\h/CaptureSetup/NetworkMedia說(shuō)明基于以下三點(diǎn)原因，將不會(huì)對(duì)舊版Windows（如等支持。Windows95,98不能運(yùn)行Wireshark。已知的最后一個(gè)可以運(yùn)行在以上平臺(tái)的版本是Ethereal0.99.0(需要安裝WinPCap3.1),你依然可以使用從:\h/download.html獲得。順便提一下：微軟于2006年1月11日停止對(duì)98/ME支持。WindowsNT4.0今后將無(wú)法運(yùn)行Wireshark.最有一個(gè)已知版本是Wireshark0.99.4(需安裝自帶的WinPCap3.1),你依然可以從：\h/wireshark/wireshark-setup-0.99.4.exe得到它。順便提一下：微軟于2005年12月31日停止對(duì)NT4.0的支持。WindowsCE及嵌入版windows（NT/XP）不被支持。64-bit處理器運(yùn)行Wireshark需要在32bit仿真環(huán)境下(稱(chēng)作WoW64),最低需要安裝WinPCap4.0。支持多顯示(不知道是顯示其還是監(jiān)視器)安裝，但會(huì)遇到一些不可預(yù)料的問(wèn)題。Unix/LinuxWireshark目前可以運(yùn)行在許多UNIX平臺(tái)，系統(tǒng)可以對(duì)照上面Windows下的指標(biāo)。二進(jìn)制包最少在以下平臺(tái)可用：APPleMacOSXDebianGNU/LinuxFreeBSDNetBSDOpenPKGRedHatFedora/EnterpriseLinuxrPathLinuxSunSolaris/i386SunSolaris/Sparc如果二進(jìn)制包在您的平臺(tái)無(wú)法使用，你可以下載源文件并嘗試編譯它。 希望您能發(fā)送郵件到wireshark-dev[AT].分享您的經(jīng)驗(yàn)。[4]譯者注：原文“Thevaluesbelowaretheminimumrequirementsandonly"rulesofthumb"foruseonamoderatelyusednetwork”，其中”rulesofthumb”中譯名應(yīng)該是拇指規(guī)則，但網(wǎng)上關(guān)于拇指規(guī)則解釋莫衷一是，大致意思是說(shuō)：大多數(shù)情況下適用，但并非所有情況。這里翻譯的有點(diǎn)別扭[5]譯者注：我對(duì)這句話的理解是，正如播放電影一樣，高性能的處理器只會(huì)增強(qiáng)顯示效果，您并不需要將原來(lái)30分鐘的影片10分鐘之內(nèi)看完。當(dāng)然，對(duì)減少延時(shí)還是有作用的。但是感覺(jué)這句有點(diǎn)閱讀困難，可能翻譯的有點(diǎn)問(wèn)題.你可以從我們的網(wǎng)站下載最新版本的Wireshark\h/download.html.網(wǎng)站上您可以選擇適合您的鏡像站點(diǎn)。Wireshark通常在4-8周內(nèi)發(fā)布一次新版本如果您想獲得Wireshark發(fā)布的消息通知，你可以訂閱Wireshark-announce郵件列表。詳見(jiàn)第1.6.4節(jié)“郵件列表”簡(jiǎn)史[6]1997年以后，GeraldCombs需要一個(gè)工具追蹤網(wǎng)絡(luò)問(wèn)題并想學(xué)習(xí)網(wǎng)絡(luò)知識(shí)。所以他開(kāi)始開(kāi)發(fā)Ethereal(Wireshark項(xiàng)目以前的名稱(chēng))以解決以上的兩個(gè)需要。Ethereal是第一版，經(jīng)過(guò)數(shù)次開(kāi)發(fā)，停頓，1998年，經(jīng)過(guò)這么長(zhǎng)的時(shí)間，補(bǔ)丁，Bug報(bào)告，以及許多的鼓勵(lì)，0.2.0版誕生了。Ethereal就是以這種方式成功的。此后不久，GilbertRamirez發(fā)現(xiàn)它的潛力，并為其提供了底層分析1998年10月，GuyHarris正尋找一種比TcpView更好的工具，他開(kāi)始為Ethereal進(jìn)行改進(jìn)，并提供分析。998年以后，正在進(jìn)行TCP/IP教學(xué)的RichardSharpe關(guān)注了它在這些課程中的作用。并開(kāi)始研究該軟件是否他所需要的協(xié)議。如果不行，新協(xié)議支持應(yīng)該很方便被添加。所以他開(kāi)始從事Ethereal的分析及改進(jìn)。從那以后，幫助Ethereal的人越來(lái)越多，他們的開(kāi)始幾乎都是由于一些尚不被Ethereal支持的協(xié)議。所以他們拷貝了已有的解析器，并為團(tuán)隊(duì)提供了改進(jìn)回饋。2006年項(xiàng)目MovedHouse（這句不知道怎么翻譯）并重新命名為：Wireshark.[6]本段因?yàn)橛泻芏鄥f(xié)議，程序開(kāi)發(fā)方面的術(shù)語(yǔ)，翻譯得比較糟糕WiresharkCombs開(kāi)發(fā)。目前由Wiresharkteam進(jìn)行進(jìn)一步開(kāi)發(fā)和維護(hù)。Wiresharkteambug提高Wireshark功能的獨(dú)立成員組成的松散組織。有大量的成員為Wireshark提供協(xié)議分析。同時(shí)我們也希望這些活動(dòng)能持續(xù)機(jī)芯。通過(guò)查看Wireshark幫助菜單下的About,你可以找到為Wireshark提供代碼的人員名單，或者你也可以通過(guò)Wireshark網(wǎng)站的authors頁(yè)面找到。WiresharkGNUGeneralPublicLicence(GPL協(xié)議),所有源代碼可以在GPL迎您修改Wireshark以便適合您的需要，如果您可以提供您的改進(jìn)給Wiresharkteam，我們將不勝感激。為WiresharkTeam提供您的改進(jìn)建議，有以下益處：如果其他人發(fā)現(xiàn)您提供的改進(jìn)十分有用會(huì)肯定它們的價(jià)值，您將會(huì)得知你曾像Wiresharkteam一樣幫助過(guò)他人ThedevelopersofWiresharkmightimproveyourchangesevenmore,asthere'salwaysroomforimprovement.Ortheymayimplementsomeadvancedthingsontopofyourcode,whichcanbeusefulforyourselftoo.ThemaintainersanddevelopersofWiresharkwillmaintainyourcodeaswell,fixingitwhenAPIchangesorotherchangesaremade,andgenerallykeepingitintunewithwhatishappeningwithWireshark.SoifWiresharkisupdated(whichisdoneoften),youcangetanewWiresharkversionfromthewebsiteandyourchangeswillalreadybeincludedwithoutanyeffortforyou.Wireshar源代碼和二進(jìn)制kits（二進(jìn)制工具包？）可以根據(jù)自己的平臺(tái)對(duì)應(yīng)下載，網(wǎng)站是：\h/download.html.如果您在使用中碰到了問(wèn)題，或者您需要Wireshark的幫助，有以下幾種可能讓您有興趣的方法（當(dāng)然，還包括這本書(shū)。網(wǎng)站通過(guò)訪問(wèn)\h你將會(huì)發(fā)現(xiàn)關(guān)于Wireshark許多有用的信息。百科全書(shū)WiresharkWiki()提供廣泛的跟Wireshark以及捕捉包有關(guān)信息。你將會(huì)發(fā)現(xiàn)一些沒(méi)有被包括在本書(shū)內(nèi)信息，例如：wiki上有解釋如何在交換網(wǎng)絡(luò)捕捉包，同時(shí)我們正努力建立協(xié)議參考，等等。最好的事情是，如果對(duì)某些知識(shí)有獨(dú)到見(jiàn)解（比如您精通某種協(xié)議，您可以通過(guò)瀏覽器編輯它。FAQ最經(jīng)常被問(wèn)到的問(wèn)題“FrequentlyAskedQuestions”提供一個(gè)經(jīng)常被問(wèn)到的問(wèn)題以及答案的列表。ReadTheFAQ在您發(fā)送任何郵件到郵件列表之前，確信您已經(jīng)閱讀了FAQ，因?yàn)檫@里面很可能已經(jīng)提（郵件列表下面的幾個(gè)幾個(gè)郵件列表，分別屬于不同的主題：Wireshark-users這是一個(gè)Wireshark用戶的列表，大家提交關(guān)于安裝和使用Wireshark的問(wèn)題，其它人（非常有用）提供的答案。（譯者注：其他人當(dāng)然也是指用戶？）wireshark-announce這是一個(gè)關(guān)于程序發(fā)布信息的列表，通常每4-8周出現(xiàn)一次。wireshark-dev這是一個(gè)關(guān)于Wireshark開(kāi)發(fā)的郵件列表，如果開(kāi)始開(kāi)發(fā)協(xié)議分析，可以從加入該列表你可以通過(guò)網(wǎng)站\h訂閱每個(gè)郵件列表.簡(jiǎn)單點(diǎn)擊網(wǎng)站左手邊的郵件列表鏈接就可以。郵件同樣在網(wǎng)站上可以看到存檔。提示您就不必提交郵件以等待別人答復(fù)您了。報(bào)告問(wèn)題注意在您提交任何問(wèn)題之前，請(qǐng)確定您安裝的是最新版本的Wireshark。當(dāng)您提交問(wèn)題的時(shí)候，如果您提供如下信息將會(huì)對(duì)解決問(wèn)題很有幫助。WiresharkWireshark–v命令獲得版本號(hào)（UNIX/Linux平臺(tái)。運(yùn)行Wireshark的平臺(tái)信息。關(guān)于問(wèn)題的詳細(xì)描述。（發(fā)生問(wèn)題的地方。請(qǐng)不要發(fā)送諸如：“Igotawarningx”[7]，因?yàn)檫@樣看起來(lái)不是個(gè)好主意。不要發(fā)送大文件不要發(fā)送過(guò)大的文件（>100KB）本就可以。大文件會(huì)讓很多郵件列表里的那些對(duì)您的問(wèn)題不感興趣的用戶感到惱怒。如果需要，你可以單獨(dú)發(fā)送那些數(shù)據(jù)給對(duì)您問(wèn)題真正感興趣，要求您發(fā)送數(shù)據(jù)的人。不要發(fā)送機(jī)密信息！諸如此類(lèi)的。UNIX/Linux平臺(tái)追蹤軟件錯(cuò)誤你可以通過(guò)如下命令獲得追蹤信息：$gdb`whereiswireshark|cut-f2-d:|cut-d''-f2`core>&bt.txtbacktrace^D$注意注意追蹤是一個(gè)GDB命令。你可以在輸完第一上以后輸入它，但是會(huì)沒(méi)有相應(yīng)，^D命令（CTL+D）將會(huì)退出GDB命令。以上命令讓你在當(dāng)前目錄得到一個(gè)名為bt.txt的文本文件，它包含您的bug報(bào)告。注意如果您缺少GDB，您必須檢查您的操作系統(tǒng)的調(diào)試器。你可以發(fā)送追蹤?quán)]件到wireshark-dev[AT]郵件列表平臺(tái)追蹤軟件錯(cuò)誤Windows下無(wú)法包含符號(hào)文件(.pdb),它們非常大。因此不太可能創(chuàng)建十分有意義的追蹤文件。你將匯報(bào)軟件錯(cuò)誤就像前面描述的其他問(wèn)題一樣。（這句不盡人意）[7]譯者注：那句話的意思是，我在XX時(shí)碰到一個(gè)警告信息[8]譯者注：原文是："Typethecharactersinthefirstlineverbatim!Thoseareback-ticsthere!",Thoseareback-ticsthere!不知道是什么意思，back-tics=后勤抽搐？熟悉Linux的或許知道第2目錄須知獲得源在UNIX下安裝之前2.4.在UNIX下編譯Wireshark2.5.