第 3 章 用户界面3.1. 须知现在您已经安装好了Wireshark,几乎可以马上捕捉您的一个包紧接着的这一节我们将会介绍:· Wireshark的用户界面如何使用· 如何捕捉包· 如何查看包· 如何过滤包· ……以及其他的一些工作3.2. 启动Wireshark你可以使用Shell命令行或者资源管理器启动Wireshark.提示开始Wireshark时您可以指定适当的参数参见第 9.2 节 “从命令行启动Wireshark”注意在后面的章节中,将会出现大量的截图,因为Wireshark运行在多个平台 ,并且支持多个GUI Toolkit(GTK1.x/2x),您的屏幕上显示的界面可能与截图不尽吻合但在功能上不会有实质性区别尽管有这些区别,也不会导致理解上的困难3.3. 主窗口先来看看图 3.1 “主窗口界面”,大多数打开捕捉包以后的界面都是这样子(如何捕捉/打开包文件随后提到)图 3.1. 主窗口界面和大多数图形界面程序一样,Wireshark主窗口由如下部分组成:1. 菜单(见第 3.4 节 “主菜单”)用于开始操作2. 主工具栏(见第 3.13 节 “"Main"工具栏”)提供快速访问菜单中经常用到的项目的功能。
3. Fiter toolbar/过滤工具栏(见第 3.14 节 “"Filter"工具栏”)提供处理当前显示过滤得方法见6.3:”浏览时进行过滤”)4. Packet List面板(见第 3.15 节 “"Pcaket List"面板”)显示打开文件的每个包的摘要点击面板中的单独条目,包的其他情况将会显示在另外两个面板中5. Packet detail面板(见第 3.16 节 “"Packet Details"面板”)显示您在Packet list面板中选择的包德更多详情6. Packet bytes面板(见第 3.17 节 “"Packet Byte"面板”)显示您在Packet list面板选择的包的数据,以及在Packet details面板高亮显示的字段7. 状态栏(见第 3.18 节 “状态栏”)显示当前程序状态以及捕捉数据的更多详情注意主界面的三个面版以及各组成部分可以自定义组织方式见第 9.5 节 “首选项”3.3.1. 主窗口概述Packet list和Detail 面版控制可以通过快捷键进行表 3.1 “导航快捷键”显示了相关的快捷键列表表 3.5 “"GO"菜单项”有关于快捷键的更多介绍表 3.1. 导航快捷键快捷键描述Tab,Shift+Tab在两个项目间移动,例如从一个包列表移动到下一个Down移动到下一个包或者下一个详情Up移动到上一个包或者上一个详情Ctrl-Down,F8移动到下一个包,即使焦点不在Packet list面版Ctrl-UP,F7移动到前一个报,即使焦点不在Packet list面版Left在Pactect Detail面版,关闭被选择的详情树状分支。
如果以关闭,则返回到父分支Right在Packet Detail面版,打开被选择的树状分支.BackspacePacket Detail面版,返回到被选择的节点的父节点Return,EnterPacket Detail面版,固定被选择树项目另外,在主窗口键入任何字符都会填充到filter里面3.4. 主菜单Wireshark主菜单位于Wireshark窗口的最上方图 3.2 “主菜单”提供了菜单的基本界面图 3.2. 主菜单主菜单包括以下几个项目:File 包括打开、合并捕捉文件,save/保存,Print/打印,Export/导出捕捉文件的全部或部分以及退出Wireshark项.见第 3.5 节 “"File"菜单”Edit 包括如下项目:查找包,时间参考,标记一个多个包,设置预设参数剪切,拷贝,粘贴不能立即执行见第 3.6 节 “"Edit"菜单”View 控制捕捉数据的显示方式,包括颜色,字体缩放,将包显示在分离的窗口,展开或收缩详情面版的地树状节点,……见第 3.7 节 “"View"菜单”GO 包含到指定包的功能见第 3.8 节 “"Go"菜单”Capture 允许您开始或停止捕捉、编辑过滤器。
见第 3.9 节 “"Capture"菜单”Analyze 包含处理显示过滤,允许或禁止分析协议,配置用户指定解码和追踪TCP流等功能见第 3.10 节 “"Analyze"菜单”Statistics 包括的菜单项用户显示多个统计窗口,包括关于捕捉包的摘要,协议层次统计等等见第 3.11 节 “"Statistics"菜单”Help 包含一些辅助用户的参考内容如访问一些基本的帮助文件,支持的协议列表,用户手册访问一些网站,“关于”等等见第 3.12 节 “"Help"菜单”本章链接介绍菜单的一般情况,更详细的介绍会出现在后续章节提示你可以直接点击访问菜单项,也可以使用热键,热键显示在菜单文字描述部分例如:您可以使用CTR+K打开捕捉对话框3.5. "File"菜单WireSharkFile菜单包含的项目如表表 3.2 “File菜单介绍”所示图 3.3. File菜单表 3.2. File菜单介绍菜单项快捷键描述Open...Ctr+O显示打开文件对话框,让您載入捕捉文件用以浏览见第 5.2.1 节 “打开捕捉文件对话框”Open Recent 弹出一个子菜单显示最近打开过的文件供选择。
