Wireshark使用教程:第3章 使用者介面
3.1. 須知
現在您已經安裝好了Wireshark,幾乎可以馬上捕捉您的一個包。緊接著的這一節我們將會介紹:
- Wireshark的使用者介面如何使用
- 如何捕捉包
- 如何檢視包
- 如何過濾包
- ……以及其他的一些工作。
3.2. 啟動Wireshark
你可以使用Shell命令列或者資源管理器啟動Wireshark.
3.3. 主視窗
先來看看圖 3.1 “主視窗介面”,大多數開啟捕捉包以後的介面都是這樣子(如何捕捉/開啟包檔案隨後提到)。
圖 3.1. 主視窗介面
和大多數圖形介面程式一樣,Wireshark主視窗由如下部分組成:
- 主工具欄(見
- Fiter toolbar/過濾工具欄(見第 3.14 節 “"Filter"工具欄”)提供處理當前顯示過濾得方法。(見6.3:”瀏覽時進行過濾”)
- Packet List面板(見第 3.15 節 “"Pcaket List"面板”)顯示開啟檔案的每個包的摘要。點選面板中的單獨條目,包的其他情況將會顯示在另外兩個面板中。
- Packet detail面板(見第 3.16 節 “"Packet Details"面板”)顯示您在Packet list面板中選擇的包德更多詳情。
- Packet bytes面板(見第 3.17 節 “"Packet Byte"面板”
- 狀態列(見第 3.18 節 “狀態列”)顯示當前程式狀態以及捕捉資料的更多詳情。
3.3.1. 主視窗概述
Packet list和Detail 面版控制可以通過快捷鍵進行。表 3.1 “導航快捷鍵”顯示了相關的快捷鍵列表。表 3.5 “"GO"選單項”有關於快捷鍵的更多介紹
表 3.1. 導航快捷鍵
快捷鍵 |
描述 |
Tab,Shift+Tab |
在兩個專案間移動,例如從一個包列表移動到下一個 |
Down |
移動到下一個包或者下一個詳情 |
Up |
移動到上一個包或者上一個詳情 |
Ctrl-Down,F8 |
移動到下一個包,即使焦點不在Packet list面版 |
Ctrl-UP,F7 |
移動到前一個報,即使焦點不在Packet list面版 |
Left |
在Pactect Detail面版,關閉被選擇的詳情樹狀分支。如果以關閉,則返回到父分支。 |
Right |
在Packet Detail面版,開啟被選擇的樹狀分支. |
Backspace |
Packet Detail面版,返回到被選擇的節點的父節點 |
Return,Enter |
Packet Detail面版,固定被選擇樹專案。 |
另外,在主視窗鍵入任何字元都會填充到filter裡面。
3.4. 主選單
Wireshark主選單位於Wireshark視窗的最上方。圖 3.2 “主選單”提供了選單的基本介面。
圖 3.2. 主選單
主選單包括以下幾個專案:
File
包括開啟、合併捕捉檔案,save/儲存,Print/列印,Export/匯出捕捉檔案的全部或部分。以及退出Wireshark項.見第 3.5 節 “"File"選單”
Edit
包括如下專案:查詢包,時間參考,標記一個多個包,設定預設引數。(剪下,拷貝,貼上不能立即執行。)見第 3.6 節 “"Edit"選單”
View
控制捕捉資料的顯示方式,包括顏色,字型縮放,將包顯示在分離的視窗,展開或收縮詳情面版的地樹狀節點,……見第 3.7 節 “"View"選單”
GO
Capture
Analyze
包含處理顯示過濾,允許或禁止分析協議,配置使用者指定解碼和追蹤TCP流等功能。見第 3.10 節 “"Analyze"選單”
Statistics
包括的選單項使用者顯示多個統計視窗,包括關於捕捉包的摘要,協議層次統計等等。見第 3.11 節 “"Statistics"選單”
Help
包含一些輔助使用者的參考內容。如訪問一些基本的幫助檔案,支援的協議列表,使用者手冊。線上訪問一些網站,“關於”等等。見第 3.12 節 “"Help"選單”
本章連結介紹選單的一般情況,更詳細的介紹會出現在後續章節。
3.5. "File"選單
WireSharkFile選單包含的專案如表表 3.2 “File選單介紹”所示
圖 3.3. File選單
表 3.2. File選單介紹
選單項 |
快捷鍵 |
描述 |
Open... |
Ctr+O |
|
Open Recent |
彈出一個子選單顯示最近開啟過的檔案供選擇。 |
|
Merg |
顯示合併捕捉檔案的對話方塊。讓您選擇一個檔案和當前開啟的檔案合併。見第 5.4 節 “合併捕捉檔案” |
|
Close |
Ctrl+W |
關閉當前捕捉檔案,如果您未儲存,系統將提示您是否儲存(如果您預設了禁止提示儲存,將不會提示) |
Save |
Crl+S |
|
File Set>List Files |
允許您顯示檔案集合的列表。將會彈出一個對話方塊顯示已開啟檔案的列表,參見第 5.5 節 “檔案集合” |
|
File Set>Next File |
如果當前載入檔案是檔案集合的一部分,將會跳轉到下一個檔案。如果不是,將會跳轉到最後一個檔案。這個檔案選項將會是灰色。 |
|
File set>Previous Files |
如果當前檔案是檔案集合 的一部分,將會調到它所在位置的前一個檔案。如果不是則跳到檔案集合的第一個檔案,同時變成灰色。 |
|
Export> as “Plain Text” File… |
這個選單允許您將捕捉檔案中所有的或者部分的包匯出為plain ASCII text格式。它將會彈出一個Wireshark匯出對話方塊,見第 5.6.1 節 “"Export as Plain Text File"對話方塊” |
|
Export >as "PostScript" Files |
||
Export > as "CVS" (Comma Separated Values Packet Summary)File... |
||
Export > as “PSML” File… |
匯出檔案的全部或部分為PSML格式(包摘要標記語言)XML檔案。將會彈出匯出檔案對話方塊。見第 5.6.4 節 “"Export as PSML File" 對話方塊” |
|
Export as "PDML" File... |
匯出檔案的全部或部分為PDML(包摘要標記語言)格式的XML檔案。將會彈出一個匯出檔案對話方塊,見第 5.6.5 節 “"Export as PDML File" 對話方塊” |
