菜单栏
- 文件:打开文件集、保存包、导出HTTP对象
- 编辑:清除所有标记的包、忽略包和时间属性
- 视图:查看/隐藏工具栏和面板、编辑Time列、重设颜色
- 跳转:
- 捕获:
- 分析:创建显示过滤器宏、查看启用协议、保存关注解码
- 统计:创建图表并打开各种协议统计窗口
- 电话:执行所有语音功能(图表、图形、回放)
- 无线:
- 工具:根据包内容构建防火墙规则、访问Lua脚本工具
- 帮助:学习wireshark全球存储和个人配置文件
工具栏
过滤器
当用户面向大量需要处理的数据时,可以通过使用显示过滤器快速的过滤自己需要的数据。
wireshark面板
wireshark有三个面板:
- packet list面板
- packet details面板
- packet bytes面板
这三个面板之间是相互关联的:
- 如果希望在packet details面板中查看一个单独的数据包的具体内容,必须在packet list面板中单机选中那个数据包
- 选中该数据包之后,才可以通过在packet deatils面板中选择数据宝的某个字段进行分析,从而在packet bytes面板中查看相应字段的字节信息
packet list面板
具体信息
packet list面板:以表格的形式显示了当前捕获文件中的所有数据报,从下面可以看出,一共有7列:
- No(Number列):包的编号
- 默认wireshark是按照数据包编号从低到高排序
- 该编号不会发生改变,即使使用了过滤也同样如此
- Time列:包的时间戳。时间格式可以自己设置
- Source列和Destination列:包的源地址和目的地址
- Protocol列:包的协议类型
- Length列:包的长度
- Info列:包的附加信息
操作
对列进行操作
列排序
默认wireshark是按照数据包编号(No)从低到高排序
如果想要按照其他的排序,比如protocol列标题,单击protocol就可以:
从上面可以看出No类的编号发生了改变,协议列开始都为HTTP
移动列位置
比如将protocol列移动到time列后面:鼠标选择protocol列,然后拖动到time后面。效果如下图:
隐藏、显示、重命名、删除列
对数据进行操作
右键单击选中任何一个数据包,就可以通过选项对数据包进行各种操作了
packet details面板
packet details面板:分层的显示了一个数据包中的内容,并且可以通过展开或者收缩来显示这个数据包中所捕获的全部内容
默认数据详细信息都是合并的,如果要查看,可以单击每行前面的箭头:
或者选中一列,通过选项展开所有会话或者单个会话:
packet bytes面板
packet bytes面板:
- 显示了一个数据包未经处理的原始样子,也就是它在链路上传播时的样子。
- 在该面板中的数据是以16进制和ASCII格式显示了帧的内容
- 当在packet details面板中选择任意一个字段后,在packet bytes面板中包含该字段的字节也高亮显示。
如果不想看到packet bytes面板的话,可以在菜单栏中选择 【视图—》分组字节流】命令将其关闭。如果要查看,可以通过同样的方法打开
状态信息
状态栏由两个按钮和三列组成:
- “专家信息”按钮:可以提醒用户,在不会文件中的网络问题和数据包的注释
- “注释”按钮:添加、编辑、查看一个捕获文件的注释。该功能只可以在.pcapng格式保存的捕获文件中使用
- 第一列(获取字段、捕获或者捕获文件信息)
- 当在捕获文件中选择某个字段时,在状态栏中可以看到文件名和列大小
- 如果单击packet bytes面板中的一个字段,将在状态栏中显示其字段名,并且packet details面板中也会发生变化
- 第二列(包数和加载信息)
- 当打开一个捕获文件时,在状态栏中的第二列将显示该文件的总包数
- 上图显示了捕获的数据包总数、已显示包个数、加载时间
- 如果当前捕获文件中有包被标记,则会显示标记包数
- 第三列(当前使用的配置):配置可以自己创建,以定制自己喜欢的wireshark环境