在UNIX下安裝二進(jìn)制包2.5.1.Linux或類(lèi)似環(huán)境下安裝RPM2.5.2.Debian環(huán)境下安裝Deb包2.5.3.GentooLinux環(huán)境下安裝Portage2.5.4.FreeBSD環(huán)境下安裝包2.6.解決UNIX下安裝過(guò)程中的問(wèn)題2.7.在Windows下編譯源2.8.在Windows下安裝Wireshark2.8.1.安裝WiresharkWinPcapWiresharkWinPcapWiresharkWinPcap須知萬(wàn)事皆有開(kāi)頭，Wireshark也同樣如此。要想使用Wireshark，你必須：獲得一個(gè)適合您操作系統(tǒng)的二進(jìn)制包，或者獲得源文件為您的操作系統(tǒng)編譯。目前，只有兩到三種Linux發(fā)行版可以傳送Wireshark，而且通常傳輸?shù)亩际沁^(guò)時(shí)的版本。至今尚未有UNIX版本可以傳輸Wireshark.Windows的任何版本都不能傳輸Wireshark.基于以上原因，你需要知道從哪能得到最新版本的Wireshark以及如何安裝它。本章節(jié)向您展示如何獲得源文件和二進(jìn)制包，如何根據(jù)你的需要編譯Wireshark源文件。以下是通常的步驟：下載需要的相關(guān)包，例如：源文件或者二進(jìn)制發(fā)行版。將源文件編譯成二進(jìn)制包(如果您下載的是源文件的話。這樣做做可以整合編譯和/安裝二進(jìn)制包到最終目標(biāo)位置。你可以從Wireshark網(wǎng)站\h.同時(shí)獲取源文件和二進(jìn)制發(fā)行版。下載所有需要的文件!一般來(lái)說(shuō)，除非您已經(jīng)下載Wireshark,如果您想編譯Wireshark源文件，您可能需要下載多個(gè)包。這些在后面章節(jié)會(huì)提到。注意通常會(huì)有多個(gè)版本緊跟在當(dāng)前版本后面，那些通常時(shí)擁有那些平臺(tái)的用戶編譯的?；谝陨显?，您可能想自己下載源文件自己編譯，因?yàn)檫@樣相對(duì)方便一點(diǎn)。在編譯或者安裝二進(jìn)制發(fā)行版之前，您必須確定已經(jīng)安裝如下包：GTK+,TheGIMPToolKit.您將會(huì)同樣需要Glib.它們都可以從\h獲得。Libpcap,Wireshark用來(lái)捕捉包的工具您可以從\h獲得。根據(jù)您操作系統(tǒng)的不同，您或許能夠安裝二進(jìn)制包，如RPMs.如果您已經(jīng)下載了GTK+源文件，2.1GTK+”提供的指令對(duì)您編譯有所幫助。例2.1.gzip-dcgtk+-1.2.10.tar.gz|tarxvf-<muchoutputremoved>./configure<muchoutputremoved>makeinstall<muchoutputremove>test------注意您可能需要修改2.1GTK+版本。如果GTKtarxvf注意如果您使用Linux,或者安裝了GUNtar，您可以使用tarzxvfgtk+-1.2.10.tar.gz命令。同樣也可能使用gunzip–c或者gzcat而不是許多UNIX中的gzip–dc注意如果您在windowsgtk+如果在執(zhí)行例2.1“從源文件編譯GTK+”中的指令時(shí)有錯(cuò)誤發(fā)生的話，你可以咨詢GTK+網(wǎng)站。libpcap源，一般指令如2.2編譯、安裝libpcap”顯示的那樣會(huì)幫您完成編譯。同樣，如果您的操作tcpdump,您可以從tcpdump網(wǎng)站下載安裝它。例2.2.編譯、安裝libpcapgzip-dclibpcap-0.9.4.tar.Z|tarxvf-<muchoutputremoved>cdlibpcap-0.9.4./configure<muchoutputremoved>make<muchoutputremoved>makeinstall<muchoutputremoved>注意Libpcap的目錄需要根據(jù)您的版本進(jìn)行修改。tarxvf命令顯示您解壓縮的目錄。6.x及其以上版本環(huán)境下（包括基于它的發(fā)行版，如Mandrake）,您可以直接運(yùn)行RPM安裝所有的包。大多數(shù)情況GTK+和2.3LinuxRPM包RPMs。例2.3.Linux6.2包c(diǎn)d/mnt/cdrom/RedHat/RPMSrpm-ivhglib-1.2.6-3.i386.rpmrpm-ivhglib-devel-1.2.6-3.i386.rpmrpm-ivhgtk+-1.2.6-7.i386.rpmrpm-ivhgtk+-devel-1.2.6-7.i386.rpmrpm-ivhlibpcap-0.4-19.i386.rpm注意如果您使用RedHat6.2之后的版本，需要的RMPs包可能已經(jīng)變化。您需要使用正確的RMPs包。在Debianapt-ge命令。apt-get將會(huì)為您完成所有的操作。參見(jiàn)2.4Deban下安裝Deb”例2.4.Debapt-getinstallwireshark-dev如果在Unix操作系統(tǒng)下可以用如下步驟編譯Wireshark源代碼：如果使用Linux則解壓gzip'dtar文件,如果您使用UNIX，則解壓GUNtar文件。對(duì)于Linux命令如下：tarzxvfwireshark-0.99.5-tar.gz對(duì)于UNIX版本，命令如下gzip-dwireshark-0.99.5-tar.gztarxvfwireshark-0.99.5-tar注意gzip–dcWireshark-0.99.5-tar.gz|tarxvf同樣可以注意如果您在Windows下下載了Wireshark,你會(huì)發(fā)現(xiàn)文件名中的那些點(diǎn)變成了下劃線。將當(dāng)前目錄設(shè)置成源文件的目錄。配置您的源文件以編譯成適合您的Unix的版本。命令如下：./configureconfigure.解決編譯錯(cuò)誤可以參考2.6UNIX下安裝過(guò)程中”使用make命令將源文件編譯成二進(jìn)制包，例如：make安裝您編譯好的二進(jìn)制包到最終目標(biāo)，使用如下命令：makeinstall一旦您使用makeinstall安裝了Wireshark,您就可以通過(guò)輸入Wireshark命令來(lái)運(yùn)行它了。[9]譯者注：看到別人翻譯Pipelin之類(lèi)的，似乎就是叫管道，不知道是否準(zhǔn)確一般來(lái)說(shuō)，在您的UNIX下安裝二進(jìn)制發(fā)行包使用的方式根據(jù)您的UNIX的版本類(lèi)型而各有不同。例如AIX下，您可以使用smit安裝，Tru64UNIX您可以使用setld命令。RPM包使用如下命令安裝WiresharkRPM包rpm-ivhwireshark-0.99.5.i386.rpm如果因?yàn)槿鄙賅ireshark依賴(lài)的軟件而導(dǎo)致安裝錯(cuò)誤，請(qǐng)先安裝依賴(lài)的軟件，然后再?lài)L試安裝。REDHAT下依賴(lài)的軟件請(qǐng)參考例2.3“在RedHatLinux6.2或者基于該版本得發(fā)行版下安裝需要的RPM包”DebianDeb包使用下列命令在Debian下安裝Wiresharkapt-getinstallWiresharkapt-get會(huì)為您完成所有的相關(guān)操作Portage使用如下命令在GentooLinux下安裝wireshark以及所有的需要的附加文件USE="adnsgtkipv6portaudiosnmpsslkerberosthreadsselinux"emergewiresharkFreeBSD環(huán)境下安裝包使用如下命令在FreeBSD下安裝Wiresharkpkg_add-rwiresharkpkg_add會(huì)為您完成所有的相關(guān)操作[10]安裝過(guò)程中可能會(huì)遇到一些錯(cuò)誤信息。這里給出一些錯(cuò)誤的解決辦法：如果configureconfig.log(在源文件目錄下一般原因是因?yàn)槟鄙貵TK+環(huán)境，或者您的GTK+版本過(guò)低。configure錯(cuò)誤的另一個(gè)原因是因?yàn)橐驗(yàn)槿鄙賚ibpcap(這就是前面提到的捕捉包的工具)。另外一個(gè)常見(jiàn)問(wèn)題是很多用戶抱怨最后編譯、鏈接過(guò)程需要等待太長(zhǎng)時(shí)間。這通常是因?yàn)槭褂美鲜降膕ed命令（比如solaris下傳輸。自從libtool腳本使用sedsed解決該問(wèn)題\h/GNU/sed.html.如果您無(wú)法檢測(cè)出錯(cuò)誤原因。發(fā)送郵件到wireshark-dev說(shuō)明您的問(wèn)題。當(dāng)然，郵件里要附上config.log以及其他您認(rèn)為對(duì)解決問(wèn)題有幫助的東西，例如make過(guò)程的追蹤。[10]譯者注：本人不熟悉UNIX/LINUX，這一段翻譯的有點(diǎn)云里霧里，可能大家通過(guò)這部分想安裝Wireshark會(huì)適得其反，UNIX/LINUX下安裝方法。是下載源碼包自己編譯，這種方式的好處是因?yàn)橄螺d源碼包是單一的，可以自行加以修改，編譯就是適合自己平臺(tái)的了。2、是利用已經(jīng)做好的發(fā)行包直接安裝，這種方法的好處是只要下載到跟自己平臺(tái)對(duì)應(yīng)的就可以，但缺點(diǎn)也在這里，不是每個(gè)平臺(tái)都能找到合適的。不管是編譯安裝，還是使用發(fā)行包安裝，都需要有一些有些基本基本支持。比如Linux下的GTK+支持，捕捉libpcap.這一點(diǎn)可以參考2.3”（tarzxvfWireshark-0.99.5-tar.gz;make;makeinstall）.直接安裝則是根據(jù)各自平臺(tái)安裝的特點(diǎn)。在WindowsWireshark開(kāi)發(fā)的。如果想了解關(guān)于下編譯安裝Wireshark，請(qǐng)查看我們的開(kāi)發(fā)網(wǎng)站\h/Development來(lái)了解最新的開(kāi)發(fā)方面的文檔。本節(jié)將探討在Windows下安裝Wireshark二進(jìn)制包。Wireshark您獲得的Wireshark二進(jìn)制安裝包可能名稱(chēng)類(lèi)似Wireshark-setup-x.y.z.exe.Wireshark安裝包包含WinPcap,所以您不需要單獨(dú)下載安裝它。您只需要在\h/download.html#releases下載Wireshark安裝包并執(zhí)行它即可。除了普通的安裝之外，還有幾個(gè)組件供挑選安裝。提示：盡量保持默認(rèn)設(shè)置如果您不了解設(shè)置的作用的話。選擇組件[11]Wireshark(包括GTK1和GTK2接口無(wú)法同時(shí)安裝):如果您使用GTK2的GUI界面遇到問(wèn)題可以嘗試GTK1，在Windows下256色（8bit）顯示模式無(wú)法運(yùn)行GTK2.但是某些高級(jí)分析統(tǒng)計(jì)功能在GTK1下可能無(wú)法實(shí)現(xiàn)。WiresharkGTK1-Wireshark網(wǎng)絡(luò)分析工具WiresharkGTK2-Wireshark網(wǎng)絡(luò)分析工具（建議使用模組工具）GTK-Wimp-GTKWimp是詩(shī)歌GTK2窗口模擬(看起來(lái)感覺(jué)像原生windows32程序，推薦使用)TSshark-TShark是一個(gè)命令行的網(wǎng)絡(luò)分析工具插件/擴(kuò)展(Wireshark,TShark分析引擎):DissectorPlugins-分析插件：帶有擴(kuò)展分析的插件TreeStatisticsPlugins-樹(shù)狀統(tǒng)計(jì)插件：統(tǒng)計(jì)工具擴(kuò)展Mate-MetaAnalysisandTracingEngine(experimental):可配置的顯示過(guò)濾引擎，參考\h/Mate.SNMPMIBs:SNMP，MIBS的詳細(xì)分析。Tools/工具(處理捕捉文件的附加命令行工具User’sGuide-用戶手冊(cè)-本地安裝的用戶手冊(cè)。