Wireshark(前称Ethereal)是一款功能强大的网络抓包分析工具,在我的工作中是不可或缺的一部分工具,往往在网络出现异常时,查看网络中的数据包,会豁然开朗。
1.菜单栏
主菜单包括以下几个项目:
File ——包括打开、合并捕捉文件,save/保存,Print/打印,Export/导出捕捉文件的全部或部分。以及退出Wireshark项.
File菜单介绍
菜单项 |
快捷键 |
描述 |
Open… |
Ctr+O |
显示打开文件对话框,让您載入捕捉文件用以浏览。 |
Open Recent |
|
弹出一个子菜单显示最近打开过的文件供选择。 |
Merg |
|
显示合并捕捉文件的对话框。让您选择一个文件和当前打开的文件合并。 |
Close |
Ctrl+W |
关闭当前捕捉文件,如果您未保存,将提示您是否保存(如果您预设了禁止提示保存,将不会提示) |
Save |
Crl+S |
保存当前捕捉文件,如果您没有设置默认的保存文件名,Wireshark出现提示您保存文件的对话框。 |
Save As |
Shift+Ctrl+S |
让您将当前文件保存为另外一个文件面,将会出现一个另存为的对话框 |
File Set>List Files |
|
允许您显示文件集合的列表。将会弹出一个对话框显示已打开文件的列表。 |
File Set>Next File |
|
如果当前載入文件是文件集合的一部分,将会跳转到下一个文件。如果不是,将会跳转到最后一个文件。这个文件选项将会是灰色。 |
File set>Previous Files |
|
如果当前文件是文件集合 的一部分,将会调到它所在位置的前一个文件。如果不是则跳到文件集合的第一个文件,同时变成灰色。 |
Export> as “Plain Text” File… |
|
这个菜单允许您将捕捉文件中所有的或者部分的包导出为plain ASCII text格式。它将会弹出一个Wireshark导出对话框。 |
Export >as “PostScript” Files |
|
将捕捉文件的全部或部分导出为PostScrit文件。 |
Export > as “CVS” (Comma Separated Values Packet Summary)File… |
|
导出文件全部或部分摘要为.cvs格式(可用在电子表格中)。。 |
Export > as “PSML” File… |
|
导出文件的全部或部分为PSML格式(包摘要标记语言)XML文件。将会弹出导出文件对话框。 |
Export as “PDML” File… |
|
导出文件的全部或部分为PDML(包摘要标记语言)格式的XML文件。 |
Export > Selected Packet Bytes… |
|
导出当前在Packet byte面版选择的字节为二进制文件。 |
Print |
Ctr+P |
打印捕捉包的全部或部分,将会弹出打印对话框。 |
Quit |
Ctrl+Q |
退出Wireshark,如果未保存文件,Wireshark会提示是否保存。 |
Edit——包括如下项目:查找包,时间参考,标记一个多个包,设置预设参数。(剪切,拷贝,粘贴不能立即执行。)
Edit菜单项
菜单项 |
快捷键 |
描述 |
Copy>As Filter |
Shift+Ctrl+C |
使用详情面版选择的数据作为显示过滤。显示过滤将会拷贝到剪贴板。 |
Find Packet… |
Ctr+F |
打开一个对话框用来通过限制来查找包 |
Find Next |
Ctrl+N |
在使用Find packet以后,使用该菜单会查找匹配规则的下一个包 |
Find Previous |
Ctr+B |
查找匹配规则的前一个包。 |
Mark Packet(toggle) |
Ctrl+M |
标记当前选择的包。 |
Find Next Mark |
Shift+Ctrl+N |
查找下一个被标记的包 |
Find Previous Mark |
Ctrl+Shift+B |
查找前一个被标记的包 |
Mark ALL Packets |
|
标记所有包 |
Unmark All Packet |
|
取消所有标记 |
Set Time Reference(toggle) |
Ctrl+T |
以当前包时间作为参考 |
Find Next Reference |
|
找到下一个时间参考包 |
Find Previous Refrence… |
|
找到前一个时间参考包 |
Preferences… |
Shift+Ctrl+P |
打开首选项对话框,个性化设置Wireshark的各项参数,设置后的参数将会在每次打开时发挥作用。 |