Merg 显示合并捕捉文件的对话框让您选择一个文件和当前打开的文件合并见第 5.4 节 “合并捕捉文件”CloseCtrl+W关闭当前捕捉文件,如果您未保存,系统将提示您是否保存(如果您预设了禁止提示保存,将不会提示)SaveCrl+S保存当前捕捉文件,如果您没有设置默认的保存文件名,Wireshark出现提示您保存文件的对话框详情第 5.3.1 节 “"save Capture File As/保存文件为"对话框”注意如果您已经保存文件,该选项会是灰色不可选的注意您不能保存动态捕捉的文件您必须结束捕捉以后才能进行保存Save As Shift+Ctrl+S让您将当前文件保存为另外一个文件面,将会出现一个另存为的对话框(参见第 5.3.1 节 “"save Capture File As/保存文件为"对话框”)File Set>List Files 允许您显示文件集合的列表将会弹出一个对话框显示已打开文件的列表,参见第 5.5 节 “文件集合”File Set>Next File 如果当前載入文件是文件集合的一部分,将会跳转到下一个文件如果不是,将会跳转到最后一个文件这个文件选项将会是灰色。
File set>Previous Files 如果当前文件是文件集合 的一部分,将会调到它所在位置的前一个文件如果不是则跳到文件集合的第一个文件,同时变成灰色Export> as “Plain Text” File… 这个菜单允许您将捕捉文件中所有的或者部分的包导出为plain ASCII text格式它将会弹出一个Wireshark导出对话框,见第 5.6.1 节 “"Export as Plain Text File"对话框”Export >as "PostScript" Files 将捕捉文件的全部或部分导出为PostScrit文件将会出现导出文件对话框参见第 5.6.2 节 “"Export as PostScript File" 对话框”Export > as "CVS" (Comma Separated Values Packet Summary)File... 导出文件全部或部分摘要为.cvs格式(可用在电子表格中)将会弹出导出对话框,见第 5.6.3 节 “"Export as CSV (Comma Separated Values) File" 对话框”Export > as “PSML” File… 导出文件的全部或部分为PSML格式(包摘要标记语言)XML文件。
将会弹出导出文件对话框见第 5.6.4 节 “"Export as PSML File" 对话框”Export as "PDML" File... 导出文件的全部或部分为PDML(包摘要标记语言)格式的XML文件将会弹出一个导出文件对话框,见第 5.6.5 节 “"Export as PDML File" 对话框”Export > Selected Packet Bytes… 导出当前在Packet byte面版选择的字节为二进制文件将会弹出一个导出对话框见第 5.6.6 节 “"Export selected packet bytes" 对话框”PrintCtr+P打印捕捉包的全部或部分,将会弹出打印对话框见第 5.7 节 “打印包”Quit Ctrl+Q退出Wireshark,如果未保存文件,Wireshark会提示是否保存3.6. "Edit"菜单Wireshark的"Edit"菜单包含的项目见表 3.3 “Edit菜单项”图 3.4. "Edit"菜单表 3.3. Edit菜单项菜单项快捷键描述Copy>As FilterShift+Ctrl+C使用详情面版选择的数据作为显示过滤。
显示过滤将会拷贝到剪贴板Find Packet...Ctr+F打开一个对话框用来通过限制来查找包,见???Find NextCtrl+N在使用Find packet以后,使用该菜单会查找匹配规则的下一个包Find PreviousCtr+B查找匹配规则的前一个包Mark Packet(toggle)Ctrl+M标记当前选择的包见第 6.9 节 “标记包”Find Next MarkShift+Ctrl+N查找下一个被标记的包Find Previous MarkCtrl+Shift+B查找前一个被标记的包Mark ALL Packets 标记所有包Unmark All Packet 取消所有标记Set Time Reference(toggle) Ctrl+T以当前包时间作为参考,见第 6.10.1 节 “包参考时间”Find Next Reference 找到下一个时间参考包Find Previous Refrence... 找到前一个时间参考包Preferences...Shift+Ctrl+P打开首选项对话框,个性化设置Wireshark的各项参数,设置后的参数将会在每次打开时发挥作用。
详见第 9.5 节 “首选项”3.7. "View"菜单表 3.4 “"View"菜单项”显示了Wireshar View菜单的选项图 3.5. "View"菜单表 3.4. "View"菜单项菜单项快捷键描述Main Toolbar 显示隐藏Main toolbar(主工具栏),见第 3.13 节 “"Main"工具栏”Filter Toolbar 显示或隐藏Filter Toolbar(过滤工具栏)见第 3.。