如果不安裝用戶手冊(cè)，幫助菜單的大部分按鈕的結(jié)果可能就是訪問(wèn)internet.Editcap-Editcapaprogramthatreadsacapturefileandsomeorallofthepacketsanothercapture/Editcap是一個(gè)讀取捕捉文件的程序，還可以將一個(gè)捕捉文件力的部分或所有信息寫(xiě)入另一個(gè)捕捉文件（or插入？）Text2Pcap-Text2pcapisaprogramthatreadsinanASCIIhexdumpandwritesthedataintoalibpcap-stylecapturefile./Tex2pcap是一個(gè)讀取ASCIIhex，寫(xiě)入數(shù)據(jù)到libpcap個(gè)文件的程序。Mergecap-Mergecapisaprogramthatcombinesmultiplesavedcapturefilesintoasingleoutputfile./Mergecap是一個(gè)可以將多個(gè)播捉文件合并為一個(gè)的程序。Capinfos-Capinfosisaprogramthatprovidesinformationoncapturefiles./Capinfos是一個(gè)顯示捕捉文件信息的程序?！癆dditionalTasks”頁(yè)StartMenuShortcuts-開(kāi)始菜單快捷方式-增加一些快捷方式到開(kāi)始菜單DesktopIcon-桌面圖標(biāo)-增加Wireshark圖標(biāo)到桌面QuickLaunchIcon-快速啟動(dòng)圖標(biāo)-增加一個(gè)Wireshark圖標(biāo)到快速啟動(dòng)工具欄AssociatefileextensionstoWireshark-Wireshark文件關(guān)聯(lián)-將捕捉包默認(rèn)打開(kāi)方式關(guān)聯(lián)到WiresharkInstallWinPcap?”頁(yè)Wireshark安裝包里包含了最新版的WinPcap安裝包。如果您沒(méi)有安裝WinPcap。您將無(wú)法捕捉網(wǎng)絡(luò)流量。但是您還是可以打開(kāi)以保存的捕捉包文件。CurrentlyinstalledWinPcapversion-當(dāng)前安裝的WinPcap版本InstallWinPcapx.x-如果當(dāng)前安裝的版本低于Wireshark自帶的，該選項(xiàng)將會(huì)是默認(rèn)值。StartWinPcapserviceatstartup-WinPcapNPF在啟動(dòng)時(shí)運(yùn)行-這樣其它非管理員用戶就同樣可以捕捉包了。更多關(guān)于WinPcap的信息：Wireshark相關(guān)\h/WinPcapWinPcap官方網(wǎng)站：\h安裝命令選項(xiàng)數(shù)定制安裝：/NCRC校檢/S靜默模式安裝或卸載Wireshark.注意：靜默模式安裝時(shí)不會(huì)安裝WinPcap!/desktopicon安裝桌面圖標(biāo)，/desktopicon=yes表示安裝圖標(biāo)，反之則不是，適合靜默模式。/quicklaunchicon將圖標(biāo)安裝到快速啟動(dòng)工具欄，=yes-安裝到工具欄，=no-不安裝，不填按默認(rèn)設(shè)置。/D設(shè)置默認(rèn)安裝目錄($INSTDIR),首選安裝目錄和安裝目錄注冊(cè)表鍵值，該選項(xiàng)必須設(shè)置到最后。即使路徑包含空格例2.5.wireshark-setup-0.99.5.exe/NCRC/S/desktopicon=yes/quicklaunchicon=no/D=C:\ProgramFiles\Foo注意事先聲明，Wireshark安裝時(shí)會(huì)謹(jǐn)慎對(duì)待WinPcap的安裝，所以您通常不必?fù)?dān)心WinPcap。下面的WinPcap僅適合您需要嘗試未包括在Wireshark內(nèi)的不同版本W(wǎng)inPcap。例如一個(gè)新版本的WinPcap發(fā)布了，您需要安裝它。單獨(dú)的WinPcap版本（包括alphaorbeta版）可以在下面地址下載到WinPcap官方網(wǎng)站：\hW鏡像站點(diǎn):\h/security/packet-capture/winpcap在下載頁(yè)面您將會(huì)發(fā)現(xiàn)WinPcap的安裝包名稱(chēng)通常類(lèi)似于”auto-installer”。它們可以在NT4.0/2000/XP/vista下安裝。Wireshark有時(shí)候您可能想將您的WinPcap更新到最新版本，如果您訂閱了Wireshark通知郵件，您將會(huì)獲得Wireshark新版本發(fā)布的通知，見(jiàn)第1.6.4節(jié)“郵件列表”。新版誕生通常需要8-12周。更新Wireshark就是安裝一下新版本。下載并安裝它就可以。更新通常不需要重新啟動(dòng)，也不會(huì)更改過(guò)去的默認(rèn)設(shè)置WinPcap的更新不是十分頻繁，通常一年左右。新版本出現(xiàn)的時(shí)候您會(huì)收到WinPcap的通知。更新WinPcap后需要重新啟動(dòng)。警告在安裝新版WinPcap之前，如果您已經(jīng)安裝了舊版WinPcap,您必須先卸載它。最近版本的WinPcap安裝時(shí)會(huì)自己卸載舊版。Wireshark你可以用常見(jiàn)方式卸載Wireshark,使用添加/刪除程序，選擇”Wireshark”選項(xiàng)開(kāi)始卸載即可。Wireshark卸載過(guò)程中會(huì)提供一些選項(xiàng)供您選擇卸載哪些部分，默認(rèn)是卸載核心組件，但保留個(gè)人設(shè)置和WinPcap.WinPcap默認(rèn)不會(huì)被卸載，因?yàn)槠渌?lèi)似Wireshark的程序有可能同樣適用WinPcap你可以單獨(dú)卸載WinPcap,在添加/刪除程序選擇”WinPcap”卸載它。注意卸載WinPcap之后您將不能使用Wireshark捕捉包。在卸載完成之后最好重新啟動(dòng)計(jì)算機(jī)。[11]涉及到過(guò)多的名次，軟件又沒(méi)有中文版，這里及以后盡量不翻譯名稱(chēng)第3目錄須知啟動(dòng)Wireshark主窗口主窗口概述主菜單"File"菜單"Edit"菜單菜單菜單"Capture"菜單"Analyze"菜單菜單菜單工具欄"Filter"工具欄"PcaketList"面板"PacketDetails"面板"PacketByte"面板狀態(tài)欄須知現(xiàn)在您已經(jīng)安裝好了Wireshark,幾乎可以馬上捕捉您的一個(gè)包。緊接著的這一節(jié)我們將會(huì)介紹：Wireshark的用戶界面如何使用如何捕捉包如何查看包如何過(guò)濾包……以及其他的一些工作。你可以使用Shell命令行或者資源管理器啟動(dòng)Wireshark.提示開(kāi)始Wireshark時(shí)您可以指定適當(dāng)?shù)膮?shù)。參見(jiàn)9.2Wireshark”注意在后面的章節(jié)中，將會(huì)出現(xiàn)大量的截圖，因?yàn)閃ireshark運(yùn)行在多個(gè)平臺(tái)，并且支持多個(gè)GUIToolkit(GTK1.x/2x),您的屏幕上顯示的界面可能與截圖不盡吻合。但在功能上不會(huì)有實(shí)質(zhì)性區(qū)別。盡管有這些區(qū)別，也不會(huì)導(dǎo)致理解上的困難。先來(lái)看看圖3.1“主窗口界面”，大多數(shù)打開(kāi)捕捉包以后的界面都是這樣子（如何捕捉/打開(kāi)包文件隨后提到圖3.1.主窗口界面和大多數(shù)圖形界面程序一樣，Wireshark主窗口由如下部分組成：菜單（見(jiàn)第3.4節(jié)“主菜單”）用于開(kāi)始操作。主工具欄(見(jiàn)第3.13節(jié)“"Main"工具欄”)提供快速訪問(wèn)菜單中經(jīng)常用到的項(xiàng)目的功能。Fitertoolbar/過(guò)濾工具欄(見(jiàn)第3.14節(jié)“"Filter"工具欄”)提供處理當(dāng)前顯示過(guò)濾得方法。(見(jiàn)6.3:”瀏覽時(shí)進(jìn)行過(guò)濾”)PacketList面板（見(jiàn)3.15“"PcaketList"面板”）Packetdetail面板（見(jiàn)第3.16節(jié)“"PacketDetails"面板”）顯示您在Packetlist面板中選擇的包德更多詳情。Packetbytes面板（見(jiàn)第3.17節(jié)“"PacketByte"面板”）顯示您在Packetlist面板選擇的包的數(shù)據(jù)，以及在Packetdetails面板高亮顯示的字段。狀態(tài)欄（見(jiàn)3.18“狀態(tài)欄”）注意主界面的三個(gè)面版以及各組成部分可以自定義組織方式。見(jiàn)第9.5節(jié)“首選項(xiàng)”主窗口概述Packetlist和Detail面版控制可以通過(guò)快捷鍵進(jìn)行。表3.1“導(dǎo)航快捷鍵”顯示了相關(guān)的快捷鍵列表。表3.5“"GO"菜單項(xiàng)”有關(guān)于快捷鍵的更多介紹表3.1.導(dǎo)航快捷鍵快捷鍵 描述Tab,Shift+T在兩個(gè)項(xiàng)目間移動(dòng)，例如從一個(gè)包列表移動(dòng)到下一個(gè)abDown 移動(dòng)到下一個(gè)包或者下一個(gè)詳U(kuò)p 移動(dòng)到上一個(gè)包或者上一個(gè)詳Ctrl-Down,F8 移動(dòng)到下一個(gè)包，即使焦點(diǎn)不在Packetlist面版Ctrl-UP,F7 移動(dòng)到前一個(gè)報(bào)，即使焦點(diǎn)不在Packetlist面版Left 在PactectDetail分支。Right 在PacketDetail面版，打開(kāi)被選擇的樹(shù)狀分支.Backspace Packet面版，返回到被選擇的節(jié)點(diǎn)的父節(jié)Return,Enter Packet面版，固定被選擇樹(shù)項(xiàng)目。另外，在主窗口鍵入任何字符都會(huì)填充到filter里面。WiresharkWireshark窗口的最上方。3.2主菜單提供了菜單的基本界面。圖3.2.主菜單主菜單包括以下幾個(gè)項(xiàng)目:File包括打開(kāi)、合并捕捉文件，save/保存,Print/打印,Export/導(dǎo)出捕捉文件的全部或部分。以及退出Wireshark項(xiàng).見(jiàn)第3.5節(jié)“"File"菜單”Edit（見(jiàn)第3.6節(jié)單”View見(jiàn)第菜單”GO包含到指定包的功能。見(jiàn)第3.8節(jié)“"Go"菜單”Capture允許您開(kāi)始或停止捕捉、編輯過(guò)濾器。見(jiàn)第3.9節(jié)“"Capture"菜單”Analyze包含處理顯示過(guò)濾，允許或禁止分析協(xié)議，配置用戶指定解碼和追蹤TCP流等功能。見(jiàn)第3.10節(jié)“"Analyze"菜單”Statistics包括的菜單項(xiàng)用戶顯示多個(gè)統(tǒng)計(jì)窗口，包括關(guān)于捕捉包的摘要，協(xié)議層次統(tǒng)計(jì)等等。見(jiàn)第3.11節(jié)“"Statistics"菜單”Help包含一些輔助用戶的參考內(nèi)容。如訪問(wèn)一些基本的幫助文件，支持的協(xié)議列表，用戶手冊(cè)。在線訪問(wèn)一些網(wǎng)站，“關(guān)于”等等。見(jiàn)第3.12節(jié)“"Help"菜單”本章鏈接介紹菜單的一般情況，更詳細(xì)的介紹會(huì)出現(xiàn)在后續(xù)章節(jié)。提示您可以使用CTR+K打開(kāi)捕捉對(duì)話框。菜單WireSharkFile菜單包含的項(xiàng)目如表3.2File菜單介紹所示圖3.3.File菜單表3.2.File菜單介紹菜單項(xiàng) 快捷鍵 描述顯示打開(kāi)文件對(duì)話框，讓您載入捕捉文件用Open... Ctr+OOpenRecentMergClose Ctrl+WSave