View ——控制捕捉数据的显示方式,包括颜色,字体缩放,将包显示在分离的窗口,展开或收缩详情面版的地树状节点
“View”菜单项
菜单项 |
快捷键 |
描述 |
Main Toolbar |
|
显示隐藏Main toolbar(主工具栏) |
Filter Toolbar |
|
显示或隐藏Filter Toolbar(过滤工具栏) |
Statusbar |
|
显示或隐藏状态栏 |
Packet List |
|
显示或隐藏Packet List pane(包列表面板) |
Packet Details |
|
显示或隐藏Packet details pane(包详情面板) |
Packet Bytes |
|
显示或隐藏packet Bytes pane(包字节面板) |
Time Display Fromat>Date and Time of Day: 1970-01-01 01:02:03.123456 |
|
选择这里告诉Wireshark将时间戳设置为绝对日期-时间格式(年月日,时分秒) |
Time Display Format>Time of Day: 01:02:03.123456 |
|
将时间设置为绝对时间-日期格式(时分秒格式) |
Time Display Format > Seconds Since Beginning of Capture: 123.123456 |
|
将时间戳设置为秒格式,从捕捉开始计时,见 |
Time Display Format > Seconds Since Previous Captured Packet: 1.123456 |
|
将时间戳设置为秒格式,从上次捕捉开始计时 |
Time Display Format > Seconds Since Previous Displayed Packet: 1.123456 |
|
将时间戳设置为秒格式,从上次显示的包开始计时 |
Time Display Format > —— |
|
|
Time Display Format > Automatic (File Format Precision) |
|
根据指定的精度选择数据包中时间戳的显示方式 |
Time Display Format > Seconds: 0 |
|
设置精度为1秒 |
Time Display Format > …seconds: 0…. |
|
设置精度为1秒,0.1秒,0.01秒,百万分之一秒等等。 |
Name Resolution > Resolve Name |
|
仅对当前选定包进行解析 |
Name Resolution > Enable for MAC Layer |
|
是否解析Mac地址 |
Name Resolution > Enable for Network Layer |
|
是否解析网络层地址(ip地址) |
Name Resolution > Enable for Transport Layer |
|
是否解析传输层地址 |
Colorize Packet List |
|
是否以彩色显示包 |
Auto Scrooll in Live Capture |
|
控制在实时捕捉时是否自动滚屏,如果选择了该项,在有新数据进入时, 面板会项上滚动。您始终能看到最后的数据。反之,您无法看到满屏以后的数据,除非您手动滚屏 |
Zoom In |
Ctrl++ |
增大字体 |
Zoom Out |
Ctrl+- |
缩小字体 |
Normal Size |
Ctrl+= |
恢复正常大小 |
Resiz All Columnus |
|
恢复所有列宽
|
Expend Subtrees |
|
展开子分支 |
Expand All |
|
看开所有分支,该选项会展开您选择的包的所有分支。 |
Collapse All |
|
收缩所有包的所有分支 |
Coloring Rulues… |
|
打开一个对话框,让您可以通过过滤表达来用不同的颜色显示包。这项功能对定位特定类型的包非常有用 |
Show Packet in New Window |
|
在新窗口显示当前包,(新窗口仅包含View,Byte View两个面板) |
Reload |
Ctrl+R |
重新再如当前捕捉文件 |
GO——包含到指定包的功能。
“GO”菜单项
菜单项 |
快捷键 |
描述 |
Back |
Alt+Left |
跳到最近浏览的包,类似于中的页面历史纪录 |
ForWard |
Alt+Right |
跳到下一个最近浏览的包,跟浏览器类似 |
Go to Packet |
Ctrl+G |
打开一个对话框,输入指定的包序号,然后跳转到对应的包。 |
Go to Corresponding Packet |
|
跳转到当前包的应答包,如果不存在,该选项为灰色 |
