Wireshark(前称Ethereal)是一款功能强大的网络抓包分析工具,在我的工作中是不可或缺的一部分工具,往往在网络出现异常时,查看网络中的数据包,会豁然开朗。
1.菜单栏
主菜单包括以下几个项目:
File ——包括打开、合并捕捉文件,save/保存,Print/打印,Export/导出捕捉文件的全部或部分。以及退出Wireshark项.
File菜单介绍
| 菜单项 | 快捷键 | 描述 |
|---|---|---|
| Open… | Ctr+O | 显示打开文件对话框,让您載入捕捉文件用以浏览。 |
| Open Recent | 弹出一个子菜单显示最近打开过的文件供选择。 | |
| Merg | 显示合并捕捉文件的对话框。让您选择一个文件和当前打开的文件合并。 | |
| Close | Ctrl+W | 关闭当前捕捉文件,如果您未保存,系统将提示您是否保存(如果您预设了禁止提示保存,将不会提示) |
| Save | Crl+S | 保存当前捕捉文件,如果您没有设置默认的保存文件名,Wireshark出现提示您保存文件的对话框。 |
| Save As | Shift+Ctrl+S | 让您将当前文件保存为另外一个文件面,将会出现一个另存为的对话框 |
| File Set>List Files | 允许您显示文件集合的列表。将会弹出一个对话框显示已打开文件的列表。 | |
| File Set>Next File | 如果当前載入文件是文件集合的一部分,将会跳转到下一个文件。如果不是,将会跳转到最后一个文件。这个文件选项将会是灰色。 | |
| File set>Previous Files | 如果当前文件是文件集合 的一部分,将会调到它所在位置的前一个文件。如果不是则跳到文件集合的第一个文件,同时变成灰色。 | |
| Export> as “Plain Text” File… | 这个菜单允许您将捕捉文件中所有的或者部分的包导出为plain ASCII text格式。它将会弹出一个Wireshark导出对话框。 | |
| Export >as “PostScript” Files | 将捕捉文件的全部或部分导出为PostScrit文件。 | |
| Export > as “CVS” (Comma Separated Values Packet Summary)File… | 导出文件全部或部分摘要为.cvs格式(可用在电子表格中)。。 | |
| Export > as “PSML” File… | 导出文件的全部或部分为PSML格式(包摘要标记语言)XML文件。将会弹出导出文件对话框。 | |
| Export as “PDML” File… | 导出文件的全部或部分为PDML(包摘要标记语言)格式的XML文件。 | |
| Export > Selected Packet Bytes… | 导出当前在Packet byte面版选择的字节为二进制文件。 | |
| Ctr+P | 打印捕捉包的全部或部分,将会弹出打印对话框。 | |
| Quit | Ctrl+Q | 退出Wireshark,如果未保存文件,Wireshark会提示是否保存。 |
Edit——包括如下项目:查找包,时间参考,标记一个多个包,设置预设参数。(剪切,拷贝,粘贴不能立即执行。)
Edit菜单项
| 菜单项 | 快捷键 | 描述 |
|---|---|---|
| Copy>As Filter | Shift+Ctrl+C | 使用详情面版选择的数据作为显示过滤。显示过滤将会拷贝到剪贴板。 |
| Find Packet… | Ctr+F | 打开一个对话框用来通过限制来查找包 |
| Find Next | Ctrl+N | 在使用Find packet以后,使用该菜单会查找匹配规则的下一个包 |
| Find Previous | Ctr+B | 查找匹配规则的前一个包。 |
| Mark Packet(toggle) | Ctrl+M | 标记当前选择的包。 |
| Find Next Mark | Shift+Ctrl+N | 查找下一个被标记的包 |
| Find Previous Mark | Ctrl+Shift+B | 查找前一个被标记的包 |
| Mark ALL Packets | 标记所有包 | |
| Unmark All Packet | 取消所有标记 | |
| Set Time Reference(toggle) | Ctrl+T | 以当前包时间作为参考 |
| Find Next Reference | 找到下一个时间参考包 | |
| Find Previous Refrence… | 找到前一个时间参考包 | |
