Wireshark使用教程 - 图文 

“Additional Tasks”页

Start Menu Shortcuts-开始菜单快捷方式-增加一些快捷方式到开始菜单 ? Desktop Icon-桌面图标-增加Wireshark图标到桌面

? Quick Launch Icon-快速启动图标-增加一个Wireshark图标到快速启动工具栏

? Associate file extensions to Wireshark-Wireshark文件关联-将捕捉包默认打开方式关联到Wireshark

?

Install WinPcap?”页

Wireshark安装包里包含了最新版的WinPcap安装包。

如果您没有安装WinPcap 。您将无法捕捉网络流量。但是您还是可以打开以保存的捕捉包文件。

Currently installed WinPcap version-当前安装的WinPcap版本

? Install WinPcap x.x -如果当前安装的版本低于Wireshark自带的，该选项将会是默认值。

? Start WinPcap service \ -将WinPcap的服务NPF在启动时运行-这样其它非管理员用户就同样可以捕捉包了。

?

更多关于WinPcap的信息：

Wireshark 相关http://wiki.wireshark.org/WinPcap ? WinPcap官方网站：http://www.winpcap.org

?

安装命令选项

您可以直接在命令行运行安装包，不加任何参数，这样会显示常用的参数以供交互安装。 在个别应用中，可以选择一些参数定制安装：

? ? ? ? ?

/NCRC 禁止CRC校检

/S 静默模式安装或卸载Wireshark.注意：静默模式安装时不会安装WinPcap!

/desktopicon 安装桌面图标，/desktopicon=yes表示安装图标，反之则不是，适合静默模式。

/quicklaunchicon 将图标安装到快速启动工具栏，=yes-安装到工具栏，=no-不安装，不填按默认设置。 /D 设置默认安装目录($INSTDIR),首选安装目录和安装目录注册表键值，该选项必须设置到最后。即使路径包含空格

例 2.5.

wireshark-setup-0.99.5.exe /NCRC /S /desktopicon=yes /quicklaunchicon=no /D=C:\\Program Files\\Foo

2.8.2. 手动安装WinPcap

注意

事先声明，Wireshark安装时会谨慎对待WinPcap的安装，所以您通常不必担心WinPcap。

下面的WinPcap仅适合您需要尝试未包括在Wireshark内的不同版本WinPcap。例如一个新版本的WinPcap发布了，您需要安装它。

单独的WinPcap版本（包括alpha or beta版）可以在下面地址下载到

WinPcap官方网站：http://www.winpcap.org

? Wiretapped.net 镜像站点: http://www.mirrors.wiretapped.net/security/packet-capture/winpcap

?

在下载页面您将会发现WinPcap的安装包名称通常类似于”auto-installer”。它们可以在NT4.0/2000/XP/vista下安装。

2.8.3. 更新Wireshark

有时候您可能想将您的WinPcap更新到最新版本，如果您订阅了Wireshark通知邮件，您将会获得Wireshark新版本发布的通知，见第 1.6.4 节 “邮件列表”

。

新版诞生通常需要8-12周。更新Wireshark就是安装一下新版本。下载并安装它就可以。更新通常不需要重新启动，也不会更改过去的默认设置

2.8.4. 更新WinPcap

WinPcap的更新不是十分频繁，通常一年左右。新版本出现的时候您会收到WinPcap的通知。更新WinPcap后需要重新启动。

警告

在安装新版WinPcap之前，如果您已经安装了旧版WinPcap,您必须先卸载它。最近版本的WinPcap安装时会自己卸载旧版。

2.8.5. 卸载Wireshark

你可以用常见方式卸载Wireshark,使用添加/删除程序，选择”Wireshark”选项开始卸载即可。

Wireshark卸载过程中会提供一些选项供您选择卸载哪些部分，默认是卸载核心组件，但保留个人设置和WinPcap. WinPcap默认不会被卸载，因为其他类似Wireshark的程序有可能同样适用WinPcap

2.8.6. 卸载WinPcap

你可以单独卸载WinPcap,在添加/删除程序选择”WinPcap”卸载它。

注意

卸载WinPcap之后您将不能使用Wireshark捕捉包。

在卸载完成之后最好重新启动计算机。

[9]

译者注：看到别人翻译Pipelin之类的，似乎就是叫管道，不知道是否准确

[10]

译者注：本人不熟悉UNIX/LINUX，这一段翻译的有点云里雾里，可能大家通过这部分想安装Wireshark会适得其反，那就对不住了。下面个人说一下UNIX/LINUX下安装方法。 UNIX/LINUX下安装时，有两种安装方式，1是下载源码包自己编译，这种方式的好处是因为下载源码包是单一的，可以自行加以修改，编译就是适合自己平台的了。 2、是利用已经做好的发行包直接安装，这种方法的好处是只要下载到跟自己平台对应的就可以，但缺点也在这里，不是每个平台都能找到合适的。不管是编译安装，还是使用发行包安装，都需要有一些有些基本基本支持。比如Linux下的GTK+支持，捕捉包时需要用的libpcap. 这一点可以参考第 2.3 节 “在UNIX下安装之前 ”。编译的一般步骤是解压，编译，安装（tar zxvf Wireshark-0.99.5-tar.gz;make;make install）.直接安装则是根据各自平台安装的特点。

[11]

涉及到过多的名次，软件又没有中文版，这里及以后尽量不翻译名称

第 3 章 用户界面

3.1. 须知

现在您已经安装好了Wireshark,几乎可以马上捕捉您的一个包。紧接着的这一节我们将会介绍：

? ? ? ? ?

