第 1 章 介紹
1.1. 什么是Wireshark
Wireshark 是網(wǎng)絡(luò)包分析工具。網(wǎng)絡(luò)包分析工具的主要作用是嘗試捕獲網(wǎng)絡(luò)包， 并嘗試顯示包的盡可能詳細(xì)的情況。
你可以把網(wǎng)絡(luò)包分析工具當(dāng)成是一種用來測量有什么東西從網(wǎng)線上進(jìn)出的測量工具，就好像使電工用來測量進(jìn)入電信的電量的電度表一樣。（當(dāng)然比那個(gè)更高級）
過去的此類工具要么是過于昂貴，要么是屬于某人私有，或者是二者兼顧。 Wireshark出現(xiàn)以后，這種現(xiàn)狀得以改變。
Wireshark可能算得上是今天能使用的最好的開元網(wǎng)絡(luò)分析軟件。
1.1.1. 主要應(yīng)用
下面是Wireshark一些應(yīng)用的舉例：
? 網(wǎng)絡(luò)管理員用來解決網(wǎng)絡(luò)問題
? 網(wǎng)絡(luò)安全工程師用來檢測安全隱患
? 開發(fā)人員用來測試協(xié)議執(zhí)行情況
? 用來學(xué)習(xí)網(wǎng)絡(luò)協(xié)議
除了上面提到的，Wireshark還可以用在其它許多場合
1.1.2. 特性
? 支持UNIX和Windows平臺
? 在接口實(shí)時(shí)捕捉包
? 能詳細(xì)顯示包的詳細(xì)協(xié)議信息
? 可以打開/保存捕捉的包
? 可以導(dǎo)入導(dǎo)出其他捕捉程序支持的包數(shù)據(jù)格式
? 可以通過多種方式過濾包
? 多種方式查找包
? 通過過濾以多種色彩顯示包
? 創(chuàng)建多種統(tǒng)計(jì)分析
? …還有許多
不管怎么說，要想真正了解它的強(qiáng)大，您還得使用它才行
圖 1.1. Wireshark捕捉包并允許您檢視其內(nèi)

1.1.3. 捕捉多種網(wǎng)絡(luò)接口
Wireshark 可以捕捉多種網(wǎng)絡(luò)接口類型的包，哪怕是無線局域網(wǎng)接口。想了解支持的所有網(wǎng)絡(luò)接口類型， 可以在我們的網(wǎng)站上找到http://wiki.wireshark.org/CaptureSetup/NetworkMedia.
1.1.4. 支持多種其它程序捕捉的文件
Wireshark可以打開多種網(wǎng)絡(luò)分析軟件捕捉的包，詳見???
1.1.5. 支持多格式輸出
Wieshark可以將捕捉文件輸出為多種其他捕捉軟件支持的格式，詳見???
1.1.6. 對多種協(xié)議解碼提供支持
可以支持許多協(xié)議的解碼(在Wireshark中可能被稱為解剖)???
1.1.7. 開源軟件
Wireshark是開源軟件項(xiàng)目，用GPL協(xié)議發(fā)行。您可以免費(fèi)在 任意數(shù)量的機(jī)器上使用它，不用擔(dān)心授權(quán)和付費(fèi)問題，所有的源代碼在GPL框架下都可以免費(fèi)使用。因?yàn)橐陨显?#xff0c;人們可以很容易在Wireshark上添加新的協(xié)議，或者將其作為插件整合到您的程序里，這種應(yīng)用十分廣泛。
1.1.8. Wireshark不能做的事
Wireshark不能提供如下功能
? Wireshark不是入侵檢測系統(tǒng)。如果他/她在您的網(wǎng)絡(luò)做了一些他/她們不被允許的奇怪的事情，Wireshark不會(huì)警告您。但是如果發(fā)生了奇怪的事情，Wireshark可能對察看發(fā)生了什么會(huì)有所幫助。 [3]
? Wireshark不會(huì)處理網(wǎng)絡(luò)事務(wù)，它僅僅是“測量”(監(jiān)視)網(wǎng)絡(luò)。Wireshark不會(huì)發(fā)送網(wǎng)絡(luò)包或做其它交互性的事情（名稱解析除外，但您也可以禁止解析）。
1.2. 系通需求
想要安裝運(yùn)行Wireshark需要具備的軟硬件條件…
1.2.1. 一般說明
? 給出的值只是最小需求，在大多數(shù)網(wǎng)絡(luò)中可以正常使用，但不排除某些情況下不能使用。 [4]
? 在繁忙的網(wǎng)絡(luò)中捕捉包將很容塞滿您的硬盤！舉個(gè)簡單的例子：在100MBIT/s全雙工以太網(wǎng)中捕捉數(shù)據(jù)將會(huì)產(chǎn)生750MByties/min的數(shù)據(jù)！在此類網(wǎng)絡(luò)中擁有高速的CPU，大量的內(nèi)存和足夠的磁盤空間是十分有必要的。
? 如果Wireshark運(yùn)行時(shí)內(nèi)存不足將會(huì)導(dǎo)致異常終止。可以在http://wiki.wireshark.org/KnownBugs/OutOfMemory察看詳細(xì)介紹以及解決辦法。
? Wireshark作為對處理器時(shí)間敏感任務(wù)，在多處理器/多線程系統(tǒng)環(huán)境工作不會(huì)比單獨(dú)處理器有更快的速度，例如過濾包就是在一個(gè)處理器下線程運(yùn)行，除了以下情況例外：在捕捉包時(shí)“實(shí)時(shí)更新包列表”，此時(shí)捕捉包將會(huì)運(yùn)行在一個(gè)處理下，顯示包將會(huì)運(yùn)行在另一個(gè)處理器下。此時(shí)多處理或許會(huì)有所幫助。[5]
1.2.2. Microsoft Windows
? Windows 2000,XP Home版,XP Pro版,XP Tablet PC，XP Media Center, Server 2003 or Vista(推薦在XP下使用)
? 32-bit奔騰處理器或同等規(guī)格的處理器（建議頻率：400MHz或更高）,64-bit處理器在WoW64仿真環(huán)境下-見一般說明
? 128MB系統(tǒng)內(nèi)存（建議256Mbytes或更高）
? 75MB可用磁盤空間（如果想保存捕捉文件，需要更多空間） 800600（建議12801024或更高）分辨率最少65536(16bit)色，(256色舊設(shè)備安裝時(shí)需要選擇”legacy GTK1”)
? 網(wǎng)卡需求：
o 以太網(wǎng)：windows支持的任何以太網(wǎng)卡都可以
o 無線局域網(wǎng)卡：見MicroLogix support list, 不捕捉802.11包頭和無數(shù)據(jù)楨。
o 其它接口見：http://wiki.wireshark.org/CaptureSetup/NetworkMedia
說明
? 基于以下三點(diǎn)原因，將不會(huì)對舊版Windows提供支持：沒有任何開發(fā)人員正在使用那些操作系統(tǒng)， 這將使支持變得更加困難，Wireshark運(yùn)行所依賴的庫文件（如GTK，WinPCap等）也放棄對它們的支持。 同樣，微軟也放棄了對它們的技術(shù)支持。
? Windows 95,98和ME不能運(yùn)行Wireshark。已知的最后一個(gè)可以運(yùn)行在以上平臺的版本是Ethereal0.99.0(需要安裝WinPCap3.1),你依然可以使用從: http://ethereal.com/download.html獲得。順便提一下：微軟于2006年1月11日停止對98/ME支持。
? Windows NT 4.0今后將無法運(yùn)行Wireshark.最有一個(gè)已知版本是Wireshark0.99.4(需安裝自帶的WinPCap3.1),你依然可以從：http://prdownloads.sourceforge.net/wireshark/wireshark-setup-0.99.4.exe得到它。順便提一下：微軟于2005年12月31日停止對NT 4.0的支持。
? Windows CE 及嵌入版windows（NT/XP）不被支持。
? 64-bit處理器運(yùn)行Wireshark需要在32bit仿真環(huán)境下(稱作WoW64),最低需要安裝WinPCap4.0。
? 支持多顯示(不知道是顯示其還是監(jiān)視器)安裝，但會(huì)遇到一些不可預(yù)料的問題。
1.2.3. Unix/Linux
Wireshark目前可以運(yùn)行在許多UNIX平臺，系統(tǒng)可以對照上面Windows下的指標(biāo)。 二進(jìn)制包最少在以下平臺可用：
? APPle Mac OSX
? Debian GNU/Linux
? FreeBSD
? NetBSD
? OpenPKG
? Red Hat Fedora/Enterprise Linux
? rPath Linux
? Sun Solaris/i386
? Sun Solaris/Sparc
如果二進(jìn)制包在您的平臺無法使用，你可以下載源文件并嘗試編譯它。 希望您能發(fā)送郵件到wireshark-dev[AT]wireshark.org .分享您的經(jīng)驗(yàn)。
1.3. 從哪里可以得到Wireshark
你可以從我們的網(wǎng)站下載最新版本的Wireshark http://www.wireshark.org/download.html.網(wǎng)站上您可以選擇適合您的鏡像站點(diǎn)。
Wireshark通常在4-8周內(nèi)發(fā)布一次新版本
如果您想獲得Wireshark發(fā)布的消息通知，你可以訂閱Wireshark-announce郵件列表。詳見第 1.6.4 節(jié) “郵件列表”
1.4. Wiresahrk簡史[6]
1997年以后，Gerald Combs 需要一個(gè)工具追蹤網(wǎng)絡(luò)問題并想學(xué)習(xí)網(wǎng)絡(luò)知識。所以他開始開發(fā)Ethereal (Wireshark項(xiàng)目以前的名稱) 以解決以上的兩個(gè)需要。
Ethereal是第一版，經(jīng)過數(shù)次開發(fā)，停頓，1998年，經(jīng)過這么長的時(shí)間，補(bǔ)丁，Bug報(bào)告，以及許多的鼓勵(lì)，0.2.0版誕生了。Ethereal就是以這種方式成功的。
此后不久，Gilbert Ramirez發(fā)現(xiàn)它的潛力，并為其提供了底層分析
1998年10月，Guy Harris正尋找一種比TcpView更好的工具，他開始為Ethereal進(jìn)行改進(jìn)，并提供分析。
998年以后，正在進(jìn)行TCP/IP教學(xué)的Richard Sharpe 關(guān)注了它在這些課程中的作用。并開始研究該軟件是否他所需要的協(xié)議。如果不行，新協(xié)議支持應(yīng)該很方便被添加。所以他開始從事Ethereal的分析及改進(jìn)。
從那以后，幫助Ethereal的人越來越多，他們的開始幾乎都是由于一些尚不被Ethereal支持的協(xié)議。所以他們拷貝了已有的解析器，并為團(tuán)隊(duì)提供了改進(jìn)回饋。
2006年項(xiàng)目Moved House（這句不知道怎么翻譯）并重新命名為：Wireshark.
1.5. Wireshark開發(fā)維護(hù)
Wireshark最初由Gerald Combs開發(fā)。目前由Wireshark team進(jìn)行進(jìn)一步開發(fā)和維護(hù)。Wireshark team是一個(gè)由修補(bǔ)bug提高Wireshark功能的獨(dú)立成員組成的松散組織。
有大量的成員為Wireshark提供協(xié)議分析。同時(shí)我們也希望這些活動(dòng)能持續(xù)機(jī)芯。通過查看Wireshark幫助菜單下的About,你可以找到為Wireshark提供代碼的人員名單，或者你也可以通過Wireshark 網(wǎng)站的authors頁面找到。
Wireshark 是開源軟件項(xiàng)目，發(fā)布遵循GNU General Public Licence (GPL協(xié)議),所有源代碼可以在GPL框架下免費(fèi)使用。歡迎您修改Wireshark以便適合您的需要，如果您可以提供您的改進(jìn)給Wireshark team ，我們將不勝感激。
為Wireshark Team 提供您的改進(jìn)建議，有以下益處：
? 如果其他人發(fā)現(xiàn)您提供的改進(jìn)十分有用會(huì)肯定它們的價(jià)值，您將會(huì)得知你曾像Wireshark team 一樣幫助過他人
? The developers of Wireshark might improve your changes even more, as there’s always room for improvement. Or they may implement some advanced things on top of your code, which can be useful for yourself too.
? The maintainers and developers of Wireshark will maintain your code as well, fixing it when API changes or other changes are made, and generally keeping it in tune with what is happening with Wireshark. So if Wireshark is updated (which is done often), you can get a new Wireshark version from the website and your changes will already be included without any effort for you.
Wireshar 源代碼和二進(jìn)制kits （二進(jìn)制工具包？ ）可以根據(jù)自己的平臺對應(yīng)下載，網(wǎng)站是：http://www.wireshark.org/download.html.
1.6. 匯報(bào)問題和獲得幫助
如果您在使用中碰到了問題，或者您需要Wireshark的幫助，有以下幾種可能讓您有興趣的方法（當(dāng)然，還包括這本書）。
1.6.1. 網(wǎng)站
通過訪問http://www.wireshark.org你將會(huì)發(fā)現(xiàn)關(guān)于Wireshark許多有用的信息。
1.6.2. 百科全書
Wireshark Wiki (http://wiki.wireshark.org)提供廣泛的跟Wireshark以及捕捉包有關(guān)信息。你將會(huì)發(fā)現(xiàn)一些沒有被包括在本書內(nèi)信息，例如：wiki上有解釋如何在交換網(wǎng)絡(luò)捕捉包，同時(shí)我們正努力建立協(xié)議參考，等等。
最好的事情是，如果對某些知識有獨(dú)到見解（比如您精通某種協(xié)議），您可以通過瀏覽器編輯它。
1.6.3. FAQ
最經(jīng)常被問到的問題“Frequently Asked Questions”提供一個(gè)經(jīng)常被問到的問題以及答案的列表。
Read The FAQ
在您發(fā)送任何郵件到郵件列表之前，確信您已經(jīng)閱讀了FAQ，因?yàn)檫@里面很可能已經(jīng)提供了您想問的問題，答案。這將大大節(jié)約您的時(shí)間（記住，有很多人提交了大量的郵件）。
1.6.4. 郵件列表
下面的幾個(gè)幾個(gè)郵件列表，分別屬于不同的主題：
Wireshark-users
這是一個(gè)Wireshark用戶的列表，大家提交關(guān)于安裝和使用Wireshark的問題，其它人（非常有用）提供的答案。（譯者注：其他人當(dāng)然也是指用戶？）
wireshark-announce
這是一個(gè)關(guān)于程序發(fā)布信息的列表，通常每4-8周出現(xiàn)一次。
wireshark-dev
這是一個(gè)關(guān)于Wireshark開發(fā)的郵件列表，如果開始開發(fā)協(xié)議分析，可以從加入該列表
你可以通過網(wǎng)站http://www.wireshark.org訂閱每個(gè)郵件列表.簡單點(diǎn)擊網(wǎng)站左手邊的郵件列表鏈接就可以。郵件同樣在網(wǎng)站上可以看到存檔。
提示
你可以搜索存檔看看有沒有人問過跟你一樣的問題，或許您的問題已經(jīng)有了答案。這樣您就不必提交郵件以等待別人答復(fù)您了。
1.6.5. 報(bào)告問題
注意
在您提交任何問題之前，請確定您安裝的是最新版本的Wireshark。
當(dāng)您提交問題的時(shí)候，如果您提供如下信息將會(huì)對解決問題很有幫助。

