Wireshark教程之一：认识Wireshark界面

1.下载与安装

官网地址：https://www.wireshark.org/

官网下载地址：https://www.wireshark.org/#download

本文以windows环境为例来说明。安装过程同普通windows程序安装相同，此处略过。

另外，如果不知道Wireshark是什么的同学，那么现在告诉你，Wireshark 是网络包分析工具，如果你还不知道是什么，那么后面内容可以跳过了。。

2.软件界面

2.1 欢迎界面

打开软件，默认进入软件欢迎页面，如下图所示：

界面列出了当前可以选择的网络形式。如果当前电脑用的有线，则选择以太网；如果是用的WiFi，列表中会出现WiFi，选择即可。

2.2 主界面

选择网络形式之后，打开的主界面就自动抓取从本机ip发出去或者接受到的网络包。

整体来说，界面主要分为以下几部分：

菜单栏：Wireshark的标准菜单栏。

工具栏：常用功能的快捷图标按钮，提供快速访问菜单中经常用到的项目的功能。

过滤器：提供处理当前显示过滤得方法。

Packet List面板：显示每个数据帧的摘要。这里采用表格的形式列出了当前捕获文件中的所有数据包，其中包括了数据包序号、数据包捕获的相对时间、数据包的源地址和目标地址、数据包的协议以及在数据包中找到的概况信息等。

Packet Details面板：分析数据包的详细信息。这个面板分层次地显示了一个数据包中的内容，并且可以通过展开或是收缩来显示这个数据包中所捕获的全部内容。

Packet Bytes面板：以十六进制和ASCII码的形式显示数据包的内容。这里显 示了一个数据包未经处理的原始样子，也就是在链路上传播时的样子。

状态栏：包含有专家信息、注释、包的数量和Profile。

2.2.1 菜单栏

File（文件） ——包括打开、合并捕捉文件，save/保存，Print/打印，Export/导出，捕捉文件的全部或部分。以及退出Wireshark 项。

Edit（编辑）——包括如下项目：查找包，时间参考，标记一个多个包，设置预设参数。（剪切，拷贝，粘贴不能立即执行。）

View（视图） ——控制捕捉数据的显示方式，包括颜色，字体缩放，将包显示在分离的窗口，展开或收缩详情面版的地树状节点

GO（跳转） ——包含到指定包的功能。

Capture（捕获）——控制抓包的对话框，包括接口，选项，开始/停止/重新开始和过滤器。

Analyze（分析） ——包含处理显示过滤，允许或禁止分析协议，配置用户指定解码和追踪TCP 流等功能。

Statistics（统计） ——包括的菜单项用户显示多个统计窗口，包括关于捕捉包的摘要，协议层次统计等等。

Help（帮助） ——包含一些辅助用户的参考内容。如访问一些基本的帮助文件，支持的协议列表，用户手册。

2.2.2 工具栏

①——使用最后一次的捕捉设置立即开始捕捉

②——停止当前捕捉

③——停止当前捕捉并立即重新开始

④——打开捕获窗口

2.2.3 过滤器

当进行数据包捕获时，只有那些满足给定的包含/排除表达式的数据包会被捕获。

常见的过滤条件有：

过滤源ip、目的ip——如查找目的地址为192.168.101.8的包，ip.dst==192.168.101.8；查找源地址为ip.src==1.1.1.1。

端口过滤——如过滤80端口，在Filter中输入，tcp.port==80，这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==80只过滤目的端口为80的，tcp.srcport==80只过滤源端口为80的包。

协议过滤——比较简单，直接在Filter框中直接输入协议名即可，如过滤HTTP的协议

http模式过滤——如过滤get包，http.request.method=="GET",过滤post包，http.request.method=="POST"

连接符and——过滤两种条件时，使用and连接，如过滤ip为192.168.101.8并且为http协议的，ip.src==192.168.101.8 and http。

2.2.4 Packet List面板

列表中的每行显示捕捉文件的一个包。如果您选择其中一行，该包得更多情况会显示在"Packet Detail/包详情"，"Packet Byte/包字节"面板。

Packet List面板中默认包含了几列，如No、Time、Source和Destination等。

• No. 包的编号，编号不会发生改变，即使进行了过滤也同样如此
• Time 包的时间戳。包时间戳的格式可以自行设置，见第 6.10 节 “时间显示格式及参考时间”
• Source 显示包的源地址。
• Destination 显示包的目标地址。
• Protocal 显示包的协议类型的简写
• Info 包内容的附加信息

2.2.5 Packet Details面板

该面板显示包列表面板选中包的协议及协议字段，协议及字段以树状方式组织。可以展开或折叠进行查看。

2.2.6 Packet Bytes面板

通常在16进制转储形式中，左侧显示包数据偏移量，中间栏以16进制表示，右侧显示为对应的ASCII字符。

2.2.7 状态栏

通常状态栏的左侧会显示相关上下文信息，右侧会显示当前包数目。