5.2.1”彈出一個(gè)子菜單顯示最近打開(kāi)過(guò)的文件供選擇。文件和當(dāng)前打開(kāi)的文件合并。見(jiàn)5.4節(jié)合并捕捉文件”（存，將不會(huì)提示）保存文件名，Wireshark出現(xiàn)提示您保存文件的對(duì)話框。詳情第5.3.1節(jié)“"saveCaptureFileAs/保存文件為"對(duì)話框”注意如果您已經(jīng)保存文件，該選項(xiàng)會(huì)是灰色不可選的。注意您不能保存動(dòng)態(tài)捕捉的文件。您必須結(jié)束捕捉以后才能進(jìn)行保存SaveAs Shift+Ctrl+SFileSet>ListFilesFileSet>NextFileFileset>PreviousFilesExport>as“PlainText”File…Export>as"PostScript"FilesExport>as"CVS"(CommaSeparatedValuesPacketSummary)File...Export>as“PSML”File…Exportas"PDML"File...Export>SelectedPacketBytes…Print Ctr+PQuit Ctrl+Q

會(huì)出現(xiàn)一個(gè)另存為的對(duì)話框(參見(jiàn)5.3.1“"saveCaptureAs/保存文件為"對(duì)話框”)對(duì)話框顯示已打開(kāi)文件的列表,參見(jiàn)5.5文件集合”到最后一個(gè)文件。這個(gè)文件選項(xiàng)將會(huì)是灰色。跳到文件集合的第一個(gè)文件，同時(shí)變成灰色。這個(gè)菜單允許您將捕捉文件中所有的或者ASCIItext會(huì)彈出一個(gè)Wireshark導(dǎo)出對(duì)話框見(jiàn)第5.6.1“"ExportasFile"對(duì)話框”將捕捉文件的全部或部分導(dǎo)出為PostScrit文件。將會(huì)出現(xiàn)導(dǎo)出文件對(duì)話框。參見(jiàn)第5.6.2節(jié)“"ExportasPostScript"對(duì)話框”導(dǎo)出文件全部或部分摘要為.cvs格（可用在電子表格中將會(huì)彈出導(dǎo)出對(duì)話框見(jiàn)第5.6.3 節(jié) “"ExportasCSV(CommaSeparated對(duì)話框。導(dǎo)出文件的全部或部分為PSML（包摘要標(biāo)記語(yǔ)言文件。將會(huì)彈出導(dǎo)出文5.6.4“"ExportasPSML"對(duì)話框”導(dǎo)出文件的全部或部分為(包摘要標(biāo)記語(yǔ)言出文件對(duì)話框見(jiàn)第5.6.5節(jié)“"ExportasPDML"對(duì)話框”P(pán)acketbyte面版選擇的字節(jié)為二進(jìn)制文件。將會(huì)彈出一個(gè)導(dǎo)出對(duì)話框。見(jiàn)第5.6.6節(jié)“"Exportselectedpacketbytes"對(duì)話框”打印捕捉包的全部或部分，將會(huì)彈出打印對(duì)話框。見(jiàn)第5.7節(jié)“打印包”退出Wireshark,如果未保存文件，Wireshark會(huì)提示是否保存。菜單Wireshark的"Edit"菜單包含的項(xiàng)目見(jiàn)表3.3“Edit菜單項(xiàng)”3.4.Edit"菜單3.3.菜單項(xiàng)菜單項(xiàng) 快捷鍵 描述Filter trl+C