Wireshark的版本，及其依賴的庫的版本，如GTK+，等等。你可以通過Wireshark –v命令獲得版本號。（估計(jì)是UNIX/Linux平臺）。

運(yùn)行Wireshark的平臺信息。

關(guān)于問題的詳細(xì)描述。

如果您得到錯(cuò)誤或者警告信息，拷貝錯(cuò)誤信息的文本（以及在此之前或之后的文本，如果有的話），這樣其他人可能會(huì)發(fā)現(xiàn)發(fā)生問題的地方。請不要發(fā)送諸如：“I got a warning while doing x” [7]，因?yàn)檫@樣看起來不是個(gè)好主意。
不要發(fā)送大文件
不要發(fā)送過大的文件（>100KB）到郵件列表，在郵件中附加一個(gè)能提供足夠數(shù)據(jù)的記事本就可以。大文件會(huì)讓很多郵件列表里的那些對您的問題不感興趣的用戶感到惱怒。如果需要，你可以單獨(dú)發(fā)送那些數(shù)據(jù)給對您問題真正感興趣，要求您發(fā)送數(shù)據(jù)的人。
不要發(fā)送機(jī)密信息！
如果您發(fā)送捕捉數(shù)據(jù)到郵件列表，請確定它們不包含敏感或者機(jī)密信息，比如密碼或者諸如此類的。
1.6.6. 在UNIX/Linux平臺追蹤軟件錯(cuò)誤
如果您發(fā)送捕捉數(shù)據(jù)到郵件列表，請確定它們不包含敏感或者機(jī)密信息，比如密碼或者諸如此類的。
你可以通過如下命令獲得追蹤信息：
$ gdb whereis wireshark | cut -f2 -d: | cut -d' ' -f2 core >&bt.txt
backtrace
^D
$

注意
在逐字輸入第一行的字符！[8]

注意
追蹤是一個(gè)GDB命令。你可以在輸完第一上以后輸入它，但是會(huì)沒有相應(yīng)，^D命令（CTL+D）將會(huì)退出GDB命令。以上命令讓你在當(dāng)前目錄得到一個(gè)名為bt.txt的文本文件，它包含您的bug報(bào)告。
注意
如果您缺少GDB，您必須檢查您的操作系統(tǒng)的調(diào)試器。
你可以發(fā)送追蹤?quán)]件到wireshark-dev[AT]wireshark.org郵件列表
1.6.7. 在Windows平臺追蹤軟件錯(cuò)誤
Windows下無法包含符號文件(.pdb),它們非常大。因此不太可能創(chuàng)建十分有意義的追蹤文件。你將匯報(bào)軟件錯(cuò)誤就像前面描述的其他問題一樣。（這句不盡人意）

---

[3] 譯者注：因?yàn)椴皇侨肭謾z測之用，所以不會(huì)將入侵檢測和普通通信區(qū)別對待，但是都會(huì)體現(xiàn)在網(wǎng)絡(luò)包里面，如果您有足夠的經(jīng)驗(yàn)，或許能通過監(jiān)視網(wǎng)絡(luò)包發(fā)現(xiàn)入侵檢測
[4] 譯者注：原文 “The values below are the minimum requirements and only “rules of thumb” for use on a moderately used network”，其中”rules of thumb”中譯名應(yīng)該是拇指規(guī)則，但網(wǎng)上關(guān)于拇指規(guī)則解釋莫衷一是，大致意思是說：大多數(shù)情況下適用，但并非所有情況。這里翻譯的有點(diǎn)別扭
[5] 譯者注：我對這句話的理解是，正如播放電影一樣，高性能的處理器只會(huì)增強(qiáng)顯示效果，您并不需要將原來30分鐘的影片10分鐘之內(nèi)看完。當(dāng)然，對減少延時(shí)還是有作用的。但是感覺這句有點(diǎn)閱讀困難，可能翻譯的有點(diǎn)問題.
[6] 本段因?yàn)橛泻芏鄥f(xié)議，程序開發(fā)方面的術(shù)語，翻譯得比較糟糕
[7] 譯者注：那句話的意思是，我在XX時(shí)碰到一個(gè)警告信息
[8] 譯者注：原文是：“Type the characters in the first line verbatim! Those are back-tics there!”,Those are back-tics there!不知道是什么意思，back-tics=后勤抽搐？熟悉Linux的或許知道
?
第 2 章 編譯/安裝Wireshark
2.1. 須知
萬事皆有開頭，Wireshark也同樣如此。要想使用Wireshark，你必須：
? 獲得一個(gè)適合您操作系統(tǒng)的二進(jìn)制包，或者
? 獲得源文件為您的操作系統(tǒng)編譯。
目前，只有兩到三種Linux發(fā)行版可以傳送Wireshark，而且通常傳輸?shù)亩际沁^時(shí)的版本。至今尚未有UNIX版本可以傳輸Wireshark . Windows的任何版本都不能傳輸Wireshark.基于以上原因，你需要知道從哪能得到最新版本的Wireshark以及如何安裝它。
本章節(jié)向您展示如何獲得源文件和二進(jìn)制包，如何根據(jù)你的需要編譯Wireshark源文件。
以下是通常的步驟：

下載需要的相關(guān)包，例如：源文件或者二進(jìn)制發(fā)行版。

將源文件編譯成二進(jìn)制包(如果您下載的是源文件的話)。這樣做做可以整合編譯和/或安裝其他需要的包。

安裝二進(jìn)制包到最終目標(biāo)位置。
2.2. 獲得源
你可以從Wireshark網(wǎng)站http://www.wireshark.org.同時(shí)獲取源文件和二進(jìn)制發(fā)行版。選擇您需要下載的鏈接，然后選擇源文件或二進(jìn)制發(fā)行包所在的鏡像站點(diǎn)（盡可能離你近一點(diǎn)的站點(diǎn)）。
下載所有需要的文件 !
一般來說，除非您已經(jīng)下載Wireshark,如果您想編譯Wireshark源文件，您可能需要下載多個(gè)包。這些在后面章節(jié)會(huì)提到。
注意
當(dāng)你發(fā)現(xiàn)在網(wǎng)站上有多個(gè)二進(jìn)制發(fā)行版可用，您應(yīng)該選擇適合您平臺的版本，他們同時(shí)通常會(huì)有多個(gè)版本緊跟在當(dāng)前版本后面，那些通常時(shí)擁有那些平臺的用戶編譯的。
基于以上原因，您可能想自己下載源文件自己編譯，因?yàn)檫@樣相對方便一點(diǎn)。
2.3. 在UNIX下安裝之前
在編譯或者安裝二進(jìn)制發(fā)行版之前，您必須確定已經(jīng)安裝如下包：

GTK+, The GIMP Tool Kit.
您將會(huì)同樣需要Glib.它們都可以從www.gtk.org獲得。

Libpcap , Wireshark用來捕捉包的工具
您可以從www.tcpdump.org獲得。
根據(jù)您操作系統(tǒng)的不同，您或許能夠安裝二進(jìn)制包，如RPMs.或許您需要獲得源文件并編譯它。
如果您已經(jīng)下載了GTK+源文件，例 2.1 “從源文件編譯GTK+”提供的指令對您編譯有所幫助。
例 2.1. 從源文件編譯GTK+
gzip -dc gtk±1.2.10.tar.gz | tar xvf -

