Wireshark教程之一：認識Wireshark界面

1.下載與安裝

官網地址：https://www.wireshark.org/

官網下載地址：https://www.wireshark.org/#download

本文以windows環境為例來說明。安裝過程同普通windows程序安裝相同，此處略過。

另外，如果不知道Wireshark是什么的同學，那么現在告訴你，Wireshark 是網絡包分析工具，如果你還不知道是什么，那么后面內容可以跳過了。。

2.軟件界面

 2.1 歡迎界面

打開軟件，默認進入軟件歡迎頁面，如下圖所示：

界面列出了當前可以選擇的網絡形式。如果當前電腦用的有線，則選擇以太網；如果是用的WiFi，列表中會出現WiFi，選擇即可。

2.2 主界面

選擇網絡形式之后，打開的主界面就自動抓取從本機ip發出去或者接受到的網絡包。

整體來說，界面主要分為以下幾部分：

菜單欄：Wireshark的標准菜單欄。 

工具欄：常用功能的快捷圖標按鈕，提供快速訪問菜單中經常用到的項目的功能。

過濾器：提供處理當前顯示過濾得方法。

Packet List面板：顯示每個數據幀的摘要。這里采用表格的形式列出了當前捕獲文件中的所有數據包，其中包括了數據包序號、數據包捕獲的相對時間、數據包的源地址和目標地址、數據包的協議以及在數據包中找到的概況信息等。 

Packet Details面板：分析數據包的詳細信息。這個面板分層次地顯示了一個數據包中的內容，並且可以通過展開或是收縮來顯示這個數據包中所捕獲的全部內容。

Packet Bytes面板：以十六進制和ASCII碼的形式顯示數據包的內容。這里顯 示了一個數據包未經處理的原始樣子，也就是在鏈路上傳播時的樣子。 

狀態欄：包含有專家信息、注釋、包的數量和Profile。

 2.2.1 菜單欄

File（文件） ——包括打開、合並捕捉文件，save/保存，Print/打印，Export/導出，捕捉文件的全部或部分。以及退出Wireshark 項。

Edit（編輯）——包括如下項目：查找包，時間參考，標記一個多個包，設置預設參數。（剪切，拷貝，粘貼不能立即執行。）

View（視圖） ——控制捕捉數據的顯示方式，包括顏色，字體縮放，將包顯示在分離的窗口，展開或收縮詳情面版的地樹狀節點

GO（跳轉） ——包含到指定包的功能。

Capture（捕獲）——控制抓包的對話框，包括接口，選項，開始/停止/重新開始和過濾器。

Analyze（分析） ——包含處理顯示過濾，允許或禁止分析協議，配置用戶指定解碼和追蹤TCP 流等功能。

Statistics（統計） ——包括的菜單項用戶顯示多個統計窗口，包括關於捕捉包的摘要，協議層次統計等等。

Help（幫助） ——包含一些輔助用戶的參考內容。如訪問一些基本的幫助文件，支持的協議列表，用戶手冊。

2.2.2 工具欄

①——使用最后一次的捕捉設置立即開始捕捉

②——停止當前捕捉

③——停止當前捕捉並立即重新開始

④——打開捕獲窗口

2.2.3 過濾器

當進行數據包捕獲時，只有那些滿足給定的包含/排除表達式的數據包會被捕獲。

常見的過濾條件有：

過濾源ip、目的ip——如查找目的地址為192.168.101.8的包，ip.dst==192.168.101.8；查找源地址為ip.src==1.1.1.1。

端口過濾——如過濾80端口，在Filter中輸入，tcp.port==80，這條規則是把源端口和目的端口為80的都過濾出來。使用tcp.dstport==80只過濾目的端口為80的，tcp.srcport==80只過濾源端口為80的包。

協議過濾——比較簡單，直接在Filter框中直接輸入協議名即可，如過濾HTTP的協議

http模式過濾——如過濾get包，http.request.method=="GET",過濾post包，http.request.method=="POST"

連接符and——過濾兩種條件時，使用and連接，如過濾ip為192.168.101.8並且為http協議的，ip.src==192.168.101.8 and http。

2.2.4 Packet List面板

列表中的每行顯示捕捉文件的一個包。如果您選擇其中一行，該包得更多情況會顯示在"Packet Detail/包詳情"，"Packet Byte/包字節"面板。

Packet List面板中默認包含了幾列，如No、Time、Source和Destination等。

• No. 包的編號，編號不會發生改變，即使進行了過濾也同樣如此
• Time 包的時間戳。包時間戳的格式可以自行設置，見第 6.10 節 “時間顯示格式及參考時間”
• Source 顯示包的源地址。
• Destination 顯示包的目標地址。
• Protocal 顯示包的協議類型的簡寫
• Info 包內容的附加信息

2.2.5 Packet Details面板

該面板顯示包列表面板選中包的協議及協議字段，協議及字段以樹狀方式組織。可以展開或折疊進行查看。

2.2.6 Packet Bytes面板

通常在16進制轉儲形式中，左側顯示包數據偏移量，中間欄以16進制表示，右側顯示為對應的ASCII字符。

2.2.7 狀態欄

通常狀態欄的左側會顯示相關上下文信息，右側會顯示當前包數目。