使用詳情面版選擇的數(shù)據(jù)作為顯示過(guò)濾。顯示過(guò)濾將會(huì)拷貝到剪貼板。FindPacket... Ctr+F 打開(kāi)一個(gè)對(duì)話框用來(lái)通過(guò)限制來(lái)查找包，見(jiàn)???在使用Findpacket以后，使用該菜單會(huì)查找匹配規(guī)則的下一個(gè)FindNext Ctrl+N包FindPrevious Ctr+B 查找匹配規(guī)則的前一個(gè)包。MarkPacket(toggle)FindNextMarkFind

Ctrl+M 標(biāo)記當(dāng)前選擇的包。見(jiàn)6.9標(biāo)記包”Shift+C查找下一個(gè)被標(biāo)記的包trl+NCtrl+ShMarkMark PacketsUnmark Packet

ift+B

查找前一個(gè)被標(biāo)記的包標(biāo)記所有包取消所有標(biāo)記Set Reference(toggle)

Ctrl+T 以當(dāng)前包時(shí)間作為參考,見(jiàn)6.10.1包參考時(shí)間”Find ReferenceFind PreviousRefrence...Preferences... trl+P

找到下一個(gè)時(shí)間參考包找到前一個(gè)時(shí)間參考包打開(kāi)首選項(xiàng)對(duì)話框，個(gè)性化設(shè)置Wireshark的各項(xiàng)參數(shù)，設(shè)置后的參數(shù)將會(huì)在每次打開(kāi)時(shí)發(fā)揮作用。詳見(jiàn)第9.5節(jié)“首選項(xiàng)”菜單3.4菜單項(xiàng)Wireshar菜單的選項(xiàng)圖3.5.菜單表3.4."View"菜單項(xiàng)菜單項(xiàng) 快捷鍵 描述Main顯示隱藏toolbar主工具欄見(jiàn)第3.13節(jié)“"Main"工具欄”顯示或隱藏FilterToolbar(過(guò)濾工具欄)見(jiàn)Filter

第3.14節(jié)“"Filter"工具欄”Statusbar 顯示或隱藏狀態(tài)欄見(jiàn)第3.18節(jié)“狀態(tài)”顯示或隱藏PacketListpane(包列表面板),PacketList

見(jiàn)第3.15節(jié)“"PcaketList"面板”P(pán)acketDetails 顯示或隱藏Packetpane包詳情面板).見(jiàn)3.16“"PacketDetails"面板”P(pán)acketBytes 顯示或隱藏packetBytespane包字節(jié)面TimeDisplayFromat>DateandTimeofDay:1970-01-0101:02:03.123456

板)，見(jiàn)3.17“"PacketByte"面板”Wireshark將時(shí)間戳設(shè)置為絕對(duì)日期-時(shí)間格式(年月日，時(shí)分秒)6.10時(shí)間顯示格式及參考時(shí)間”注意這里的字段ofDay","DateandTimeofDay","SecondsSinceBeginningofCapture","SecondsSincePreviousCapturedPacket"和"SecondsSinceDisplayedPacket"幾個(gè)選項(xiàng)是互斥的，換句話說(shuō)，一次同時(shí)有一個(gè)被選中。TimeDisplayFormat>TimeofDay:01:02:03.123456TimeDisplayFormat>SecondsSinceBeginningofCapture:123.123456TimeFormat>SecondsSincePreviousCapturedPacket:1.123456TimeFormat>SecondsSincePreviousDisplayedPacket:1.123456TimeDisplayFormat>TimeDisplayFormat>Automatic(FileFormatPrecision)

將時(shí)間設(shè)置為絕對(duì)時(shí)間-日期格式(時(shí)分秒格式),見(jiàn)第6.10節(jié)“時(shí)間顯示格式及參考時(shí)間”見(jiàn)6.10時(shí)間顯示格式及參考時(shí)間”將時(shí)間戳設(shè)置為秒格式，從上次捕捉開(kāi)始6.10時(shí)間”將時(shí)間戳設(shè)置為秒格式，從上次顯示的包開(kāi)始計(jì)時(shí),見(jiàn)第6.10節(jié)“時(shí)間顯示格式及參考時(shí)間”根據(jù)指定的精度選擇數(shù)據(jù)包中時(shí)間戳的顯6.10考時(shí)間”注意"Automatic","Seconds"和"...seconds"是互斥的TimeDisplayFormat>Seconds:0Time Display Format>...seconds:0

設(shè)置精度為1秒，見(jiàn)第6.10節(jié)“時(shí)間顯示格式及參考時(shí)間”設(shè)置精度為16.10參考時(shí)間”NameResolutionResolve僅對(duì)當(dāng)前選定包進(jìn)行解析7.6名稱(chēng)解析”NameResolution>for 地址MACLayerNameResolution>EnableforNetworkLayerNameResolution>EnableforTransportLayer

是否解析網(wǎng)絡(luò)層地址(ip地址),見(jiàn)第7.6節(jié)“名稱(chēng)解析”是否解析傳輸層地址第7.6節(jié)“名稱(chēng)解ColorizePacketList