./configure

make install

注意
您可能需要修改例 2.1 “從源文件編譯GTK+”中提供的版本號成對應(yīng)您下載的GTK+版本。如果GTK的目錄發(fā)生變更，您同樣需要修改它。，tar xvf 顯示您需要修改的目錄。
注意
如果您使用Linux,或者安裝了GUN tar，您可以使用tar zxvfgtk±1.2.10.tar.gz命令。同樣也可能使用gunzip –c或者gzcat而不是許多UNIX中的gzip –dc
注意
如果您在windows中下載了gtk+ 或者其他文件。您的文件可能名稱為：gtk±1_2_8_tar.gz
如果在執(zhí)行例 2.1 “從源文件編譯GTK+”中的指令時(shí)有錯(cuò)誤發(fā)生的話，你可以咨詢GTK+網(wǎng)站。
如果您已經(jīng)下載了libpcap源，一般指令如例 2.2 “編譯、安裝libpcap” 顯示的那樣會(huì)幫您完成編譯。同樣，如果您的操作系統(tǒng)不支持tcpdump,您可以從tcpdump網(wǎng)站下載安裝它。
例 2.2. 編譯、安裝libpcap
gzip -dc libpcap-0.9.4.tar.Z | tar xvf -

cd libpcap-0.9.4
./configure

make

make install

注意
Libpcap的目錄需要根據(jù)您的版本進(jìn)行修改。tar xvf命令顯示您解壓縮的目錄。
RedHat 6.x及其以上版本環(huán)境下（包括基于它的發(fā)行版，如Mandrake）,您可以直接運(yùn)行RPM安裝所有的包。大多數(shù)情況下的Linux需要安裝GTK+和Glib.反過來說，你可能需要安裝所有包的定制版。安裝命令可以參考例 2.3 “在RedHat Linux 6.2或者基于該版本得發(fā)行版下安裝需要的RPM包”。如果您還沒有安裝，您可能需要安裝需要的RPMs。
例 2.3. 在RedHat Linux 6.2或者基于該版本得發(fā)行版下安裝需要的RPM包
cd /mnt/cdrom/RedHat/RPMS
rpm -ivh glib-1.2.6-3.i386.rpm
rpm -ivh glib-devel-1.2.6-3.i386.rpm
rpm -ivh gtk±1.2.6-7.i386.rpm
rpm -ivh gtk±devel-1.2.6-7.i386.rpm
rpm -ivh libpcap-0.4-19.i386.rpm

注意
如果您使用RedHat 6.2之后的版本，需要的RMPs包可能已經(jīng)變化。您需要使用正確的RMPs包。
在Debian下您可以使用apt-ge命令。apt-get 將會(huì)為您完成所有的操作。參見例 2.4 “在Deban下安裝Deb”
例 2.4. 在Deban下安裝Deb
apt-get install wireshark-dev

2.4. 在UNIX下編譯Wireshark
如果在Unix操作系統(tǒng)下可以用如下步驟編譯Wireshark源代碼：

如果使用Linux則解壓gzip’d tar文件,如果您使用UNIX，則解壓GUN tar文件。對于Linux命令如下：
tar zxvf wireshark-0.99.5-tar.gz
對于 UNIX版本，命令如下
gzip -d wireshark-0.99.5-tar.gz
tar xvf wireshark-0.99.5-tar
注意
使用管道命令行 gzip –dc Wireshark-0.99.5-tar.gz|tar xvf 同樣可以[9]

注意
如果您在Windows下下載了Wireshark,你會(huì)發(fā)現(xiàn)文件名中的那些點(diǎn)變成了下劃線。

將當(dāng)前目錄設(shè)置成源文件的目錄。

配置您的源文件以編譯成適合您的Unix的版本。命令如下：
./configure
如果找個(gè)步驟提示錯(cuò)誤，您需要修正錯(cuò)誤，然后重新configure.解決編譯錯(cuò)誤可以參考第 2.6 節(jié) “解決UNIX下安裝過程中的問題 ”

使用make命令將源文件編譯成二進(jìn)制包，例如：
make

安裝您編譯好的二進(jìn)制包到最終目標(biāo)，使用如下命令：
make install
一旦您使用make install安裝了Wireshark,您就可以通過輸入Wireshark命令來運(yùn)行它了。
2.5. 在UNIX下安裝二進(jìn)制包
一般來說，在您的UNIX下安裝二進(jìn)制發(fā)行包使用的方式根據(jù)您的UNIX的版本類型而各有不同。例如AIX下，您可以使用smit安裝，Tru64 UNIX您可以使用 setld 命令。
2.5.1. 在Linux或類似環(huán)境下安裝RPM包
使用如下命令安裝Wireshark RPM包
rpm -ivh wireshark-0.99.5.i386.rpm
如果因?yàn)槿鄙賅ireshark依賴的軟件而導(dǎo)致安裝錯(cuò)誤，請先安裝依賴的軟件，然后再嘗試安裝。REDHAT下依賴的軟件請參考例 2.3 “在RedHat Linux 6.2或者基于該版本得發(fā)行版下安裝需要的RPM包”
2.5.2. 在Debian環(huán)境下安裝Deb包
使用下列命令在Debian下安裝Wireshark
apt-get install Wireshark
apt-get 會(huì)為您完成所有的相關(guān)操作
2.5.3. 在Gentoo Linux環(huán)境下安裝Portage
使用如下命令在Gentoo Linux下安裝wireshark以及所有的需要的附加文件
USE=“adns gtk ipv6 portaudio snmp ssl kerberos threads selinux” emerge wireshark
2.5.4. 在FreeBSD環(huán)境下安裝包
使用如下命令在FreeBSD下安裝Wireshark
pkg_add -r wireshark
pkg_add會(huì)為您完成所有的相關(guān)操作
2.6. 解決UNIX下安裝過程中的問題 [10]
安裝過程中可能會(huì)遇到一些錯(cuò)誤信息。這里給出一些錯(cuò)誤的解決辦法：
如果configure那一步發(fā)生錯(cuò)誤。你需要找出錯(cuò)誤的原因，您可以檢查日志文件config.log(在源文件目錄下)，看看都發(fā)生了哪些錯(cuò)誤。有價(jià)值的信息通常在最后幾行。
一般原因是因?yàn)槟鄙貵TK+環(huán)境，或者您的GTK+版本過低。configure錯(cuò)誤的另一個(gè)原因是因?yàn)橐驗(yàn)槿鄙賚ibpcap(這就是前面提到的捕捉包的工具)。
另外一個(gè)常見問題是很多用戶抱怨最后編譯、鏈接過程需要等待太長時(shí)間。這通常是因?yàn)槭褂美鲜降膕ed命令（比如solaris下傳輸）。自從libtool腳本使用sed命令建立最終鏈接命令，常常會(huì)導(dǎo)致不可知的錯(cuò)誤。您可以通過下載最新版本的sed解決該問題http://directory.fsf.org/GNU/sed.html.
如果您無法檢測出錯(cuò)誤原因。發(fā)送郵件到wireshark-dev說明您的問題。當(dāng)然，郵件里要附上config.log以及其他您認(rèn)為對解決問題有幫助的東西，例如make過程的追蹤。
2.7. 在Windows下編譯源
在Windows平臺下，我們建議最好是使用二進(jìn)制包直接安裝，除非您是從事Wireshark開發(fā)的。 如果想了解關(guān)于Windows下編譯安裝Wireshark，請查看我們的開發(fā)WIKI網(wǎng)站http://wiki.wireshark.org/Development來了解最新的開發(fā)方面的文檔。
2.8. 在Windows下安裝Wireshark
本節(jié)將探討在Windows下安裝Wireshark二進(jìn)制包。
2.8.1. 安裝Wireshark
您獲得的Wireshark二進(jìn)制安裝包可能名稱類似Wireshark-setup-x.y.z.exe. Wireshark安裝包包含WinPcap,所以您不需要單獨(dú)下載安裝它。
您只需要在http://www.wireshark.org/download.html#releases下載Wireshark安裝包并執(zhí)行它即可。除了普通的安裝之外，還有幾個(gè)組件供挑選安裝。
提示：盡量保持默認(rèn)設(shè)置
如果您不了解設(shè)置的作用的話。
選擇組件[11]
Wireshark(包括GTK1和GTK2接口無法同時(shí)安裝):
如果您使用GTK2的GUI界面遇到問題可以嘗試GTK1，在Windows下256色（8bit）顯示模式無法運(yùn)行GTK2.但是某些高級分析統(tǒng)計(jì)功能在GTK1下可能無法實(shí)現(xiàn)。
? Wireshark GTK1-Wireshark 是一個(gè)GUI網(wǎng)絡(luò)分析工具
? Wireshark GTK2-Wireshark 是一個(gè)GUI網(wǎng)絡(luò)分析工具（建議使用GTK2 GUI模組工具）
? GTK-Wimp-GTKWimp是詩歌GTK2窗口模擬(看起來感覺像原生windows32程序，推薦使用)
? TSshark-TShark 是一個(gè)命令行的網(wǎng)絡(luò)分析工具
插件/擴(kuò)展(Wireshark,TShark分析引擎):
? Dissector Plugins-分析插件：帶有擴(kuò)展分析的插件
? Tree Statistics Plugins-樹狀統(tǒng)計(jì)插件：統(tǒng)計(jì)工具擴(kuò)展
? Mate - Meta Analysis and Tracing Engine (experimental):可配置的顯示過濾引擎，參考http://wiki.wireshark.org/Mate.
? SNMP MIBs: SNMP，MIBS的詳細(xì)分析。
Tools/工具(處理捕捉文件的附加命令行工具
User’s Guide-用戶手冊-本地安裝的用戶手冊。如果不安裝用戶手冊，幫助菜單的大部分按鈕的結(jié)果可能就是訪問internet.
? Editcap - Editcap is a program that reads a capture file and writes some or all of the packets into another capture file. /Editcap是一個(gè)讀取捕捉文件的程序，還可以將一個(gè)捕捉文件力的部分或所有信息寫入另一個(gè)捕捉文件。（文件合并or插入？）
? Text2Pcap - Text2pcap is a program that reads in an ASCII hex dump and writes the data into a libpcap-style capture file./Tex2pcap是一個(gè)讀取ASCII hex，寫入數(shù)據(jù)到libpcap個(gè)文件的程序。
? Mergecap - Mergecap is a program that combines multiple saved capture files into a single output file. / Mergecap是一個(gè)可以將多個(gè)播捉文件合并為一個(gè)的程序。
? Capinfos - Capinfos is a program that provides information on capture files. /Capinfos是一個(gè)顯示捕捉文件信息的程序。
“Additional Tasks”頁
? Start Menu Shortcuts-開始菜單快捷方式-增加一些快捷方式到開始菜單
? Desktop Icon-桌面圖標(biāo)-增加Wireshark圖標(biāo)到桌面
? Quick Launch Icon-快速啟動(dòng)圖標(biāo)-增加一個(gè)Wireshark圖標(biāo)到快速啟動(dòng)工具欄
? Associate file extensions to Wireshark-Wireshark文件關(guān)聯(lián)-將捕捉包默認(rèn)打開方式關(guān)聯(lián)到Wireshark
Install WinPcap?”頁
Wireshark安裝包里包含了最新版的WinPcap安裝包。
如果您沒有安裝WinPcap 。您將無法捕捉網(wǎng)絡(luò)流量。但是您還是可以打開以保存的捕捉包文件。
? Currently installed WinPcap version-當(dāng)前安裝的WinPcap版本
? Install WinPcap x.x -如果當(dāng)前安裝的版本低于Wireshark自帶的，該選項(xiàng)將會(huì)是默認(rèn)值。
? Start WinPcap service “NPF” at startup -將WinPcap的服務(wù)NPF在啟動(dòng)時(shí)運(yùn)行-這樣其它非管理員用戶就同樣可以捕捉包了。
更多關(guān)于WinPcap的信息：
? Wireshark 相關(guān)http://wiki.wireshark.org/WinPcap
? WinPcap官方網(wǎng)站：http://www.winpcap.org
安裝命令選項(xiàng)
您可以直接在命令行運(yùn)行安裝包，不加任何參數(shù)，這樣會(huì)顯示常用的參數(shù)以供交互安裝。 在個(gè)別應(yīng)用中，可以選擇一些參數(shù)定制安裝：
? /NCRC 禁止CRC校檢
? /S 靜默模式安裝或卸載Wireshark.注意：靜默模式安裝時(shí)不會(huì)安裝WinPcap!
? /desktopicon 安裝桌面圖標(biāo)，/desktopicon=yes表示安裝圖標(biāo)，反之則不是，適合靜默模式。
? /quicklaunchicon 將圖標(biāo)安裝到快速啟動(dòng)工具欄，=yes-安裝到工具欄，=no-不安裝，不填按默認(rèn)設(shè)置。
? /D 設(shè)置默認(rèn)安裝目錄($INSTDIR),首選安裝目錄和安裝目錄注冊表鍵值，該選項(xiàng)必須設(shè)置到最后。即使路徑包含空格
例 2.5.
wireshark-setup-0.99.5.exe /NCRC /S /desktopicon=yes /quicklaunchicon=no /D=C:\Program Files\Foo