Previous Packet |
Ctrl+UP |
移动到包列表中的前一个包,即使包列表面板不是当前焦点,也是可用的 |
Next Packet |
Ctrl+Down |
移动到包列表中的后一个包,同上 |
First Packet |
|
移动到列表中的第一个包 |
Last Packet |
|
移动到列表中的最后一个包 |
Capture——捕捉数据包
“Capture”菜单项
菜单项 |
快捷键 |
说明 |
Interface… |
|
在弹出对话框选择您要进行捕捉的网络接口 |
Options… |
Ctrl+K |
打开设置捕捉选项的对话框并可以在此开始捕捉 |
Start |
|
立即开始捕捉,设置都是参照最后一次设置。 |
Stop |
Ctrl+E |
停止正在进行的捕捉 |
Restart |
|
正在进行捕捉时,停止捕捉,并按同样的设置重新开始捕捉.仅在您认为有必要时 |
Capture Filters… |
|
打开对话框,编辑捕捉过滤设置,可以命名过滤器,保存为其他捕捉时使用 |
Analyze ——包含处理显示过滤,允许或禁止分析协议,配置用户指定解码和追踪TCP流等功能。
“analyze”菜单项
菜单项 |
快捷键 |
说明 |
Display Filters… |
|
打开过滤器对话框编辑过滤设置,可以命名过滤设置,保存为其他地方使用,见vc=">第 6.6 节 “定义,保存过滤器” |
Apply as Filter>… |
|
更改当前过滤显示并立即应用。根据选择的项,当前显示字段会被替换成选择在Detail面板的协议字段 |
Prepare a Filter>… |
|
更改当前显示过滤设置,当不会立即应用。同样根据当前选择项,过滤字符会被替换成Detail面板选择的协议字段 |
Firewall ACL Rules |
|
为多种不同的防火墙创建命令行ACL规则(访问控制列表),支持Cisco , Netfilter (iptables), OpenBSD pf and Windows Firewall (via netsh). Rules for MAC addresses, IPv4 addresses, TCP and UDP ports, 以及IPv4+混合端口
以上假定规则用于外部接口 |
Enable Protocols… |
Shift+Ctrl+R |
是否允许协议分析,见第 9.4.1 节 “”Enable Protocols”对话框” |
Statistics ——包括的菜单项用户显示多个统计窗口,包括关于捕捉包的摘要,协议层次统计等等。
菜单项 |
快捷键 |
描述 |
Summary |
|
显示捕捉数据摘要 |
Protocol Hierarchy |
|
显示协议统计分层信息 |
Conversations/ |
|
显示会话列表(两个终端之间的通信) |
EndPoints |
|
显示端点列表(通信发起,结束地址) |
IO Graphs |
|
显示用户指定图表,(如包数量-时间表) |
Conversation List |
|
通过一个组合窗口,显示会话列表 |
Endpoint List |
|
通过一个组合窗口显示终端列表 |
Service Response Time |
|
显示一个请求及其相应之间的间隔时间 |
Help——包含一些辅助用户的参考内容。如访问一些基本的帮助文件,支持的协议列表,用户手册。在线访问一些网站,“关于”
菜单项 |
快捷键 |
描述 |
Open… |
Ctr+O |
显示打开文件对话框,让您載入捕捉文件用以浏览。 |
Open Recent |
|
弹出一个子菜单显示最近打开过的文件供选择。 |
如对本文有疑问,
点击进行留言回复!!
相关文章:
-
-
网络刺客2使用指南
网络刺客2使用指南 “天行”推出网络刺客2已有一年,想当初此软件因其强大的功能被国内“黑”界推为惊世之作。我在得到它后,却有近半年时间在研究、寻找...
[阅读全文]
-
冰河”启示录
冰河”启示录 作者: 陈经韬 前言:我经常在杂志和报刊上看到此类标题的文章,但大多是骗稿费的,没有任何技术含量.于是一气之下写了这编东西.本人声明如下:(一)...
[阅读全文]
-
-
-
火凤凰2.4使用教程
今次给大家推荐的是阿风哥的作品:无赖小子。(way).说起来它普及的不广,但是面孔生疏的马儿更加隐蔽。不是众杀毒软件的众矢之的。好像不太容易被查杀。而且作者够仗...
[阅读全文]
-
-
火凤凰2.0使用教程
火凤凰是国产木马里最先使用反弹端口的木马,其避开防火墙的能力极其出色,DELPHI编写,功能较多但是不太好用,而且没有配置服务端的改变端口功能,相对而言比较危险...
[阅读全文]
-
-
-
网友评论