| Preferences… | Shift+Ctrl+P | 打开首选项对话框,个性化设置Wireshark的各项参数,设置后的参数将会在每次打开时发挥作用。 |
View ——控制捕捉数据的显示方式,包括颜色,字体缩放,将包显示在分离的窗口,展开或收缩详情面版的地树状节点
“View”菜单项
| 菜单项 | 快捷键 | 描述 | |||
|---|---|---|---|---|---|
| Main Toolbar | 显示隐藏Main toolbar(主工具栏) | ||||
| Filter Toolbar | 显示或隐藏Filter Toolbar(过滤工具栏) | ||||
| Statusbar | 显示或隐藏状态栏 | ||||
| Packet List | 显示或隐藏Packet List pane(包列表面板) | ||||
| Packet Details | 显示或隐藏Packet details pane(包详情面板) | ||||
| Packet Bytes | 显示或隐藏packet Bytes pane(包字节面板) | ||||
| Time Display Fromat>Date and Time of Day: 1970-01-01 01:02:03.123456 | 选择这里告诉Wireshark将时间戳设置为绝对日期-时间格式(年月日,时分秒) | ||||
| Time Display Format>Time of Day: 01:02:03.123456 | 将时间设置为绝对时间-日期格式(时分秒格式) | ||||
| Time Display Format > Seconds Since Beginning of Capture: 123.123456 | 将时间戳设置为秒格式,从捕捉开始计时,见 | ||||
| Time Display Format > Seconds Since Previous Captured Packet: 1.123456 | 将时间戳设置为秒格式,从上次捕捉开始计时 | ||||
| Time Display Format > Seconds Since Previous Displayed Packet: 1.123456 | 将时间戳设置为秒格式,从上次显示的包开始计时 | ||||
| Time Display Format > —— | |||||
| Time Display Format > Automatic (File Format Precision) | 根据指定的精度选择数据包中时间戳的显示方式 | ||||
| Time Display Format > Seconds: 0 | 设置精度为1秒 | ||||
| Time Display Format > …seconds: 0…. | 设置精度为1秒,0.1秒,0.01秒,百万分之一秒等等。 | ||||
| Name Resolution > Resolve Name | 仅对当前选定包进行解析 | ||||
| Name Resolution > Enable for MAC Layer | 是否解析Mac地址 | ||||
| Name Resolution > Enable for Network Layer | 是否解析网络层地址(ip地址) | ||||
| Name Resolution > Enable for Transport Layer | 是否解析传输层地址 | ||||
| Colorize Packet List | 是否以彩色显示包 | ||||
| Auto Scrooll in Live Capture | 控制在实时捕捉时是否自动滚屏,如果选择了该项,在有新数据进入时, 面板会项上滚动。您始终能看到最后的数据。反之,您无法看到满屏以后的数据,除非您手动滚屏 | ||||
| Zoom In | Ctrl++ | 增大字体 | |||
| Zoom Out | Ctrl+- | 缩小字体 | |||
| Normal Size | Ctrl+= | 恢复正常大小 | |||
| Resiz All Columnus | 恢复所有列宽
|
||||
| Expend Subtrees | 展开子分支 | ||||
| Expand All | 看开所有分支,该选项会展开您选择的包的所有分支。 | ||||
| Collapse All | 收缩所有包的所有分支 | ||||
| Coloring Rulues… | 打开一个对话框,让您可以通过过滤表达来用不同的颜色显示包。这项功能对定位特定类型的包非常有用 | ||||
| Show Packet in New Window | 在新窗口显示当前包,(新窗口仅包含View,Byte View两个面板) | ||||