2.8.2. 手動(dòng)安裝WinPcap
注意
事先聲明，Wireshark安裝時(shí)會(huì)謹(jǐn)慎對待WinPcap的安裝，所以您通常不必?fù)?dān)心WinPcap。
下面的WinPcap僅適合您需要嘗試未包括在Wireshark內(nèi)的不同版本W(wǎng)inPcap。例如一個(gè)新版本的WinPcap發(fā)布了，您需要安裝它。
單獨(dú)的WinPcap版本（包括alpha or beta版）可以在下面地址下載到
? WinPcap官方網(wǎng)站：http://www.winpcap.org
? Wiretapped.net 鏡像站點(diǎn): http://www.mirrors.wiretapped.net/security/packet-capture/winpcap
在下載頁面您將會(huì)發(fā)現(xiàn)WinPcap的安裝包名稱通常類似于”auto-installer”。它們可以在NT4.0/2000/XP/vista下安裝。
2.8.3. 更新Wireshark
有時(shí)候您可能想將您的WinPcap更新到最新版本，如果您訂閱了Wireshark通知郵件，您將會(huì)獲得Wireshark新版本發(fā)布的通知，見第 1.6.4 節(jié) “郵件列表”
。
新版誕生通常需要8-12周。更新Wireshark就是安裝一下新版本。下載并安裝它就可以。更新通常不需要重新啟動(dòng)，也不會(huì)更改過去的默認(rèn)設(shè)置
2.8.4. 更新WinPcap
WinPcap的更新不是十分頻繁，通常一年左右。新版本出現(xiàn)的時(shí)候您會(huì)收到WinPcap的通知。更新WinPcap后需要重新啟動(dòng)。
警告
在安裝新版WinPcap之前，如果您已經(jīng)安裝了舊版WinPcap,您必須先卸載它。最近版本的WinPcap安裝時(shí)會(huì)自己卸載舊版。
2.8.5. 卸載Wireshark
你可以用常見方式卸載Wireshark,使用添加/刪除程序，選擇”Wireshark”選項(xiàng)開始卸載即可。
Wireshark卸載過程中會(huì)提供一些選項(xiàng)供您選擇卸載哪些部分，默認(rèn)是卸載核心組件，但保留個(gè)人設(shè)置和WinPcap.
WinPcap默認(rèn)不會(huì)被卸載，因?yàn)槠渌愃芖ireshark的程序有可能同樣適用WinPcap
2.8.6. 卸載WinPcap
你可以單獨(dú)卸載WinPcap,在添加/刪除程序選擇”WinPcap”卸載它。
注意
卸載WinPcap之后您將不能使用Wireshark捕捉包。
在卸載完成之后最好重新啟動(dòng)計(jì)算機(jī)。

---

[9] 譯者注：看到別人翻譯Pipelin之類的，似乎就是叫管道，不知道是否準(zhǔn)確
[10] 譯者注：本人不熟悉UNIX/LINUX，這一段翻譯的有點(diǎn)云里霧里，可能大家通過這部分想安裝Wireshark會(huì)適得其反，那就對不住了。下面?zhèn)€人說一下UNIX/LINUX下安裝方法。 UNIX/LINUX下安裝時(shí)，有兩種安裝方式，1是下載源碼包自己編譯，這種方式的好處是因?yàn)橄螺d源碼包是單一的，可以自行加以修改，編譯就是適合自己平臺的了。 2、是利用已經(jīng)做好的發(fā)行包直接安裝，這種方法的好處是只要下載到跟自己平臺對應(yīng)的就可以，但缺點(diǎn)也在這里，不是每個(gè)平臺都能找到合適的。不管是編譯安裝，還是使用發(fā)行包安裝，都需要有一些有些基本基本支持。比如Linux下的GTK+支持，捕捉包時(shí)需要用的libpcap. 這一點(diǎn)可以參考第 2.3 節(jié) “在UNIX下安裝之前 ”。編譯的一般步驟是解壓，編譯，安裝（tar zxvf Wireshark-0.99.5-tar.gz;make;make install）.直接安裝則是根據(jù)各自平臺安裝的特點(diǎn)。
[11] 涉及到過多的名次，軟件又沒有中文版，這里及以后盡量不翻譯名稱
?
第 3 章 用戶界面
3.1. 須知
現(xiàn)在您已經(jīng)安裝好了Wireshark,幾乎可以馬上捕捉您的一個(gè)包。緊接著的這一節(jié)我們將會(huì)介紹：
? Wireshark的用戶界面如何使用
? 如何捕捉包
? 如何查看包
? 如何過濾包
? ……以及其他的一些工作。
3.2. 啟動(dòng)Wireshark
你可以使用Shell命令行或者資源管理器啟動(dòng)Wireshark.
提示
開始Wireshark時(shí)您可以指定適當(dāng)?shù)膮?shù)。參見第 9.2 節(jié) “從命令行啟動(dòng)Wireshark”

注意 在后面的章節(jié)中，將會(huì)出現(xiàn)大量的截圖，因?yàn)閃ireshark運(yùn)行在多個(gè)平臺 ，并且支持多個(gè)GUI Toolkit(GTK1.x/2x),您的屏幕上顯示的界面可能與截圖不盡吻合。但在功能上不會(huì)有實(shí)質(zhì)性區(qū)別。盡管有這些區(qū)別，也不會(huì)導(dǎo)致理解上的困難。

3.3. 主窗口
先來看看圖 3.1 “主窗口界面”，大多數(shù)打開捕捉包以后的界面都是這樣子（如何捕捉/打開包文件隨后提到）。
圖 3.1. 主窗口界面

和大多數(shù)圖形界面程序一樣，Wireshark主窗口由如下部分組成：

菜單（見第 3.4 節(jié) “主菜單”）用于開始操作。

主工具欄(見第 3.13 節(jié) “"Main"工具欄”)提供快速訪問菜單中經(jīng)常用到的項(xiàng)目的功能。

Fiter toolbar/過濾工具欄(見第 3.14 節(jié) “"Filter"工具欄”)提供處理當(dāng)前顯示過濾得方法。(見6.3:”瀏覽時(shí)進(jìn)行過濾”)

Packet List面板（見第 3.15 節(jié) “"Pcaket List"面板”）顯示打開文件的每個(gè)包的摘要。點(diǎn)擊面板中的單獨(dú)條目，包的其他情況將會(huì)顯示在另外兩個(gè)面板中。

Packet detail面板（見第 3.16 節(jié) “"Packet Details"面板”）顯示您在Packet list面板中選擇的包德更多詳情。

Packet bytes面板（見第 3.17 節(jié) “"Packet Byte"面板”）顯示您在Packet list面板選擇的包的數(shù)據(jù)，以及在Packet details面板高亮顯示的字段。

狀態(tài)欄（見第 3.18 節(jié) “狀態(tài)欄”）顯示當(dāng)前程序狀態(tài)以及捕捉數(shù)據(jù)的更多詳情。
注意
主界面的三個(gè)面版以及各組成部分可以自定義組織方式。見第 9.5 節(jié) “首選項(xiàng)”

3.3.1. 主窗口概述
Packet list和Detail 面版控制可以通過快捷鍵進(jìn)行。表 3.1 “導(dǎo)航快捷鍵”顯示了相關(guān)的快捷鍵列表。表 3.5 “"GO"菜單項(xiàng)”有關(guān)于快捷鍵的更多介紹
表 3.1. 導(dǎo)航快捷鍵
快捷鍵 描述
Tab,Shift+Tab 在兩個(gè)項(xiàng)目間移動(dòng)，例如從一個(gè)包列表移動(dòng)到下一個(gè)
Down 移動(dòng)到下一個(gè)包或者下一個(gè)詳情
Up 移動(dòng)到上一個(gè)包或者上一個(gè)詳情
Ctrl-Down,F8 移動(dòng)到下一個(gè)包，即使焦點(diǎn)不在Packet list面版
Ctrl-UP,F7 移動(dòng)到前一個(gè)報(bào)，即使焦點(diǎn)不在Packet list面版
Left 在Pactect Detail面版，關(guān)閉被選擇的詳情樹狀分支。如果以關(guān)閉，則返回到父分支。
Right 在Packet Detail面版，打開被選擇的樹狀分支.
Backspace Packet Detail面版，返回到被選擇的節(jié)點(diǎn)的父節(jié)點(diǎn)
Return,Enter Packet Detail面版，固定被選擇樹項(xiàng)目。

另外，在主窗口鍵入任何字符都會(huì)填充到filter里面。
3.4. 主菜單
Wireshark主菜單位于Wireshark窗口的最上方。圖 3.2 “主菜單”提供了菜單的基本界面。
圖 3.2. 主菜單

主菜單包括以下幾個(gè)項(xiàng)目:
File
包括打開、合并捕捉文件，save/保存,Print/打印,Export/導(dǎo)出捕捉文件的全部或部分。以及退出Wireshark項(xiàng).見第 3.5 節(jié) “"File"菜單”
Edit
包括如下項(xiàng)目：查找包，時(shí)間參考，標(biāo)記一個(gè)多個(gè)包，設(shè)置預(yù)設(shè)參數(shù)。（剪切，拷貝，粘貼不能立即執(zhí)行。）見第 3.6 節(jié) “"Edit"菜單”
View
控制捕捉數(shù)據(jù)的顯示方式，包括顏色，字體縮放，將包顯示在分離的窗口，展開或收縮詳情面版的地樹狀節(jié)點(diǎn)，……見第 3.7 節(jié) “"View"菜單”
GO
包含到指定包的功能。見第 3.8 節(jié) “"Go"菜單”
Capture
允許您開始或停止捕捉、編輯過濾器。見第 3.9 節(jié) “"Capture"菜單”
Analyze
包含處理顯示過濾，允許或禁止分析協(xié)議，配置用戶指定解碼和追蹤TCP流等功能。見第 3.10 節(jié) “"Analyze"菜單”
Statistics
包括的菜單項(xiàng)用戶顯示多個(gè)統(tǒng)計(jì)窗口，包括關(guān)于捕捉包的摘要，協(xié)議層次統(tǒng)計(jì)等等。見第 3.11 節(jié) “"Statistics"菜單”
Help
包含一些輔助用戶的參考內(nèi)容。如訪問一些基本的幫助文件，支持的協(xié)議列表，用戶手冊。在線訪問一些網(wǎng)站，“關(guān)于”等等。見第 3.12 節(jié) “"Help"菜單”
本章鏈接介紹菜單的一般情況，更詳細(xì)的介紹會(huì)出現(xiàn)在后續(xù)章節(jié)。
提示
你可以直接點(diǎn)擊訪問菜單項(xiàng)，也可以使用熱鍵，熱鍵顯示在菜單文字描述部分。例如：您可以使用CTR+K打開捕捉對話框。
3.5. "File"菜單
WireSharkFile菜單包含的項(xiàng)目如表表 3.2 “File菜單介紹”所示
圖 3.3. File菜單