是否以彩色顯示包注意以彩色方式顯示包會(huì)降低捕捉再如包文件的速度AutoScroollinLiveCapture

控制在實(shí)時(shí)捕捉時(shí)是否自動(dòng)滾屏，如果選擇了該項(xiàng)，在有新數(shù)據(jù)進(jìn)入時(shí)，面板會(huì)項(xiàng)上滾動(dòng)。您始終能看到最后的數(shù)據(jù)。反之，您無(wú)法看到滿屏以后的數(shù)據(jù)，除非您手動(dòng)滾屏ZoomIn Ctrl++ 增大字體ZoomOut Ctrl+- 縮小字體NormalSize Ctrl+= 注意除非數(shù)據(jù)包ResizAllColumnus

非常大，一般會(huì)立刻更改ExpendSubtrees 展開(kāi)子分支看開(kāi)所有分支，該選項(xiàng)會(huì)展開(kāi)您選擇的包ExpandAll

的所有分支。CollapseAll 收縮所有包的所有分支打開(kāi)一個(gè)對(duì)話框，讓您可以通過(guò)過(guò)濾表達(dá)來(lái)用不同的顏色顯示包。這項(xiàng)功能對(duì)定位ColoringRulues...ShowPacketinNewWindow

特定類(lèi)型的包非常有用。見(jiàn)9.3彩顯示設(shè)置”在新窗口顯示當(dāng)前包，(新窗口僅包含View,ByteView兩個(gè)面板)Reload Ctrl+R 重新再如當(dāng)前捕捉文件菜單Wireshark"GO"菜單的內(nèi)容見(jiàn)表3.5“"GO"菜單項(xiàng)”圖3.6."GO"菜單表3.5."GO"菜單項(xiàng)快捷菜單項(xiàng) 描述鍵Back Alt+LeftAlt+Ri

跳到最近瀏覽的包，類(lèi)似于瀏覽器中的頁(yè)面歷史紀(jì)錄ForWard

跳到下一個(gè)最近瀏覽的包，跟瀏覽器類(lèi)似ghttoPacket G

見(jiàn)6.8到指定的包”toCorrespondingPacketPreviousPacket UPCtrl+

跳轉(zhuǎn)到當(dāng)前包的應(yīng)答包，如果不存在，該選項(xiàng)為灰色也是可用的NextPacket

移動(dòng)到包列表中的后一個(gè)包，同上DownFirstPacket 移動(dòng)到列表中的第一個(gè)包LastPacket 移動(dòng)到列表中的最后一個(gè)包菜單"Capture"菜單的各項(xiàng)說(shuō)明見(jiàn)表3.6“"Capture"菜單項(xiàng)”圖3.7."Capture"菜單表3.6."Capture"菜單項(xiàng)快捷菜單項(xiàng) 說(shuō)明鍵Interface... 在彈出對(duì)話框選擇您要進(jìn)行捕捉的網(wǎng)絡(luò)接口,見(jiàn)4.4“捕捉接口框”O(jiān)ptions...

Ctrl+K

打開(kāi)設(shè)置捕捉選項(xiàng)的對(duì)話框,(見(jiàn)第4.5節(jié)“捕捉選項(xiàng)對(duì)話框”)并可以在此開(kāi)始捕捉Start 立即開(kāi)始捕捉，設(shè)置都是參照最后一次設(shè)置。Stop ERestartCaptureFilters...

停止正在進(jìn)行的捕捉，見(jiàn)第4.9.1節(jié)“停止捕捉”正在進(jìn)行捕捉時(shí)，停止捕捉，并按同樣的設(shè)置重新開(kāi)始捕捉.僅在您認(rèn)為有必要時(shí)打開(kāi)對(duì)話框，編輯捕捉過(guò)濾設(shè)置，可以命名過(guò)濾器，保存為其他捕捉時(shí)使用見(jiàn)第6.6節(jié)“定義，保存過(guò)濾器”菜單"Analyze"菜單的各項(xiàng)見(jiàn)表3.7“"analyze"菜單項(xiàng)”圖3.8."Analyze"菜單表3.7."analyze"菜單項(xiàng)菜單項(xiàng) 快捷鍵 說(shuō)明DisplayFilters...Apply Filter>...Filter>...FirewallRulesEnable

Shift+Ct

地方使用，見(jiàn)6.6定義，保存過(guò)濾器”更改當(dāng)前過(guò)濾顯示并立即應(yīng)用。根據(jù)選擇的項(xiàng)，當(dāng)前顯示字段會(huì)被替換成選擇在Detail面板的協(xié)議字段更改當(dāng)前顯示過(guò)濾設(shè)置，當(dāng)不會(huì)立即應(yīng)用。同樣根據(jù)當(dāng)前選擇項(xiàng)，過(guò)濾字符會(huì)被替換成Detail面板選擇的協(xié)議字段為多種不同的防火墻創(chuàng)建命令行ACL規(guī)則(訪問(wèn)控制列表),支持CiscoIOS,LinuxNetfilter(iptables),OpenBSDpfandWindowsFirewall(vianetsh).RulesforMACaddresses,IPv4addresses,TCPandUDPports,以及IPv4+混合端口以上假定規(guī)則用于外部接口Protocols...

rl+R 是否允許協(xié)議分析，見(jiàn)9.4.1“"EnableProtocols"對(duì)話框”[a]看樣子他們有個(gè)關(guān)于這部分的章節(jié)菜單Wireshark"statistics"菜單項(xiàng)見(jiàn)表3.8“”圖3.9."Statistics"菜單表3.8.快捷菜單項(xiàng) 描述鍵Summary 顯示捕捉數(shù)據(jù)摘要,見(jiàn)8.2摘要窗口ProtocolHierarchy 顯示協(xié)議統(tǒng)計(jì)分層信息，見(jiàn)8.3“"ProtocolHierarchy"窗口”Conversations/ 顯示會(huì)話列表(兩個(gè)終端之間的通信),見(jiàn)???EndPoints 顯示端點(diǎn)列表(通信發(fā)起，結(jié)束地址),見(jiàn)8.4.2“"Endpoints"窗顯示用戶指定圖表，(如包數(shù)量-時(shí)間表)見(jiàn)8.6Graphs"窗IOGraphsConversationList

口”通過(guò)一個(gè)組合窗口，顯示會(huì)話列表,見(jiàn)第8.5.3節(jié)“協(xié)議指定“ConversationList/會(huì)話列表”窗口”EndpointList 通過(guò)一個(gè)組合窗口顯示終端列表，見(jiàn)第8.4.3節(jié)“特定協(xié)議的"EndpointList"窗口”ServiceResponseTime

顯示一個(gè)請(qǐng)求及其相應(yīng)之間的間隔時(shí)間，見(jiàn)8.7”ANSI 見(jiàn)8.8協(xié)議指定統(tǒng)計(jì)窗口”GSM 見(jiàn)8.8協(xié)議指定統(tǒng)計(jì)窗口”H.225... 見(jiàn)第8.8節(jié)協(xié)議指定統(tǒng)計(jì)窗口Message 見(jiàn)第8.8節(jié)協(xié)議指定統(tǒng)計(jì)窗口見(jiàn)第8.8節(jié)協(xié)議指定統(tǒng)計(jì)窗口MTP3 見(jiàn)8.8協(xié)議指定統(tǒng)計(jì)窗口”RTP 見(jiàn)8.8協(xié)議指定統(tǒng)計(jì)窗口”GSM 見(jiàn)8.8協(xié)議指定統(tǒng)計(jì)窗口”SIP 見(jiàn)8.8協(xié)議指定統(tǒng)計(jì)窗口”VOIPCalls... 見(jiàn)8.8協(xié)議指定統(tǒng)計(jì)窗口”見(jiàn)8.8協(xié)議指定統(tǒng)計(jì)窗口”HTTP HTTP請(qǐng)求相應(yīng)統(tǒng)計(jì)，見(jiàn)第8.8節(jié)協(xié)議指定統(tǒng)計(jì)窗口Messages 見(jiàn)第8.8節(jié)協(xié)議指定統(tǒng)計(jì)窗口”O(jiān)NC-RPCPrograms 見(jiàn)8.8協(xié)議指定統(tǒng)計(jì)窗口”TCP StreamGraph 見(jiàn)8.8協(xié)議指定統(tǒng)計(jì)窗口”菜單幫助菜單的內(nèi)容見(jiàn)表3.9“”圖3.10.幫助菜單表3.9.快捷菜單項(xiàng) 描述鍵Contents F1 打開(kāi)一個(gè)基本的幫助系統(tǒng)SupportedProtocols

打開(kāi)一個(gè)對(duì)話框顯示支持的協(xié)議或工具Pages>... 打開(kāi)瀏覽器，顯示安裝在本地的手冊(cè)WiresharkOnline>

按照選擇顯示在線資源AboutWireshark Wireshark注意有些版本可能不支持調(diào)用注意如果調(diào)用瀏覽器錯(cuò)誤，檢查Wireshark首選項(xiàng)關(guān)于瀏覽器設(shè)置。主工具欄提供了快速訪問(wèn)常見(jiàn)項(xiàng)目的功能,據(jù)。您可以使用瀏覽菜單隱藏它。在主工具欄里面的項(xiàng)目只有在可以使用的時(shí)候才能被選擇，如果不是可用則顯示為灰色，不可選(保存文件按鈕就不可用.)圖3.11.表3.10.主工具欄選項(xiàng)工具欄圖 工具欄項(xiàng) 對(duì)應(yīng)菜單項(xiàng) 描述標(biāo)Capture/Interfaces接口...

