wireshark新手导航

本篇教你如何开始使用Wireshark。开始本篇之前，请先已经安装完wireshark 3.0.0。

初始界面

---

启动wireshark，可以看到程序界面主要由以下几部分组成：

窗口标题-window title

菜单-menu
工具栏-main toolbar
封包列表-packet list (empty)
封包详情-packet details (empty)
封包字节-packet bytes (empty)
状态栏-statusbar (with filter toolbar)

初始时Wireshark下没有数据包，所以大部分程序窗口都显示为空.

菜单中的大部分可用按钮都在工具栏也会显示

抓取报文

---

首先，抓取网络报文或数据。有两种方式：

—打开已存在的抓包文件

—直接在网络上抓取

如果不会自己抓包，可用使用已有的抓包文件。从 "http://www.wireshark.org/sample" 可以获取抓包文件

从菜单上 "File->Open..." （或者从工具栏) 打开已有抓包文件

注意: 抓包文件常见扩展名 ".cap" (or ".cap.gz" for gzipped 等).

打开抓包文件后，你就能在屏幕上看到数据包了:-)

显示区域

---

封包列表，有很多列，包括封包序号，时间戳（s），源地址，协议。选中封包，详情显示在下方封包详情窗口。

封包详细信息，显示当前选中封包的详细信息。展开树节点查看更所封包详情。

封包字节，以16进制形式显示封包数据。和封包详细信息显示内容相同，只是展现方式不同。在封包详细信息中选中部分内容，在封包字节窗口会同步高亮显示相同内容，反之亦然。

三个显示区域都有各自的内容菜单，在区域内单击右键即可见。

如何分析特定协议的网络数据不在本文讨论范围内

显示过滤器

---

通过设置显示过滤器，可用减少封包显示数量（过滤掉不关注的封包）。查看帮助窗口的 "Display Filters"获取更多显示过滤使用方案。

色彩标识:

---

封包列表可以设置颜色；这意味着不同的封包可以用不同颜色，通过颜色让各种协议的报文一目了然。例如默认绿色是TCP报文，深蓝色是DNS，浅蓝是UDP，黑色标识出有问题的TCP报文——比如乱序报文。

有两类着色规则：临时的（仅用于当前对话）和永久性（跨对话使用）

临时着色：按住<ctrl> +数字键 (0-9)创建，这种方式只对当前选中及同类的封包有效。临时着色也可以通过菜单-视图-对话着色，选中 color X来添加着色

永久着色：菜单-视图-着色规则，这里是永久性着色规则。这个着色列表会逐条对照报文，直到找到匹配的规则并着色。如果没有匹配，则报文捕捉色。

注意：当抓取报文文件很大时，过多的着色规则会使进程变慢。

其他显示

---

你可以标记报文，以方便再次查阅；如果对指定包之间的时间关系感兴趣，也可以设置时间参考。

注意：当关闭抓包文件后，这些设置会丢失。

网络抓包

---

估计你现在很想在网络接口上体验一下真实的数据抓包。

打开菜单的“捕获->开始”，可以看到很多设置选项。初次使用，保持默认设置就好。

单击 "OK"，开始抓取并弹出一个对话框，显示实际抓包数量以及一些封包的基础统计数据

当停止抓取，屏幕显示和你通过 "File->Open" 命令从磁盘打开抓包文件显示的一样

查看帮助的“捕获”章节，可以获取更多信息

总结

---

这里描述功能有限，更多功能可以查看下菜单。

学习更多Wireshark知识，参考官网"http://www.wireshark.org"，官网提供用户使用指南以及其他有用信息。

我们希望本文帮助你了解了Wireshark的基础使用，希望你会喜欢上这款软件。

注：本文来源官网意译，如需转载情联系