表 3.2. File菜單介紹
菜單項(xiàng) 快捷鍵 描述
Open… Ctr+O 顯示打開文件對話框，讓您載入捕捉文件用以瀏覽。見第 5.2.1 節(jié) “打開捕捉文件對話框”

Open Recent 彈出一個(gè)子菜單顯示最近打開過的文件供選擇。
Merg 顯示合并捕捉文件的對話框。讓您選擇一個(gè)文件和當(dāng)前打開的文件合并。見第 5.4 節(jié) “合并捕捉文件”

Close Ctrl+W 關(guān)閉當(dāng)前捕捉文件，如果您未保存，系統(tǒng)將提示您是否保存（如果您預(yù)設(shè)了禁止提示保存，將不會(huì)提示）
Save Crl+S 保存當(dāng)前捕捉文件，如果您沒有設(shè)置默認(rèn)的保存文件名，Wireshark出現(xiàn)提示您保存文件的對話框。詳情第 5.3.1 節(jié) “"save Capture File As/保存文件為"對話框”
注意
如果您已經(jīng)保存文件，該選項(xiàng)會(huì)是灰色不可選的。
注意
您不能保存動(dòng)態(tài)捕捉的文件。您必須結(jié)束捕捉以后才能進(jìn)行保存

Save As Shift+Ctrl+S 讓您將當(dāng)前文件保存為另外一個(gè)文件面，將會(huì)出現(xiàn)一個(gè)另存為的對話框(參見第 5.3.1 節(jié) “"save Capture File As/保存文件為"對話框”)

File Set>List Files 允許您顯示文件集合的列表。將會(huì)彈出一個(gè)對話框顯示已打開文件的列表,參見第 5.5 節(jié) “文件集合”

File Set>Next File 如果當(dāng)前載入文件是文件集合的一部分，將會(huì)跳轉(zhuǎn)到下一個(gè)文件。如果不是，將會(huì)跳轉(zhuǎn)到最后一個(gè)文件。這個(gè)文件選項(xiàng)將會(huì)是灰色。
File set>Previous Files 如果當(dāng)前文件是文件集合 的一部分，將會(huì)調(diào)到它所在位置的前一個(gè)文件。如果不是則跳到文件集合的第一個(gè)文件，同時(shí)變成灰色。
Export> as “Plain Text” File… 這個(gè)菜單允許您將捕捉文件中所有的或者部分的包導(dǎo)出為plain ASCII text格式。它將會(huì)彈出一個(gè)Wireshark導(dǎo)出對話框,見第 5.6.1 節(jié) “"Export as Plain Text File"對話框”

Export >as “PostScript” Files 將捕捉文件的全部或部分導(dǎo)出為PostScrit文件。將會(huì)出現(xiàn)導(dǎo)出文件對話框。參見第 5.6.2 節(jié) ““Export as PostScript File” 對話框”

Export > as “CVS” (Comma Separated Values Packet Summary)File… 導(dǎo)出文件全部或部分摘要為.cvs格式（可用在電子表格中）。將會(huì)彈出導(dǎo)出對話框,見第 5.6.3 節(jié) ““Export as CSV (Comma Separated Values) File” 對話框”。

Export > as “PSML” File… 導(dǎo)出文件的全部或部分為PSML格式（包摘要標(biāo)記語言）XML文件。將會(huì)彈出導(dǎo)出文件對話框。見第 5.6.4 節(jié) ““Export as PSML File” 對話框”

Export as “PDML” File… 導(dǎo)出文件的全部或部分為PDML(包摘要標(biāo)記語言)格式的XML文件。將會(huì)彈出一個(gè)導(dǎo)出文件對話框,見第 5.6.5 節(jié) ““Export as PDML File” 對話框”

Export > Selected Packet Bytes… 導(dǎo)出當(dāng)前在Packet byte面版選擇的字節(jié)為二進(jìn)制文件。將會(huì)彈出一個(gè)導(dǎo)出對話框。見第 5.6.6 節(jié) ““Export selected packet bytes” 對話框”

Print Ctr+P 打印捕捉包的全部或部分，將會(huì)彈出打印對話框。見第 5.7 節(jié) “打印包”

Quit Ctrl+Q 退出Wireshark,如果未保存文件，Wireshark會(huì)提示是否保存。

3.6. "Edit"菜單
Wireshark的"Edit"菜單包含的項(xiàng)目見表 3.3 “Edit菜單項(xiàng)”
圖 3.4. "Edit"菜單

表 3.3. Edit菜單項(xiàng)
菜單項(xiàng) 快捷鍵 描述
Copy>As Filter Shift+Ctrl+C 使用詳情面版選擇的數(shù)據(jù)作為顯示過濾。顯示過濾將會(huì)拷貝到剪貼板。
Find Packet… Ctr+F 打開一個(gè)對話框用來通過限制來查找包，見???
Find Next Ctrl+N 在使用Find packet以后，使用該菜單會(huì)查找匹配規(guī)則的下一個(gè)包
Find Previous Ctr+B 查找匹配規(guī)則的前一個(gè)包。
Mark Packet(toggle) Ctrl+M 標(biāo)記當(dāng)前選擇的包。見第 6.9 節(jié) “標(biāo)記包”

Find Next Mark Shift+Ctrl+N 查找下一個(gè)被標(biāo)記的包
Find Previous Mark Ctrl+Shift+B 查找前一個(gè)被標(biāo)記的包
Mark ALL Packets 標(biāo)記所有包
Unmark All Packet 取消所有標(biāo)記
Set Time Reference(toggle) Ctrl+T 以當(dāng)前包時(shí)間作為參考,見第 6.10.1 節(jié) “包參考時(shí)間”

Find Next Reference 找到下一個(gè)時(shí)間參考包
Find Previous Refrence… 找到前一個(gè)時(shí)間參考包
Preferences… Shift+Ctrl+P 打開首選項(xiàng)對話框，個(gè)性化設(shè)置Wireshark的各項(xiàng)參數(shù)，設(shè)置后的參數(shù)將會(huì)在每次打開時(shí)發(fā)揮作用。詳見第 9.5 節(jié) “首選項(xiàng)”

3.7. "View"菜單
表 3.4 “"View"菜單項(xiàng)”顯示了Wireshar View菜單的選項(xiàng)
圖 3.5. "View"菜單

表 3.4. "View"菜單項(xiàng)
菜單項(xiàng) 快捷鍵 描述
Main Toolbar 顯示隱藏Main toolbar(主工具欄),見第 3.13 節(jié) “"Main"工具欄”

Filter Toolbar 顯示或隱藏Filter Toolbar(過濾工具欄)見第 3.14 節(jié) “"Filter"工具欄”

Statusbar 顯示或隱藏狀態(tài)欄,見第 3.18 節(jié) “狀態(tài)欄”

Packet List 顯示或隱藏Packet List pane(包列表面板),見第 3.15 節(jié) “"Pcaket List"面板”

Packet Details 顯示或隱藏Packet details pane(包詳情面板).見第 3.16 節(jié) “"Packet Details"面板”

Packet Bytes 顯示或隱藏 packet Bytes pane(包字節(jié)面板)，見第 3.17 節(jié) “"Packet Byte"面板”

Time Display Fromat>Date and Time of Day: 1970-01-01 01:02:03.123456 選擇這里告訴Wireshark將時(shí)間戳設(shè)置為絕對日期-時(shí)間格式(年月日，時(shí)分秒)，見第 6.10 節(jié) “時(shí)間顯示格式及參考時(shí)間”
注意
這里的字段"Time of Day",“Date and Time of Day”,“Seconds Since Beginning of Capture”,"Seconds Since Previous Captured Packet"和"Seconds Since Previous Displayed Packet"幾個(gè)選項(xiàng)是互斥的，換句話說，一次同時(shí)有一個(gè)被選中。

Time Display Format>Time of Day: 01:02:03.123456 將時(shí)間設(shè)置為絕對時(shí)間-日期格式(時(shí)分秒格式),見第 6.10 節(jié) “時(shí)間顯示格式及參考時(shí)間”

Time Display Format > Seconds Since Beginning of Capture: 123.123456 將時(shí)間戳設(shè)置為秒格式，從捕捉開始計(jì)時(shí)，見第 6.10 節(jié) “時(shí)間顯示格式及參考時(shí)間”

Time Display Format > Seconds Since Previous Captured Packet: 1.123456 將時(shí)間戳設(shè)置為秒格式，從上次捕捉開始計(jì)時(shí)，見第 6.10 節(jié) “時(shí)間顯示格式及參考時(shí)間”

Time Display Format > Seconds Since Previous Displayed Packet: 1.123456 將時(shí)間戳設(shè)置為秒格式，從上次顯示的包開始計(jì)時(shí),見第 6.10 節(jié) “時(shí)間顯示格式及參考時(shí)間”

Time Display Format > ------
Time Display Format > Automatic (File Format Precision) 根據(jù)指定的精度選擇數(shù)據(jù)包中時(shí)間戳的顯示方式，見第 6.10 節(jié) “時(shí)間顯示格式及參考時(shí)間”
注意
“Automatic”,“Seconds"和”…seconds"是互斥的

Time Display Format > Seconds: 0 設(shè)置精度為1秒，見第 6.10 節(jié) “時(shí)間顯示格式及參考時(shí)間”

Time Display Format > …seconds: 0… 設(shè)置精度為1秒，0.1秒，0.01秒，百萬分之一秒等等。 見第 6.10 節(jié) “時(shí)間顯示格式及參考時(shí)間”

Name Resolution > Resolve Name 僅對當(dāng)前選定包進(jìn)行解析第 7.6 節(jié) “名稱解析”

Name Resolution > Enable for MAC Layer 是否解析Mac地址
Name Resolution > Enable for Network Layer 是否解析網(wǎng)絡(luò)層地址(ip地址),見第 7.6 節(jié) “名稱解析”

Name Resolution > Enable for Transport Layer 是否解析傳輸層地址第 7.6 節(jié) “名稱解析”

Colorize Packet List 是否以彩色顯示包
注意
以彩色方式顯示包會(huì)降低捕捉再如包文件的速度

Auto Scrooll in Live Capture 控制在實(shí)時(shí)捕捉時(shí)是否自動(dòng)滾屏，如果選擇了該項(xiàng)，在有新數(shù)據(jù)進(jìn)入時(shí)， 面板會(huì)項(xiàng)上滾動(dòng)。您始終能看到最后的數(shù)據(jù)。反之，您無法看到滿屏以后的數(shù)據(jù)，除非您手動(dòng)滾屏
Zoom In Ctrl++ 增大字體
Zoom Out Ctrl± 縮小字體
Normal Size Ctrl+= 恢復(fù)正常大小
Resiz All Columnus 恢復(fù)所有列寬
注意
除非數(shù)據(jù)包非常大，一般會(huì)立刻更改

