Wireshark抓包工具的简单使用1（界面介绍）

Wireshark安装完成后，就可以打开，具体运行界面如下

一、菜单——用于开始操作

• File ——包括打开、合并捕捉文件，save/保存,Print/打印,Export/导出捕捉文件的全部或部分。以及退出Wireshark 项。

• Edit ——包括如下项目：查找包，时间参考，标记一个多个包，设置预设参 数。（剪切，拷贝，粘贴不能立即执行。）

• View ——控制捕捉数据的显示方式，包括颜色，字体缩放，将包显示在分 离的窗口，展开或收缩详情面版的地树状节点

• GO ——包含到指定包的功能

• Capture——控制抓包的对话框，包括接口，选项，开始/停止/重新开始和过 滤器

• Analyze ——包含处理显示过滤，允许或禁止分析协议，配置用户指定解码 和追踪TCP 流等功能

• Statistics ——包括的菜单项用户显示多个统计窗口，包括关于捕捉包的摘 要，协议层次统计等等

• Help ——包含一些辅助用户的参考内容。如访问一些基本的帮助文件，支持 的协议列表，用户手册

二、工具栏

• 打开接口列表对话框
• 打开捕捉选项对话框
• 使用最后一次的捕捉设置立即开始捕捉
• 停止当前捕捉
• 停止当前捕捉并立即重新开始
• 启动打开文件对话框，用于载入文件

• 保存当前文件为任意其他的文件，它将会弹出一个保存对话框（注：如果当前文件是临时未保存文件，图标将会显示为）

• 关闭当前文件。如果未保存，将会提示是否保存
• 重新载入当前文件
• 打印捕捉文件的全部或部分，将会弹出一个打印对话框
• 打开一个对话框，查找包
• 返回历史记录的上一个
• 跳转到历史记录中的下一个包
• 弹出一个设置跳转到指定的包的对话框
• 跳转到第一个包
• 跳转到最后一个包
• 切换是否以彩色方式显示包列表
• 开启/关闭实时捕捉时自动滚动包列表
• 增大字体
• 缩小字体
• 设置缩放大小为100%
• 重置列宽，是内容适合列宽（使包列表内的文字可以显示）
• 打开对话框，用于创建、编辑捕捉过滤器
• 打开对话框，用于创建、编辑显示过滤器
• 定义以彩色方式显示数据包的规则
• 打开首选项对话框
• 打开帮助对话框

三、过滤工具栏

点击Filter 按钮会弹出display filter 对话框，这个和在工具栏上输入协议来查找包的结果是一样的，只是它方便点

• New——增加一个新的过滤器到列表中。当前输入的Fiter name，Filter string 将会被使用并被保存，如果这些都为空，将会设置为―new

• Delete——删除选中的过滤器。如果没有过滤器被选中则为灰色

• Filter name——修改当前选择的过滤器的名称。注：过滤器名称仅用在 此处为了区分方便而已，没有其他用处。可以将多个过滤器使用同一个 名称，但这样很不方便

• Filter string——修改当前选中过滤器的内容。仅适用显示过滤：在输入 时进行语法检查

• Add expression——仅适用显示过滤：打开增加表达式对话框，辅助创 建过滤表达式

• OK——仅适用显示过滤：应用当前显示选择的过滤器，关闭当前对话框
• Apply——仅适用显示过滤：应用当前显示选择的过滤器
• Cancel——放弃当前设置，关闭当前对话框

点击Expression 按钮，会出现Filter Expression 对话框

• Field name——从协议字段书中选择协议字段。每个可过滤协议都放在 第一级。点击+展开列表，可以获得关于那些协议的可过滤字段

• Relation——从可以关系列表中选择关系。Is present 是一元关系，如果 选择的字段存在，表达式为真值。其它关系为二元关系，需附加数据来 完成。如果从字段名列表选择一个字段，并选择一个二元关系，你可能 需要输入值，也有可能是范围信息

• Value——在此输入合适的配置值，输入的值同样要符合你选择的field name 的属性值类型

• Predefined values——有些协议字段包含预设值可用，这点和C 语言中 的枚举变量类似。如果选择的协议有这样的值定义，你可以再次选择

在工具栏上输：tcp 点击在此区域输入或修改显示的过滤字符，在输入过程中会进行语法检查。 如果您输入的格式不正确，或者未输入完成，则背景显示为红色。直到您输入合法的表达式，背景会变为绿色。你可以点击下拉列表选择您先前键入的过滤字符。列表会一直保留，即使您重新启动程序