| Reload | Ctrl+R | 重新再如当前捕捉文件 |
GO——包含到指定包的功能。
“GO”菜单项
| 菜单项 | 快捷键 | 描述 |
|---|---|---|
| Back | Alt+Left | 跳到最近浏览的包,类似于浏览器中的页面历史纪录 |
| ForWard | Alt+Right | 跳到下一个最近浏览的包,跟浏览器类似 |
| Go to Packet | Ctrl+G | 打开一个对话框,输入指定的包序号,然后跳转到对应的包。 |
| Go to Corresponding Packet | 跳转到当前包的应答包,如果不存在,该选项为灰色 | |
| Previous Packet | Ctrl+UP | 移动到包列表中的前一个包,即使包列表面板不是当前焦点,也是可用的 |
| Next Packet | Ctrl+Down | 移动到包列表中的后一个包,同上 |
| First Packet | 移动到列表中的第一个包 | |
| Last Packet | 移动到列表中的最后一个包 |
Capture——捕捉数据包
“Capture”菜单项
| 菜单项 | 快捷键 | 说明 |
|---|---|---|
| Interface… | 在弹出对话框选择您要进行捕捉的网络接口 | |
| Options… | Ctrl+K | 打开设置捕捉选项的对话框并可以在此开始捕捉 |
| Start | 立即开始捕捉,设置都是参照最后一次设置。 | |
| Stop | Ctrl+E | 停止正在进行的捕捉 |
| Restart | 正在进行捕捉时,停止捕捉,并按同样的设置重新开始捕捉.仅在您认为有必要时 | |
| Capture Filters… | 打开对话框,编辑捕捉过滤设置,可以命名过滤器,保存为其他捕捉时使用 |
Analyze ——包含处理显示过滤,允许或禁止分析协议,配置用户指定解码和追踪TCP流等功能。
“analyze”菜单项
| 菜单项 | 快捷键 | 说明 |
|---|---|---|
| Display Filters… | 打开过滤器对话框编辑过滤设置,可以命名过滤设置,保存为其他地方使用,见第 6.6 节 “定义,保存过滤器” | |
| Apply as Filter>… | 更改当前过滤显示并立即应用。根据选择的项,当前显示字段会被替换成选择在Detail面板的协议字段 | |
| Prepare a Filter>… | 更改当前显示过滤设置,当不会立即应用。同样根据当前选择项,过滤字符会被替换成Detail面板选择的协议字段 | |
| Firewall ACL Rules | 为多种不同的防火墙创建命令行ACL规则(访问控制列表),支持Cisco IOS, Linux Netfilter (iptables), OpenBSD pf and Windows Firewall (via netsh). Rules for MAC addresses, IPv4 addresses, TCP and UDP ports, 以及IPv4+混合端口 以上假定规则用于外部接口 |
|
| Enable Protocols… | Shift+Ctrl+R | 是否允许协议分析,见第 9.4.1 节 “”Enable Protocols”对话框” |
Statistics ——包括的菜单项用户显示多个统计窗口,包括关于捕捉包的摘要,协议层次统计等等。
| 菜单项 | 快捷键 | 描述 |
|---|---|---|
| Summary | 显示捕捉数据摘要 | |
| Protocol Hierarchy | 显示协议统计分层信息 | |
| Conversations/ | 显示会话列表(两个终端之间的通信) | |
| EndPoints | 显示端点列表(通信发起,结束地址) | |
| IO Graphs | 显示用户指定图表,(如包数量-时间表) | |
| Conversation List | 通过一个组合窗口,显示会话列表 | |
| Endpoint List | 通过一个组合窗口显示终端列表 | |
| Service Response Time | 显示一个请求及其相应之间的间隔时间 |
Help——包含一些辅助用户的参考内容。如访问一些基本的帮助文件,支持的协议列表,用户手册。在线访问一些网站,“关于”
| 菜单项 | 快捷键 | 描述 |
|---|---|---|
| Open… | Ctr+O | 显示打开文件对话框,让您載入捕捉文件用以浏览。 |
| Open Recent | 弹出一个子菜单显示最近打开过的文件供选择。 |
时间: 2024-10-01 16:01:14