Expend Subtrees 展開子分支
Expand All 看開所有分支，該選項(xiàng)會(huì)展開您選擇的包的所有分支。
Collapse All 收縮所有包的所有分支
Coloring Rulues… 打開一個(gè)對話框，讓您可以通過過濾表達(dá)來用不同的顏色顯示包。這項(xiàng)功能對定位特定類型的包非常有用。見第 9.3 節(jié) “包色彩顯示設(shè)置”

Show Packet in New Window 在新窗口顯示當(dāng)前包，(新窗口僅包含View,Byte View兩個(gè)面板)
Reload Ctrl+R 重新再如當(dāng)前捕捉文件

3.8. "Go"菜單
Wireshark "GO"菜單的內(nèi)容見表 3.5 “"GO"菜單項(xiàng)”
圖 3.6. "GO"菜單

表 3.5. "GO"菜單項(xiàng)
菜單項(xiàng) 快捷鍵 描述
Back Alt+Left 跳到最近瀏覽的包，類似于瀏覽器中的頁面歷史紀(jì)錄
ForWard Alt+Right 跳到下一個(gè)最近瀏覽的包，跟瀏覽器類似
Go to Packet Ctrl+G 打開一個(gè)對話框，輸入指定的包序號，然后跳轉(zhuǎn)到對應(yīng)的包，見第 6.8 節(jié) “到指定的包”

Go to Corresponding Packet 跳轉(zhuǎn)到當(dāng)前包的應(yīng)答包，如果不存在，該選項(xiàng)為灰色
Previous Packet Ctrl+UP 移動(dòng)到包列表中的前一個(gè)包，即使包列表面板不是當(dāng)前焦點(diǎn)，也是可用的
Next Packet Ctrl+Down 移動(dòng)到包列表中的后一個(gè)包，同上
First Packet 移動(dòng)到列表中的第一個(gè)包
Last Packet 移動(dòng)到列表中的最后一個(gè)包

3.9. "Capture"菜單
"Capture"菜單的各項(xiàng)說明見表 3.6 “"Capture"菜單項(xiàng)”
圖 3.7. "Capture"菜單

表 3.6. "Capture"菜單項(xiàng)
菜單項(xiàng) 快捷鍵 說明
Interface… 在彈出對話框選擇您要進(jìn)行捕捉的網(wǎng)絡(luò)接口,見第 4.4 節(jié) “捕捉接口對話框”

Options… Ctrl+K 打開設(shè)置捕捉選項(xiàng)的對話框,(見第 4.5 節(jié) “捕捉選項(xiàng)對話框”)并可以在此開始捕捉

Start 立即開始捕捉，設(shè)置都是參照最后一次設(shè)置。
Stop Ctrl+E 停止正在進(jìn)行的捕捉，見第 4.9.1 節(jié) “停止捕捉”

Restart 正在進(jìn)行捕捉時(shí)，停止捕捉，并按同樣的設(shè)置重新開始捕捉.僅在您認(rèn)為有必要時(shí)
Capture Filters… 打開對話框，編輯捕捉過濾設(shè)置，可以命名過濾器，保存為其他捕捉時(shí)使用見第 6.6 節(jié) “定義，保存過濾器”

3.10. "Analyze"菜單
"Analyze"菜單的各項(xiàng)見表 3.7 “"analyze"菜單項(xiàng)”
圖 3.8. "Analyze"菜單

表 3.7. "analyze"菜單項(xiàng)
菜單項(xiàng) 快捷鍵 說明
Display Filters… 打開過濾器對話框編輯過濾設(shè)置，可以命名過濾設(shè)置，保存為其他地方使用，見第 6.6 節(jié) “定義，保存過濾器”

Apply as Filter>… 更改當(dāng)前過濾顯示并立即應(yīng)用。根據(jù)選擇的項(xiàng)，當(dāng)前顯示字段會(huì)被替換成選擇在Detail面板的協(xié)議字段
Prepare a Filter>… 更改當(dāng)前顯示過濾設(shè)置，當(dāng)不會(huì)立即應(yīng)用。同樣根據(jù)當(dāng)前選擇項(xiàng)，過濾字符會(huì)被替換成Detail面板選擇的協(xié)議字段
Firewall ACL Rules 為多種不同的防火墻創(chuàng)建命令行ACL規(guī)則(訪問控制列表),支持Cisco IOS, Linux Netfilter (iptables), OpenBSD pf and Windows Firewall (via netsh). Rules for MAC addresses, IPv4 addresses, TCP and UDP ports, 以及 IPv4+混合端口
以上假定規(guī)則用于外部接口
Enable Protocols… Shift+Ctrl+R 是否允許協(xié)議分析，見第 9.4.1 節(jié) “"Enable Protocols"對話框”

[a] 看樣子他們有個(gè)關(guān)于這部分的章節(jié)

3.11. "Statistics"菜單
Wireshark "statistics"菜單項(xiàng)見表 3.8 “”
圖 3.9. "Statistics"菜單

表 3.8.
菜單項(xiàng) 快捷鍵 描述
Summary 顯示捕捉數(shù)據(jù)摘要,見第 8.2 節(jié) “摘要窗口”

Protocol Hierarchy 顯示協(xié)議統(tǒng)計(jì)分層信息，見第 8.3 節(jié) “"Protocol Hierarchy"窗口”

Conversations/ 顯示會(huì)話列表(兩個(gè)終端之間的通信),見???
EndPoints 顯示端點(diǎn)列表(通信發(fā)起，結(jié)束地址),見第 8.4.2 節(jié) “"Endpoints"窗口”

IO Graphs 顯示用戶指定圖表，(如包數(shù)量-時(shí)間表)見第 8.6 節(jié) “"IO Graphs"窗口”

Conversation List 通過一個(gè)組合窗口，顯示會(huì)話列表,見第 8.5.3 節(jié) “協(xié)議指定“Conversation List/會(huì)話列表”窗口”

Endpoint List 通過一個(gè)組合窗口顯示終端列表，見第 8.4.3 節(jié) “特定協(xié)議的"Endpoint List"窗口”

Service Response Time 顯示一個(gè)請求及其相應(yīng)之間的間隔時(shí)間，見第 8.7 節(jié) “服務(wù)相應(yīng)時(shí)間”

ANSI 見第 8.8 節(jié) “協(xié)議指定統(tǒng)計(jì)窗口”

GSM 見第 8.8 節(jié) “協(xié)議指定統(tǒng)計(jì)窗口”

H.225… 見第 8.8 節(jié) “協(xié)議指定統(tǒng)計(jì)窗口”

ISUP Message 見第 8.8 節(jié) “協(xié)議指定統(tǒng)計(jì)窗口”

Types 見第 8.8 節(jié) “協(xié)議指定統(tǒng)計(jì)窗口”

MTP3 見第 8.8 節(jié) “協(xié)議指定統(tǒng)計(jì)窗口”

RTP 見第 8.8 節(jié) “協(xié)議指定統(tǒng)計(jì)窗口”

GSM 見第 8.8 節(jié) “協(xié)議指定統(tǒng)計(jì)窗口”

SIP 見第 8.8 節(jié) “協(xié)議指定統(tǒng)計(jì)窗口”

VOIP Calls… 見第 8.8 節(jié) “協(xié)議指定統(tǒng)計(jì)窗口”

WAP-WSP… 見第 8.8 節(jié) “協(xié)議指定統(tǒng)計(jì)窗口”

HTTP HTTP請求/相應(yīng)統(tǒng)計(jì)，見第 8.8 節(jié) “協(xié)議指定統(tǒng)計(jì)窗口”

ISUP Messages 見第 8.8 節(jié) “協(xié)議指定統(tǒng)計(jì)窗口”

ONC-RPC Programs 見第 8.8 節(jié) “協(xié)議指定統(tǒng)計(jì)窗口”

TCP Stream Graph 見第 8.8 節(jié) “協(xié)議指定統(tǒng)計(jì)窗口”

3.12. "Help"菜單
幫助菜單的內(nèi)容見表 3.9 “”
圖 3.10. 幫助菜單

表 3.9.
菜單項(xiàng) 快捷鍵 描述
Contents F1 打開一個(gè)基本的幫助系統(tǒng)
Supported Protocols 打開一個(gè)對話框顯示支持的協(xié)議或工具
Manaul Pages>… 打開瀏覽器，顯示安裝在本地的手冊
Wireshark Online> 按照選擇顯示在線資源
About Wireshark 彈出信息窗口顯示W(wǎng)ireshark的一些相關(guān)信息，如插件，目錄等。

注意 有些版本可能不支持調(diào)用WEB瀏覽器。如果是這樣，可能會(huì)隱藏此菜單。 注意 如果調(diào)用瀏覽器錯(cuò)誤，檢查Wireshark首選項(xiàng)關(guān)于瀏覽器設(shè)置。

3.13. "Main"工具欄
主工具欄提供了快速訪問常見項(xiàng)目的功能,它是不可以自定義的，但如果您覺得屏幕屏幕過于狹小，需要更多空間來顯示數(shù)據(jù)。您可以使用瀏覽菜單隱藏它。
在主工具欄里面的項(xiàng)目只有在可以使用的時(shí)候才能被選擇，如果不是可用則顯示為灰色，不可選(例如：在未載入文件時(shí)，保存文件按鈕就不可用.)
圖 3.11.

表 3.10. 主工具欄選項(xiàng)
工具欄圖標(biāo) 工具欄項(xiàng) 對應(yīng)菜單項(xiàng) 描述
接口 Capture/Interfaces… 打開接口列表對話框,見第 4.3 節(jié) “開始捕捉”

選項(xiàng)。。。 Capture/Options 打開捕捉選項(xiàng)對話框，見第 4.4 節(jié) “捕捉接口對話框”Start Capture/Start 使用最后一次的捕捉設(shè)置立即開始捕捉 STOP Capture/Stop 停止當(dāng)前的捕捉，見第 4.3 節(jié) “開始捕捉”Restar Caputer/Rstart 停止當(dāng)前捕捉，并立即重新開始 Open... File/Open 啟動(dòng)打開文件對話框，用于載入文件，詳見第 5.2.1 節(jié) “打開捕捉文件對話框”Save As... File/Save As... 保存當(dāng)前文件為任意其他的文件，它將會(huì)彈出一個(gè)對話框，(見第 5.3.1 節(jié) “"save Capture File As/保存文件為"對話框” 注意 如果當(dāng)前文件是臨時(shí)未保存文件，圖標(biāo)將會(huì)顯示為 Close File/Close 關(guān)閉當(dāng)前文件。如果未保存，將會(huì)提示是否保存 Reload View/Reload 重新載入當(dāng)前文件 Print File/Print 打印捕捉文件的全部或部分，將會(huì)彈出一個(gè)打印對話框(見第 5.7 節(jié) “打印包”)Find packet... Edit/Find Packet... 打開一個(gè)對話框，查找包。見第 6.7 節(jié) “查找包”Go Back Go/Go Back 返回歷史記錄中的上一個(gè) Go Forward Go/Go Forward 跳轉(zhuǎn)到歷史記錄中的下一個(gè)包 Go to Packet... Go/Go to Packet... 彈出一個(gè)設(shè)置跳轉(zhuǎn)到指定的包的對話框 Go To First Packet Go/First Packet 跳轉(zhuǎn)到第一包 Go To Last Packet Go/Last Packet 跳轉(zhuǎn)到最后一個(gè)包 Colorize View/Coloreze 切換是否以彩色方式顯示包列表 Auto Scroll in Live View/Auto Scrool in Live Capture 開啟/關(guān)閉實(shí)時(shí)捕捉時(shí)自動(dòng)滾動(dòng)包列表 Zoom in View/Zoom In 增大字體 zoom out View/Zoom Out 縮小字體 Normal Size View/Normal Size 設(shè)置縮放大小為100% Resize Columns View/Resize Columns 重置列寬，使內(nèi)容適合列寬(使包列表內(nèi)的文字可以完全顯示) Capture Filters.. Capture/Capture Filters... 打開對話框，用于創(chuàng)建、編輯過濾器。詳見第 6.6 節(jié) “定義，保存過濾器”Display Filters.. Analyze/ Filters... 打開對話框，用于創(chuàng)建、編輯過濾器。詳見第 6.6 節(jié) “定義，保存過濾器”Coloring Rules... View/Coloring Rules... 定義以色彩方式顯示數(shù)據(jù)包的規(guī)則詳見第 9.3 節(jié) “包色彩顯示設(shè)置”Preferences... Edit/Preferences 打開首選項(xiàng)對話框，詳見第 9.5 節(jié) “首選項(xiàng)”Help Help/Contents 打開幫助對話框