打開(kāi)接口列表對(duì)話框,見(jiàn)第4.3節(jié)“開(kāi)始捕捉”打開(kāi)捕捉選項(xiàng)對(duì)話框，見(jiàn)第4.4節(jié)“捕捉接口對(duì)話選項(xiàng)。 Capture/Options框”Start Capture/Start 使用最后一次的捕捉設(shè)置立即開(kāi)始捕捉Capture/Stop 停止當(dāng)前的捕捉，見(jiàn)4.3開(kāi)始捕捉”Restar Caputer/Rstart 停止當(dāng)前捕捉，并立即重新開(kāi)始Open... File/Open 啟動(dòng)打開(kāi)文件對(duì)話框，用于載入文件，詳見(jiàn)5.2.1節(jié)“打開(kāi)捕捉文件對(duì)話框”話框，(見(jiàn)5.3.1“"saveCaptureAs/保存文"對(duì)話框”注意如果當(dāng)前文件SaveAs... File/Save

是臨時(shí)未保存文件，圖標(biāo)將會(huì)顯示為Close File/Close 關(guān)閉當(dāng)前文件。如果未保存，將會(huì)提示是否保存Reload 重新載入當(dāng)前文件Print File/Print

框(見(jiàn)5.7“打印包”)Findpacket... Edit/FindPacket... 打開(kāi)一個(gè)對(duì)話框，查找包。見(jiàn)6.7查找包”Back Go/GoBack 返回歷史記錄中的上一個(gè)GoForward Go/GoForward 跳轉(zhuǎn)到歷史記錄中的下一個(gè)包Packet...

Go/GotoPacket... 彈出一個(gè)設(shè)置跳轉(zhuǎn)到指定的包的對(duì)話框FirstPacketLastPacket

Go/FirstPacket 跳轉(zhuǎn)到第一包Go/LastPacket 跳轉(zhuǎn)到最后一個(gè)包Colorize View/Coloreze 切換是否以彩色方式顯示包列表AutoScrollLive

View/AutoScroolLiveCapture 開(kāi)啟/關(guān)閉實(shí)時(shí)捕捉時(shí)自動(dòng)滾動(dòng)包列表Zoomin View/ZoomIn 增大字體zoomout View/ZoomOut 縮小字體NormalSize View/Normal設(shè)置縮放大小為100%ResizeColumnsCaptureFilters..Display

View/ResizeColumnsCapture/CaptureFilters...

重置列寬，使內(nèi)容適合列寬(使包列表內(nèi)的文字可以完全顯示)打開(kāi)對(duì)話框，用于創(chuàng)建、編輯過(guò)濾器。詳見(jiàn)第6.6節(jié)“定義，保存過(guò)濾器”打開(kāi)對(duì)話框，用于創(chuàng)建、編輯過(guò)濾器。詳見(jiàn)第6.6節(jié)Filters.. Analyze/

“定義，保存過(guò)濾器”ColoringRules...Preferenc

View/ColoringRules...

定義以色彩方式顯示數(shù)據(jù)包的規(guī)則詳見(jiàn)第9.3節(jié)“包色彩顯示設(shè)置”es... Edit/Preferences 打開(kāi)首選項(xiàng)對(duì)話框，詳見(jiàn)9.5首選項(xiàng)”Help Help/Contents 打開(kāi)幫助對(duì)話框過(guò)濾工具欄用于編輯或顯示過(guò)濾器，更多詳情見(jiàn)第6.3節(jié)“瀏覽時(shí)過(guò)濾包”圖3.12.過(guò)濾工具欄工具欄圖標(biāo)

工具欄項(xiàng) 說(shuō)明過(guò)濾 打開(kāi)構(gòu)建過(guò)濾器對(duì)話框見(jiàn)第6.7節(jié)查找包”[a]在此區(qū)域輸入或修改顯示的過(guò)濾字符，見(jiàn)6.4節(jié)建立顯示過(guò)濾表達(dá)式”,在輸入過(guò)程中會(huì)進(jìn)行語(yǔ)法檢查濾字符。列表會(huì)一直保留，即使您重新啟動(dòng)程序。過(guò)濾輸入框

注意做完修改之后，記得點(diǎn)擊右邊的Apply(應(yīng)用)按鈕，或者回過(guò)濾生效。注意內(nèi)容（入框）表達(dá)式...