Wireshark的用户界面如何使用 如何捕捉包 如何查看包 如何过滤包

??以及其他的一些工作。

3.2. 启动Wireshark

你可以使用Shell命令行或者资源管理器启动Wireshark.

提示

开始Wireshark时您可以指定适当的参数。参见第 9.2 节 “从命令行启动Wireshark”

注意

在后面的章节中，将会出现大量的截图，因为Wireshark运行在多个平台 ，并且支持多个GUI

Toolkit(GTK1.x/2x),您的屏幕上显示的界面可能与截图不尽吻合。但在功能上不会有实质性区别。尽管有这些区别，也不会导致理解上的困难。

3.3. 主窗口

先来看看图 3.1 “主窗口界面”，大多数打开捕捉包以后的界面都是这样子（如何捕捉/打开包文件随后提到）。 图 3.1. 主窗口界面

和大多数图形界面程序一样，Wireshark主窗口由如下部分组成：

1. 菜单（见第 3.4 节 “主菜单”）用于开始操作。

2. 主工具栏(见第 3.13 节 “\工具栏”)提供快速访问菜单中经常用到的项目的功能。 3. Fiter toolbar/过滤工具栏(见第 3.14 节 “\工具栏”)提供处理当前显示过滤得方法。(见6.3:”浏览时进行过滤”)

4. Packet List面板（见第 3.15 节 “\面板”）显示打开文件的每个包的摘要。点击面板中的单独条目，包的其他情况将会显示在另外两个面板中。

5. Packet detail面板（见第 3.16 节 “\面板”）显示您在Packet list面板中选择的包德更多详情。

6. Packet bytes面板（见第 3.17 节 “\面板”）显示您在Packet list面板选择的包的数据，以及在Packet details面板高亮显示的字段。

7. 状态栏（见第 3.18 节 “状态栏”）显示当前程序状态以及捕捉数据的更多详情。

注意

主界面的三个面版以及各组成部分可以自定义组织方式。见第 9.5 节 “首选项”

3.3.1. 主窗口概述

Packet list和Detail 面版控制可以通过快捷键进行。表 3.1 “导航快捷键”显示了相关的快捷键列表。表 3.5 “\菜单项”有关于快捷键的更多介绍 表 3.1. 导航快捷键

快捷键 Down Up Ctrl-UP,F7 Left Right Backspace 另外，在主窗口键入任何字符都会填充到filter里面。

移动到下一个包或者下一个详情 移动到上一个包或者上一个详情 移动到前一个报，即使焦点不在Packet list面版 在Pactect Detail面版，关闭被选择的详情树状分支。如果以关闭，则返回到父分支。 在Packet Detail面版，打开被选择的树状分支. Packet Detail面版，返回到被选择的节点的父节点 描述 Tab,Shift+Tab 在两个项目间移动，例如从一个包列表移动到下一个 Ctrl-Down,F8 移动到下一个包，即使焦点不在Packet list面版 Return,Enter Packet Detail面版，固定被选择树项目。 3.4. 主菜单

Wireshark主菜单位于Wireshark窗口的最上方。图 3.2 “主菜单”提供了菜单的基本界面。 图 3.2. 主菜单

主菜单包括以下几个项目: File

包括打开、合并捕捉文件，save/保存,Print/打印,Export/导出捕捉文件的全部或部分。以及退出Wireshark项.见第 3.5 节 “\菜单” Edit

包括如下项目：查找包，时间参考，标记一个多个包，设置预设参数。（剪切，拷贝，粘贴不能立即执行。）见第 3.6 节 “\菜单” View

控制捕捉数据的显示方式，包括颜色，字体缩放，将包显示在分离的窗口，展开或收缩详情面版的地树状节点，??见第 3.7 节 “\菜单” GO

包含到指定包的功能。见第 3.8 节 “\菜单” Capture

允许您开始或停止捕捉、编辑过滤器。见第 3.9 节 “\菜单” Analyze

包含处理显示过滤，允许或禁止分析协议，配置用户指定解码和追踪TCP流等功能。见第 3.10 节 “\菜单” Statistics

包括的菜单项用户显示多个统计窗口，包括关于捕捉包的摘要，协议层次统计等等。见第 3.11 节 “\菜单” Help

包含一些辅助用户的参考内容。如访问一些基本的帮助文件，支持的协议列表，用户手册。在线访问一些网站，“关于”等等。见第 3.12 节 “\菜单”

本章链接介绍菜单的一般情况，更详细的介绍会出现在后续章节。

提示

你可以直接点击访问菜单项，也可以使用热键，热键显示在菜单文字描述部分。例如：您可以使用CTR+K打开捕捉对话框。

3.5. \菜单

WireSharkFile菜单包含的项目如表表 3.2 “File菜单介绍”所示 图 3.3. File菜单

表 3.2. File菜单介绍

菜单项 快捷键 描述