3.14. "Filter"工具欄
過濾工具欄用于編輯或顯示過濾器，更多詳情見第 6.3 節(jié) “瀏覽時(shí)過濾包”
圖 3.12. 過濾工具欄

表 3.11.
工具欄圖標(biāo) 工具欄項(xiàng) 說明
過濾 打開構(gòu)建過濾器對話框,見第 6.7 節(jié) “查找包”[a]

過濾輸入框 在此區(qū)域輸入或修改顯示的過濾字符，見第 6.4 節(jié) “建立顯示過濾表達(dá)式”,在輸入過程中會(huì)進(jìn)行語法檢查。如果您輸入的格式不正確，或者未輸入完成，則背景顯示為紅色。直到您輸入合法的表達(dá)式，背景會(huì)變?yōu)榫G色。你可以點(diǎn)擊下拉列表選擇您先前鍵入的過濾字符。列表會(huì)一直保留，即使您重新啟動(dòng)程序。 注意 做完修改之后，記得點(diǎn)擊右邊的Apply(應(yīng)用)按鈕，或者回車，以使過濾生效。 注意 輸入框的內(nèi)容同時(shí)也是當(dāng)前過濾器的內(nèi)容（當(dāng)前過濾器的內(nèi)容會(huì)反映在輸入框） 表達(dá)式... 標(biāo)簽為表達(dá)式的按鈕打開一個(gè)對話框用以從協(xié)議字段列表中編輯過濾器，詳見第 6.5 節(jié) ““Filter Expression/過濾表達(dá)式”對話框”清除 重置當(dāng)前過濾器，清除輸入框 應(yīng)用 應(yīng)用當(dāng)前輸入框的表達(dá)式為過濾器進(jìn)行過濾 注意 在大文件里應(yīng)用顯示過濾可能要很長時(shí)間

[a] 我看到的Filter按鈕貌似沒有圖標(biāo)，可能只出現(xiàn)在0.99.4版中

3.15. "Pcaket List"面板
Packet list/包列表面板顯示所有當(dāng)前捕捉的包
圖 3.13. "Packet list/包列表"面板

列表中的每行顯示捕捉文件的一個(gè)包。如果您選擇其中一行，該包得更多情況會(huì)顯示在"Packet Detail/包詳情"，"Packet Byte/包字節(jié)"面板
在分析(解剖)包時(shí)，Wireshark會(huì)將協(xié)議信息放到各個(gè)列。因?yàn)楦邔訁f(xié)議通常會(huì)覆蓋底層協(xié)議，您通常在包列表面板看到的都是每個(gè)包的最高層協(xié)議描述。
例如：讓我們看看一個(gè)包括TCP包,IP包,和一個(gè)以太網(wǎng)包。在以太網(wǎng)(鏈路層？)包中解析的數(shù)據(jù)(比如以太網(wǎng)地址），在IP分析中會(huì)覆蓋為它自己的內(nèi)容(比如IP地址)，在TCP分析中會(huì)覆蓋IP信息。
包列表面板有很多列可供選擇。需要顯示哪些列可以在首選項(xiàng)中進(jìn)行設(shè)置，見第 9.5 節(jié) “首選項(xiàng)”
默認(rèn)的列如下
? No. 包的編號，編號不會(huì)發(fā)生改變，即使進(jìn)行了過濾也同樣如此
? Time 包的時(shí)間戳。包時(shí)間戳的格式可以自行設(shè)置，見第 6.10 節(jié) “時(shí)間顯示格式及參考時(shí)間”
? Source 顯示包的源地址。
? Destination 顯示包的目標(biāo)地址。
? Protocal 顯示包的協(xié)議類型的簡寫
? Info 包內(nèi)容的附加信息
右擊包，可以顯示對包進(jìn)行相關(guān)操作的上下文菜單。見第 6.3 節(jié) “瀏覽時(shí)過濾包”
3.16. "Packet Details"面板
"Packet Details/包詳情"面板顯示當(dāng)前包(在包列表面板被選中的包)的詳情列表。
圖 3.14. "Packet Details/包詳情"面板

該面板顯示包列表面板選中包的協(xié)議及協(xié)議字段，協(xié)議及字段以樹狀方式組織。你可以展開或折疊它們。
右擊它們會(huì)獲得相關(guān)的上下文菜單。見第 6.4 節(jié) “建立顯示過濾表達(dá)式”
某些協(xié)議字段會(huì)以特殊方式顯示
? Generated fields/衍生字段 Wireshark會(huì)將自己生成附加協(xié)議字段加上括號。衍生字段是通過該包的相關(guān)的其他包結(jié)合生成的。例如：Wireshark 在對TCP流應(yīng)答序列進(jìn)行分析時(shí)。將會(huì)在TCP協(xié)議中添加[SEQ/ACK analysis]字段
? Links/鏈接 如果Wireshark檢測到當(dāng)前包與其它包的關(guān)系，將會(huì)產(chǎn)生一個(gè)到其它包的鏈接。鏈接字段顯示為藍(lán)色字體，并加有下劃線。雙擊它會(huì)跳轉(zhuǎn)到對應(yīng)的包。
3.17. "Packet Byte"面板
Packet Byte/包字節(jié) 面板以16進(jìn)制轉(zhuǎn)儲方式顯示當(dāng)前選擇包的數(shù)據(jù)
圖 3.15. Packet Byte/包字節(jié)面板

通常在16進(jìn)制轉(zhuǎn)儲形式中，左側(cè)顯示包數(shù)據(jù)偏移量，中間欄以16進(jìn)制表示，右側(cè)顯示為對應(yīng)的ASCII字符
根據(jù)包數(shù)據(jù)的不同，有時(shí)候包字節(jié)面板可能會(huì)有多個(gè)頁面，例如：有時(shí)候Wireshark會(huì)將多個(gè)分片重組為一個(gè)，見第 7.5 節(jié) “合并包”.這時(shí)會(huì)在面板底部出現(xiàn)一個(gè)附加按鈕供你選擇查看
圖 3.16. 帶選項(xiàng)的"Paket Bytes/包字節(jié)"面板

注意 附加頁面的內(nèi)容可能來自多個(gè)包。

右擊選項(xiàng)按鈕會(huì)顯示一個(gè)上下文菜單顯示所有可用的頁的清單。如果您的面板尺寸過小，這項(xiàng)功能或許有所幫助
3.18. 狀態(tài)欄
狀態(tài)欄用于顯示信息
通常狀態(tài)欄的左側(cè)會(huì)顯示相關(guān)上下文信息，右側(cè)會(huì)顯示當(dāng)前包數(shù)目
圖 3.17. 初始狀態(tài)欄

該狀態(tài)欄顯示的是沒有文件載入時(shí)的狀態(tài)，如：剛啟動(dòng)Wireshark時(shí)
圖 3.18. 載入文件后的狀態(tài)欄

左側(cè)顯示當(dāng)前捕捉文件信息，包括名稱，大小，捕捉持續(xù)時(shí)間等。
右側(cè)顯示當(dāng)前包在文件中的數(shù)量，會(huì)顯示如下值
? P:捕捉包的數(shù)目
? D:被顯示的包的數(shù)目
? M: 被標(biāo)記的包的數(shù)目.
圖 3.19. 已選擇協(xié)議字段的狀態(tài)欄

如果你已經(jīng)在"Packet Detail/包詳情"面板選擇了一個(gè)協(xié)議字段，將會(huì)顯示上圖
提示
括號內(nèi)的值(如上圖的app.opcode)可以作為顯示過濾使用。它表示選擇的協(xié)議字段。

第 4 章 實(shí)時(shí)捕捉數(shù)據(jù)包
4.1. 介紹
實(shí)時(shí)捕捉數(shù)據(jù)包時(shí)Wireshar的特色之一
Wiershark捕捉引擎具備以下特點(diǎn)
? 支持多種網(wǎng)絡(luò)接口的捕捉(以太網(wǎng)，令牌環(huán)網(wǎng)，ATM…)
? 支持多種機(jī)制觸發(fā)停止捕捉，例如：捕捉文件的大小，捕捉持續(xù)時(shí)間，捕捉到包的數(shù)量…
? 捕捉時(shí)同時(shí)顯示包解碼詳情
? 設(shè)置過濾，減少捕捉到包的容量。見第 4.8 節(jié) “捕捉時(shí)過濾”
? 長時(shí)間捕捉時(shí)，可以設(shè)置生成多個(gè)文件。對于特別長時(shí)間的捕捉，可以設(shè)置捕捉文件大小罰值，設(shè)置僅保留最后的N個(gè)文件等手段。見第 4.6 節(jié) “捕捉文件格式、模式設(shè)置”
Wireshark捕捉引擎在以下幾個(gè)方面尚有不足
? 從多個(gè)網(wǎng)絡(luò)接口同時(shí)實(shí)時(shí)捕捉，(但是您可以開始多個(gè)應(yīng)用程序?qū)嶓w，捕捉后進(jìn)行文件合并)
? 根據(jù)捕捉到的數(shù)據(jù)停止捕捉(或其他操作)
4.2. 準(zhǔn)備工作
第一次設(shè)置Wireshark捕捉包可能會(huì)遇到一些小麻煩
提示
關(guān)于如何進(jìn)行捕捉設(shè)置的較為全面的向?qū)Э梢栽?http://wiki.wireshark.org/CaptureSetup.