標(biāo)簽為表達(dá)式的按鈕打開(kāi)一個(gè)對(duì)話框用以從協(xié)議字段列表中編輯過(guò)濾器，詳見(jiàn)第6.5節(jié)““FilterExpression/過(guò)濾表達(dá)式”對(duì)話框”清除 重置當(dāng)前過(guò)濾器，清除輸入框應(yīng)用當(dāng)前輸入框的表達(dá)式為過(guò)濾器進(jìn)行過(guò)濾注意在大文件里應(yīng)用顯應(yīng)用示過(guò)濾可能要很長(zhǎng)時(shí)間[a]我看到的Filter按鈕貌似沒(méi)有圖標(biāo)，可能只出現(xiàn)在0.99.4版中"Pcaket面板Packetlist/包列表面板顯示所有當(dāng)前捕捉的包圖3.13."Packetlist/包列表"面板列表中的每行顯示捕捉文件的一個(gè)包。如果您選擇其中一行，該包得更多情況會(huì)顯示在"PacketDetail/包詳情"，"PacketByte/包字節(jié)"面板在分析(解剖)包時(shí)，Wireshark會(huì)將協(xié)議信息放到各個(gè)列。因?yàn)楦邔訁f(xié)議通常會(huì)覆蓋底層協(xié)議，您通常在包列表面板看到的都是每個(gè)包的最高層協(xié)議描述。例如：讓我們看看一個(gè)包括TP包,IP包,和一個(gè)以太網(wǎng)包。在以太網(wǎng)(鏈路層？包中解析的數(shù)據(jù)(比如以太網(wǎng)地址，在IP分析中會(huì)覆蓋為它自己的內(nèi)容(比如IP地址)，在TCP分析中會(huì)覆蓋IP信息。包列表面板有很多列可供選擇。需要顯示哪些列可以在首選項(xiàng)中進(jìn)行設(shè)置，見(jiàn)9.5“首選項(xiàng)默認(rèn)的列如下No.包的編號(hào)，編號(hào)不會(huì)發(fā)生改變，即使進(jìn)行了過(guò)濾也同樣如此Time包的時(shí)間戳。包時(shí)間戳的格式可以自行設(shè)置，見(jiàn)第6.10節(jié)“時(shí)間顯示格式及參考時(shí)間”Source顯示包的源地址。Destination顯示包的目標(biāo)地址。Protocal顯示包的協(xié)議類(lèi)型的簡(jiǎn)寫(xiě)Info包內(nèi)容的附加信息右擊包，可以顯示對(duì)包進(jìn)行相關(guān)操作的上下文菜單。見(jiàn)第6.3節(jié)“瀏覽時(shí)過(guò)濾包”"Packet面板"PacketDetails/包詳情"面板顯示當(dāng)前包(在包列表面板被選中的包)的詳情列表。圖3.14."PacketDetails/包詳情"面板該面板顯示包列表面板選中包的協(xié)議及協(xié)議字段，協(xié)議及字段以樹(shù)狀方式組織。你可以展開(kāi)或折疊它們。右擊它們會(huì)獲得相關(guān)的上下文菜單。見(jiàn)第6.4節(jié)“建立顯示過(guò)濾表達(dá)式”某些協(xié)議字段會(huì)以特殊方式顯示Generatedfields/衍生字段Wireshark會(huì)將自己生成附加協(xié)議字段加上括號(hào)。衍生字段是通過(guò)該包的相關(guān)的其他包結(jié)合生成的。例如：Wireshark在對(duì)TCP流應(yīng)答序列進(jìn)行分析時(shí)。將會(huì)在TCP協(xié)議中添加[SEQ/ACKanalysis]字段Links/鏈接如果Wireshark檢測(cè)到當(dāng)前包與其它包的關(guān)系，將會(huì)產(chǎn)生一個(gè)到其它包的鏈接。鏈接字段顯示為藍(lán)色字體，并加有下劃線。雙擊它會(huì)跳轉(zhuǎn)到對(duì)應(yīng)的包。"Packet面板PacketByte/包字節(jié)面板以16進(jìn)制轉(zhuǎn)儲(chǔ)方式顯示當(dāng)前選擇包的數(shù)據(jù)圖3.15.PacketByte/包字節(jié)面板通常在16進(jìn)制轉(zhuǎn)儲(chǔ)形式中，左側(cè)顯示包數(shù)據(jù)偏移量，中間欄以16進(jìn)制表示，右側(cè)顯示為對(duì)應(yīng)的ASCII字符根據(jù)包數(shù)據(jù)的不同，有時(shí)候包字節(jié)面板可能會(huì)有多個(gè)頁(yè)面，例如：有時(shí)候Wireshark會(huì)將多個(gè)分片重組為一個(gè)，見(jiàn)第7.5節(jié)“重組包”.這時(shí)會(huì)在面板底部出現(xiàn)一個(gè)附加按鈕供你選擇查看圖3.16.帶選項(xiàng)的"PaketBytes/包字節(jié)"面板注意附加頁(yè)面的內(nèi)容可能來(lái)自多個(gè)包。右擊選項(xiàng)按鈕會(huì)顯示一個(gè)上下文菜單顯示所有可用的頁(yè)的清單。如果您的面板尺寸過(guò)小，這項(xiàng)功能或許有所幫助狀態(tài)欄用于顯示信息圖3.17.初始狀態(tài)欄該狀態(tài)欄顯示的是沒(méi)有文件載入時(shí)的狀態(tài)，如：剛啟動(dòng)Wireshark時(shí)圖3.18.載入文件后的狀態(tài)欄左側(cè)顯示當(dāng)前捕捉文件信息，包括名稱(chēng)，大小，捕捉持續(xù)時(shí)間等。右側(cè)顯示當(dāng)前包在文件中的數(shù)量，會(huì)顯示如下值P:捕捉包的數(shù)目D:被顯示的包的數(shù)目M:被標(biāo)記的包的數(shù)目.圖3.19.已選擇協(xié)議字段的狀態(tài)欄如果你已經(jīng)在"PacketDetail/包詳情"面板選擇了一個(gè)協(xié)議字段，將會(huì)顯示上圖提示括號(hào)內(nèi)的值(如上圖的app.opcode)可以作為顯示過(guò)濾使用。它表示選擇的協(xié)議字段。第4目錄介紹準(zhǔn)備工作開(kāi)始捕捉捕捉接口對(duì)話框捕捉選項(xiàng)對(duì)話框捕捉楨捉數(shù)據(jù)幀為文件。停止捕捉楨顯示楨選項(xiàng)名稱(chēng)解析設(shè)置按鈕捕捉文件格式、模式設(shè)置鏈路層包頭類(lèi)型捕捉時(shí)過(guò)濾自動(dòng)過(guò)濾遠(yuǎn)程通信在捕捉過(guò)程中停止捕捉重新啟動(dòng)捕捉介紹實(shí)時(shí)捕捉數(shù)據(jù)包時(shí)Wireshar的特色之一Wiershark捕捉引擎具備以下特點(diǎn)支持多種網(wǎng)絡(luò)接口的捕捉(以太網(wǎng)，令牌環(huán)網(wǎng)，ATM...)支持多種機(jī)制觸發(fā)停止捕捉，例如：捕捉文件的大小，捕捉持續(xù)時(shí)間，捕捉到包的數(shù)量捕捉時(shí)同時(shí)顯示包解碼詳情設(shè)置過(guò)濾，減少捕捉到包的容量。見(jiàn)第4.8節(jié)“捕捉時(shí)過(guò)濾”長(zhǎng)時(shí)間捕捉時(shí)，可以設(shè)置生成多個(gè)文件。對(duì)于特別長(zhǎng)時(shí)間的捕捉，可以設(shè)置捕捉文件大小罰值，設(shè)置僅保留最后的N個(gè)文件等手段。見(jiàn)第4.6節(jié)“捕捉文件格式、模式設(shè)置”Wireshark捕捉引擎在以下幾個(gè)方面尚有不足從多個(gè)網(wǎng)絡(luò)接口同時(shí)實(shí)時(shí)捕捉，(但是您可以開(kāi)始多個(gè)應(yīng)用程序?qū)嶓w，捕捉后進(jìn)行文件合并根據(jù)捕捉到的數(shù)據(jù)停止捕捉(或其他操作)第一次設(shè)置Wireshark捕捉包可能會(huì)遇到一些小麻煩提示關(guān)于如何進(jìn)行捕捉設(shè)置的較為全面的向?qū)Э梢栽?\h/CaptureSetup.這里有一些常見(jiàn)需要注意的地方你必須擁有root/Administrator特權(quán)以開(kāi)始捕捉[12]必須選擇正確的網(wǎng)絡(luò)接口捕捉數(shù)據(jù)如果您想捕捉某處的通信，你必須作出決定：在什么地方可以捕捉到……以及許多如果你碰到設(shè)置問(wèn)題，建議看看前面的那個(gè)向?qū)?，或許會(huì)有所幫助[12]記得在Windows安裝那一節(jié)層提到如果作為服務(wù)啟動(dòng)可以避免非管理員無(wú)法進(jìn)行捕捉，不知道二者能否相互印證。可以使用下任一方式開(kāi)始捕捉包使用打開(kāi)捕捉接口對(duì)話框，瀏覽可用的本地網(wǎng)絡(luò)接口，見(jiàn)圖4.1“"CaptureInterfaces"捕捉接口對(duì)話框”,選擇您需要進(jìn)行捕捉的接口啟動(dòng)捕捉你也可以使用"捕捉選項(xiàng)"按鈕啟動(dòng)對(duì)話框開(kāi)始捕捉，見(jiàn)圖4.2“"CaptureOption/捕捉選項(xiàng)"對(duì)話框”如果您前次捕捉時(shí)的設(shè)置和現(xiàn)在的要求一樣，您可以點(diǎn)擊"開(kāi)始捕捉"按鈕或者是菜單項(xiàng)立即開(kāi)始本次捕捉如果你已經(jīng)知道捕捉接口的名稱(chēng)，可以使用如下命令從命令行開(kāi)始捕捉：wireshark-ieth0-k上述命令會(huì)從eht0接口開(kāi)始捕捉，有關(guān)命令行的介紹參見(jiàn)第9.2節(jié)“從命令行啟動(dòng)Wireshark”如果您從捕捉菜單選擇"Interface..."，將會(huì)彈出如圖4.1“"CaptureInterfaces"捕捉接口對(duì)話框”所示的對(duì)話框警告打開(kāi)"CaptureInterfaces"/捕捉對(duì)話框時(shí)同時(shí)正在顯示捕捉的數(shù)據(jù)，這將會(huì)大量消耗您的系統(tǒng)資源。盡快選擇您需要的接口以結(jié)束該對(duì)話框。避免影響系統(tǒng)性能注意這個(gè)對(duì)話框只顯示本地已知的網(wǎng)絡(luò)接口，Wireshark可能無(wú)法檢測(cè)到所有的本地接口，Wireshark不能檢測(cè)遠(yuǎn)程可用的網(wǎng)絡(luò)接口，Wireshark只能使用列出可用的網(wǎng)絡(luò)接口圖4.1."CaptureInterfaces"捕捉接口對(duì)話框描述從操作系統(tǒng)獲取的接口信息IPWiresharkIPIP地址（服務(wù)器)，將會(huì)顯示"Unkow",如果有超過(guò)一個(gè)IP的，只顯示第一個(gè)(無(wú)法確定哪一個(gè)會(huì)顯示).Packets打開(kāi)該窗口后，從此接口捕捉到的包的數(shù)目。如果一直沒(méi)有接收到包，則會(huì)顯示為灰度Packets/s最近一秒捕捉到包的數(shù)目。如果最近一秒沒(méi)有捕捉到包，將會(huì)是灰度顯示Stop停止當(dāng)前運(yùn)行的捕捉Capture從選擇的接口立即開(kāi)始捕捉，使用最后一次捕捉的設(shè)置。Options打開(kāi)該接口的捕捉選項(xiàng)對(duì)話框,見(jiàn)第4.5節(jié)“捕捉選項(xiàng)對(duì)話框”Details(僅Win32系統(tǒng))打開(kāi)對(duì)話框顯示接口的詳細(xì)信息Close關(guān)閉對(duì)話框如果您從捕捉菜單選擇"start..."按鈕(或者從主工具欄選擇對(duì)應(yīng)的項(xiàng)目),Wireshark彈出"CaptureOption/捕捉選項(xiàng)"對(duì)話框。如圖4.2“"CaptureOption/捕捉選項(xiàng)"對(duì)話框”所示圖4.2."CaptureOption/捕捉選項(xiàng)"對(duì)話框提示如果你不了解各項(xiàng)設(shè)置的意義，建議保持默認(rèn)。你可以用對(duì)話框中的如下字段進(jìn)行設(shè)置捕捉楨Interface該字段指定你想用于進(jìn)行捕捉的借口。一次只能使用一個(gè)接口。這是一個(gè)下拉列表，簡(jiǎn)單點(diǎn)擊右側(cè)的按鈕，選擇你想要使non-loopback(非環(huán)回)回借口不支持捕捉包(windows平臺(tái)下的環(huán)