|
Export > Selected Packet Bytes… |
||
|
Ctr+P |
列印捕捉包的全部或部分,將會彈出列印對話方塊。見第 5.7 節 “列印包” |
Quit |
Ctrl+Q |
退出Wireshark,如果未儲存檔案,Wireshark會提示是否儲存。 |
3.6. "Edit"選單
Wireshark的"Edit"選單包含的專案見表 3.3 “Edit選單項”
圖 3.4. "Edit"選單
表 3.3. Edit選單項
選單項 |
快捷鍵 |
描述 |
Copy>As Filter |
Shift+Ctrl+C |
使用詳情面版選擇的資料作為顯示過濾。顯示過濾將會拷貝到剪貼簿。 |
Find Packet... |
Ctr+F |
開啟一個對話方塊用來通過限制來查詢包,見??? |
Find Next |
Ctrl+N |
在使用Find packet以後,使用該選單會查詢匹配規則的下一個包 |
Find Previous |
Ctr+B |
查詢匹配規則的前一個包。 |
Mark Packet(toggle) |
Ctrl+M |
|
Find Next Mark |
Shift+Ctrl+N |
查詢下一個被標記的包 |
Find Previous Mark |
Ctrl+Shift+B |
查詢前一個被標記的包 |
Mark ALL Packets |
標記所有包 |
|
Unmark All Packet |
取消所有標記 |
|
Set Time Reference(toggle) |
Ctrl+T |
|
Find Next Reference |
找到下一個時間參考包 |
|
Find Previous Refrence... |
找到前一個時間參考包 |
|
Preferences... |
Shift+Ctrl+P |
開啟首選項對話方塊,個性化設定Wireshark的各項引數,設定後的引數將會在每次開啟時發揮作用。詳見第 9.5 節 “首選項” |
3.7. "View"選單
圖 3.5. "View"選單
表 3.4. "View"選單項
選單項 |
快捷鍵 |
描述 |
||
Main Toolbar |
||||
Filter Toolbar |
||||
Statusbar |
||||
Packet List |
||||
Packet Details |
||||
Packet Bytes |
||||
Time Display Fromat>Date and Time of Day: 1970-01-01 01:02:03.123456 |
選擇這裡告訴Wireshark將時間戳設定為絕對日期-時間格式(年月日,時分秒),見第 6.10 節 “時間顯示格式及參考時間”
|
|||
Time Display Format>Time of Day: 01:02:03.123456 |
||||
Time Display Format > Seconds Since Beginning of Capture: 123.123456 |
||||
Time Display Format > Seconds Since Previous Captured Packet: 1.123456 |
||||
Time Display Format > Seconds Since Previous Displayed Packet: 1.123456 |
||||
Time Display Format > ------ |
||||
Time Display Format > Automatic (File Format Precision) |
|
|||
Time Display Format > Seconds: 0 |
||||
Time Display Format > ...seconds: 0.... |
設定精度為1秒,0.1秒,0.01秒,百萬分之一秒等等。 見第 6.10 節 “時間顯示格式及參考時間” |
|||
Name Resolution > Resolve Name |
||||
Name Resolution > Enable for MAC Layer |
是否解析Mac地址 |
|||
Name Resolution > Enable for Network Layer |
是否解析網路層地址(ip地址),見第 7.6 節 “名稱解析” |
|||
Name Resolution > Enable for Transport Layer |
||||
Colorize Packet List |
是否以彩色顯示包
|
|||
Auto Scrooll in Live Capture |
控制在實時捕捉時是否自動滾屏,如果選擇了該項,在有新資料進入時, 面板會項上滾動。您始終能看到最後的資料。反之,您無法看到滿屏以後的資料,除非您手動滾屏 |
|||
Zoom In |
Ctrl++ |
增大字型 |
||
Zoom Out |
Ctrl+- |
縮小字型 |
||
Normal Size |
Ctrl+= |
恢復正常大小 |
||
Resiz All Columnus |
恢復所有列寬
|
|||
Expend Subtrees |
展開子分支 |
|||
Expand All |
看開所有分支,該選項會展開您選擇的包的所有分支。 |
|||
Collapse All |
收縮所有包的所有分支 |
|||
Coloring Rulues... |
開啟一個對話方塊,讓您可以通過過濾表達來用不同的顏色顯示包。這項功能對定位特定型別的包非常有用。見第 9.3 節 “包色彩顯示設定” |
|||
Show Packet in New Window |
在新視窗顯示當前包,(新視窗僅包含View,Byte View兩個面板) |
|||
Reload |
Ctrl+R |
重新再如當前捕捉檔案 |
3.8. "Go"選單
圖 3.6. "GO"選單
表 3.5. "GO"選單項
選單項 |
快捷鍵 |
描述 |
Back |
Alt+Left |
跳到最近瀏覽的包,類似於瀏覽器中的頁面歷史紀錄 |
ForWard |
Alt+Right |
跳到下一個最近瀏覽的包,跟瀏覽器類似 |
Go to Packet |
Ctrl+G |
開啟一個對話方塊,輸入指定的包序號,然後跳轉到對應的包,見第 6.8 節 “到指定的包” |
Go to Corre |