Wireshark安裝完成后,就可以打開,具體運行界面如下
一、菜單——用於開始操作
- File ——包括打開、合並捕捉文件,save/保存,Print/打印,Export/導出捕捉文件的全部或部分。以及退出Wireshark 項。
-
Edit ——包括如下項目:查找包,時間參考,標記一個多個包,設置預設參 數。(剪切,拷貝,粘貼不能立即執行。)
-
View ——控制捕捉數據的顯示方式,包括顏色,字體縮放,將包顯示在分 離的窗口,展開或收縮詳情面版的地樹狀節點
- GO ——包含到指定包的功能
-
Capture——控制抓包的對話框,包括接口,選項,開始/停止/重新開始和過 濾器
-
Analyze ——包含處理顯示過濾,允許或禁止分析協議,配置用戶指定解碼 和追蹤TCP 流等功能
-
Statistics ——包括的菜單項用戶顯示多個統計窗口,包括關於捕捉包的摘 要,協議層次統計等等
-
Help ——包含一些輔助用戶的參考內容。如訪問一些基本的幫助文件,支持 的協議列表,用戶手冊
二、工具欄
- 打開接口列表對話框
- 打開捕捉選項對話框
- 使用最后一次的捕捉設置立即開始捕捉
- 停止當前捕捉
- 停止當前捕捉並立即重新開始
- 啟動打開文件對話框,用於載入文件
-
保存當前文件為任意其他的文件,它將會彈出一個保存對話框(注:如果當前文件是臨時未保存文件,圖標將會顯示為)
- 關閉當前文件。如果未保存,將會提示是否保存
- 重新載入當前文件
- 打印捕捉文件的全部或部分,將會彈出一個打印對話框
- 打開一個對話框,查找包
- 返回歷史記錄的上一個
- 跳轉到歷史記錄中的下一個包
- 彈出一個設置跳轉到指定的包的對話框
- 跳轉到第一個包
- 跳轉到最后一個包
- 切換是否以彩色方式顯示包列表
- 開啟/關閉實時捕捉時自動滾動包列表
- 增大字體
- 縮小字體
- 設置縮放大小為100%
- 重置列寬,是內容適合列寬(使包列表內的文字可以顯示)
- 打開對話框,用於創建、編輯捕捉過濾器
- 打開對話框,用於創建、編輯顯示過濾器
- 定義以彩色方式顯示數據包的規則
- 打開首選項對話框
- 打開幫助對話框
三、過濾工具欄
點擊Filter 按鈕會彈出display filter 對話框,這個和在工具欄上輸入協議來查找包的結果是一樣的,只是它方便點
-
New——增加一個新的過濾器到列表中。當前輸入的Fiter name,Filter string 將會被使用並被保存,如果這些都為空,將會設置為―new
- Delete——刪除選中的過濾器。如果沒有過濾器被選中則為灰色
-
Filter name——修改當前選擇的過濾器的名稱。注:過濾器名稱僅用在 此處為了區分方便而已,沒有其他用處。可以將多個過濾器使用同一個 名稱,但這樣很不方便
-
Filter string——修改當前選中過濾器的內容。僅適用顯示過濾:在輸入 時進行語法檢查
-
Add expression——僅適用顯示過濾:打開增加表達式對話框,輔助創 建過濾表達式
- OK——僅適用顯示過濾:應用當前顯示選擇的過濾器,關閉當前對話框
- Apply——僅適用顯示過濾:應用當前顯示選擇的過濾器
- Cancel——放棄當前設置,關閉當前對話框
點擊Expression 按鈕,會出現Filter Expression 對話框
-
Field name——從協議字段書中選擇協議字段。每個可過濾協議都放在 第一級。點擊+展開列表,可以獲得關於那些協議的可過濾字段
-
Relation——從可以關系列表中選擇關系。Is present 是一元關系,如果 選擇的字段存在,表達式為真值。其它關系為二元關系,需附加數據來 完成。如果從字段名列表選擇一個字段,並選擇一個二元關系,你可能 需要輸入值,也有可能是范圍信息
-
Value——在此輸入合適的配置值,輸入的值同樣要符合你選擇的field name 的屬性值類型
-
Predefined values——有些協議字段包含預設值可用,這點和C 語言中 的枚舉變量類似。如果選擇的協議有這樣的值定義,你可以再次選擇
在工具欄上輸:tcp 點擊在此區域輸入或修改顯示的過濾字符,在輸入過程中會進行語法檢查。 如果您輸入的格式不正確,或者未輸入完成,則背景顯示為紅色。直到您輸入合法的表達式,背景會變為綠色。你可以點擊下拉列表選擇您先前鍵入的過濾字符。列表會一直保留,即使您重新啟動程序