這里有一些常見需要注意的地方
? 你必須擁有root/Administrator特權(quán)以開始捕捉[12]
? 必須選擇正確的網(wǎng)絡(luò)接口捕捉數(shù)據(jù)
? 如果您想捕捉某處的通信，你必須作出決定：在什么地方可以捕捉到
? ……以及許多
如果你碰到設(shè)置問題，建議看看前面的那個(gè)向?qū)?#xff0c;或許會(huì)有所幫助
4.3. 開始捕捉
可以使用下任一方式開始捕捉包
? 使用 打開捕捉接口對話框，瀏覽可用的本地網(wǎng)絡(luò)接口，見圖 4.1 ““Capture Interfaces"捕捉接口對話框”,
選擇您需要進(jìn)行捕捉的接口啟動(dòng)捕捉
? 你也可以使用” 捕捉選項(xiàng)"按鈕啟動(dòng)對話框開始捕捉，見圖 4.2 ““Capture Option/捕捉選項(xiàng)"對話框”
? 如果您前次捕捉時(shí)的設(shè)置和現(xiàn)在的要求一樣，您可以點(diǎn)擊” 開始捕捉"按鈕或者是菜單項(xiàng)立即開始本次捕捉。
? 如果你已經(jīng)知道捕捉接口的名稱，可以使用如下命令從命令行開始捕捉：
wireshark -i eth0 -k
上述命令會(huì)從eht0接口開始捕捉，有關(guān)命令行的介紹參見第 9.2 節(jié) “從命令行啟動(dòng)Wireshark”
4.4. 捕捉接口對話框
如果您從捕捉菜單選擇"Interface…"，將會(huì)彈出如圖 4.1 ““Capture Interfaces"捕捉接口對話框”所示的對話框
警告
打開"Capture Interfaces”/捕捉對話框時(shí) 同時(shí)正在顯示捕捉的數(shù)據(jù)，這將會(huì)大量消耗您的系統(tǒng)資源。盡快選擇您需要的接口以結(jié)束該對話框。避免影響系統(tǒng)性能
注意
這個(gè)對話框只顯示本地已知的網(wǎng)絡(luò)接口，Wireshark可能無法檢測到所有的本地接口，Wireshark不能檢測遠(yuǎn)程可用的網(wǎng)絡(luò)接口，Wireshark只能使用列出可用的網(wǎng)絡(luò)接口
圖 4.1. "Capture Interfaces"捕捉接口對話框

描述
從操作系統(tǒng)獲取的接口信息
IP
Wireshark能解析的第一個(gè)IP地址，如果接口未獲得IP地址（如，不存在可用的DHCP服務(wù)器)，將會(huì)顯示"Unkow",如果有超過一個(gè)IP的，只顯示第一個(gè)(無法確定哪一個(gè)會(huì)顯示).
Packets
打開該窗口后，從此接口捕捉到的包的數(shù)目。如果一直沒有接收到包，則會(huì)顯示為灰度
Packets/s
最近一秒捕捉到包的數(shù)目。如果最近一秒沒有捕捉到包，將會(huì)是灰度顯示
Stop
停止當(dāng)前運(yùn)行的捕捉
Capture
從選擇的接口立即開始捕捉，使用最后一次捕捉的設(shè)置。
Options
打開該接口的捕捉選項(xiàng)對話框,見 第 4.5 節(jié) “捕捉選項(xiàng)對話框”
Details(僅Win32系統(tǒng))
打開對話框顯示接口的詳細(xì)信息
Close
關(guān)閉對話框
4.5. 捕捉選項(xiàng)對話框
如果您從捕捉菜單選擇"start…"按鈕(或者從主工具欄選擇對應(yīng)的項(xiàng)目),Wireshark彈出"Capture Option/捕捉選項(xiàng)"對話框。如圖 4.2 “"Capture Option/捕捉選項(xiàng)"對話框”所示
圖 4.2. "Capture Option/捕捉選項(xiàng)"對話框

提示 如果你不了解各項(xiàng)設(shè)置的意義，建議保持默認(rèn)。

你可以用對話框中的如下字段進(jìn)行設(shè)置
4.5.1. 捕捉楨
Interface
該字段指定你想用于進(jìn)行捕捉的借口。一次只能使用一個(gè)接口。這是一個(gè)下拉列表，簡單點(diǎn)擊右側(cè)的按鈕，選擇你想要使用的接口。默認(rèn)第一是支持捕捉的non-loopback(非環(huán)回)接口，如果沒有這樣的接口，第一個(gè)將是環(huán)回接口。在某些系統(tǒng)中，回借口不支持捕捉包(windows平臺下的環(huán)回接口就不支持。)
在命令行使用-i 參數(shù)可以替代該選項(xiàng)
IP address
表示選擇接口的IP地址。如果系統(tǒng)未指定IP地址，將會(huì)顯示為"unknown"
Link-layer header type
除非你有些特殊應(yīng)用，盡量保持此選項(xiàng)默認(rèn)。想了解更多詳情，見 第 4.7 節(jié) “鏈路層包頭類型”
Buffer size: n megabyte(s)
輸入用于捕捉的緩層大小。該選項(xiàng)是設(shè)置寫入數(shù)據(jù)到磁盤前保留在核心緩存中捕捉數(shù)據(jù)的大小，如果你發(fā)現(xiàn)丟包。嘗試增大該值。
注意
該選項(xiàng)僅適用于Windows平臺
Capture packets in promiscuous mode
指定Wireshark捕捉包時(shí)，設(shè)置接口為雜收模式(有些人翻譯為混雜模式)。如果你未指定該選項(xiàng)，Wireshark 將只能捕捉進(jìn)出你電腦的數(shù)據(jù)包(不能捕捉整個(gè)局域網(wǎng)段的包)[13]
注意
如果其他應(yīng)用程序?qū)⒕W(wǎng)卡設(shè)置為雜收模式，即使不選中該選項(xiàng)，也會(huì)工作于雜收模式下。
注意
即使在雜收模式下，你也未必能夠接收到整個(gè)網(wǎng)段所有的網(wǎng)絡(luò)包。詳細(xì)解釋見http://www.wireshark.org/faq.html#promiscsniff

Limit each packet to n bytes
指定捕捉過程中，每個(gè)包的最大字節(jié)數(shù)。在某些地方被稱為。“snaplen”.[14]如果禁止該選項(xiàng)，默認(rèn)值為65535，這適用于大多數(shù)協(xié)議，下面是一些大多數(shù)情況下都適用的規(guī)則(這里又出現(xiàn)了拇指規(guī)則，第一章，系統(tǒng)需求時(shí)提到過。這里權(quán)且翻譯作普適而非絕對的規(guī)則))
? 如果你不確定，盡量保持默認(rèn)值
? 如果你不需要包中的所有數(shù)據(jù)。例如：如果您僅需要鏈路層、IP和TCP包頭，您可能想要選擇一個(gè)較小的快照長度。這樣只需要較少的cpu占用時(shí)間用于復(fù)制包，包需要的緩存也較少。如此在繁忙網(wǎng)絡(luò)中捕捉時(shí)丟失的包也可能會(huì)相應(yīng)少一點(diǎn)。
? 如果你沒有捕捉包中的所有數(shù)據(jù)(適用snpaplen截?cái)嗔税?，你可能會(huì)發(fā)現(xiàn)有時(shí)候你想要的包中的數(shù)據(jù)部分被截?cái)鄟G棄了。或者因?yàn)槿鄙僦匾牟糠?#xff0c;想對某些包進(jìn)行重組而發(fā)現(xiàn)失敗。
Capture Filter
指定捕捉過濾。捕捉過濾器將會(huì)在有第 4.8 節(jié) “捕捉時(shí)過濾”詳細(xì)介紹，默認(rèn)情況下是空的。
同樣你也可以點(diǎn)擊捕捉按鈕，通過彈出的捕捉過濾對話框創(chuàng)建或選擇一個(gè)過濾器，詳見第 6.6 節(jié) “定義，保存過濾器”
4.5.2. 捉數(shù)據(jù)幀為文件。
捕捉文件設(shè)置的使用方法的詳細(xì)介紹見第 4.6 節(jié) “捕捉文件格式、模式設(shè)置”
File
指定將用于捕捉的文件名。該字段默認(rèn)是空白。如果保持空白，捕捉數(shù)據(jù)將會(huì)存儲在臨時(shí)文件夾。詳見第 4.6 節(jié) “捕捉文件格式、模式設(shè)置”
你可以點(diǎn)擊右側(cè)的按鈕打開瀏覽窗口設(shè)置文件存儲位置
Use multiple files
如果指定條件達(dá)到臨界值，Wireshark將會(huì)自動(dòng)生成一個(gè)新文件，而不是適用單獨(dú)文件。
Next file every n megabyte(s)
僅適用選中Use multiple files,如果捕捉文件容量達(dá)到指定值，將會(huì)生成切換到新文件
Next file every n minutes(s)
僅適用選中Use multiple files,如果捕捉文件持續(xù)時(shí)間達(dá)到指定值，將會(huì)切換到新文件。
Ring buffer with n files
僅適用選中Use multiple files,僅生成制定數(shù)目的文件。
Stop caputure after n file(s)
僅適用選中Use multiple files,當(dāng)生成指定數(shù)目文件時(shí)，在生成下一個(gè)文件時(shí)停止捕捉(生成n個(gè)還是n+1個(gè)文件?)
4.5.3. 停止捕捉楨
… after n packet(s)
在捕捉到指定數(shù)目數(shù)據(jù)包后停止捕捉
… after n megabytes(s)
在捕捉到指定容量的數(shù)據(jù)(byte(s)/kilobyte(s)/megabyte(s)/gigabyte(s) )后停止捕捉。如果沒有適用"user multiple files",該選項(xiàng)將是灰色
… after n minute(s)
在達(dá)到指定時(shí)間后停止捕捉
4.5.4. 顯示楨選項(xiàng)
Update list of packets in real time
在包列表面板實(shí)時(shí)更新捕捉數(shù)據(jù)。如果未選定該選項(xiàng)，在Wireshark捕捉結(jié)束之前將不能顯示數(shù)據(jù)。如果選中該選項(xiàng)，Wireshark將生成兩個(gè)獨(dú)立的進(jìn)程，通過捕捉進(jìn)程傳輸數(shù)據(jù)給顯示進(jìn)程。
Automatic scrolling in live capture
指定Wireshark在有數(shù)據(jù)進(jìn)入時(shí)實(shí)時(shí)滾動(dòng)包列表面板，這樣您將一直能看到最近的包。反之，則最新數(shù)據(jù)包會(huì)被放置在行末，但不會(huì)自動(dòng)滾動(dòng)面板。如果未設(shè)置"update list of packets in real time",該選項(xiàng)將是灰色不可選的。
Hide capture info dialog
選中該選項(xiàng)，將會(huì)隱藏捕捉信息對話框
4.5.5. 名稱解析設(shè)置
Enable MAC name resolution
設(shè)置是否讓W(xué)ireshark翻譯MAC地址為名稱，見第 7.6 節(jié) “名稱解析”
Enable network name resolution
是否允許Wireshark對網(wǎng)絡(luò)地址進(jìn)行解析，見第 7.6 節(jié) “名稱解析”
4.5.6. 按鈕
進(jìn)行完上述設(shè)置以后，你可以點(diǎn)擊start按鈕進(jìn)行捕捉,也可以點(diǎn)擊Cancel退出捕捉.
開始捕捉以后，在你收集到足夠的數(shù)據(jù)時(shí)你可以停止捕捉。見第 4.9 節(jié) “在捕捉過程中”
4.6. 捕捉文件格式、模式設(shè)置
在 捕捉時(shí)，libpcap 捕捉引擎(linux環(huán)境下)會(huì)抓取來自網(wǎng)卡的包存放在(相對來說)較小的核心緩存內(nèi)。這些數(shù)據(jù)由Wireshark讀取并保存到用戶指定的捕捉文件中。
保存包數(shù)據(jù)到捕捉文件時(shí)，可采用差異模式操作。
提示
處理大文件(數(shù)百兆)將會(huì)變得非常慢。如果你計(jì)劃進(jìn)行長時(shí)間捕捉，或者處于一個(gè)高吞吐量的網(wǎng)絡(luò)中，考慮使用前面提到的"Multiple files/多文件"選項(xiàng)。該選項(xiàng)可以將捕捉包分割為多個(gè)小文件。這樣可能更適合上述環(huán)境。
注意
使用多文件可能會(huì)切斷上下文關(guān)聯(lián)信息。Wireshark保留載入包的上下文信息，所以它會(huì)報(bào)告上下文關(guān)聯(lián)問題(例如流問題)和關(guān)聯(lián)上下文協(xié)議信息(例如：何處數(shù)據(jù)產(chǎn)生建立階段，必須查找后續(xù)包)。這些信息僅能在載入文件中顯示，使用多文件模式可能會(huì)截?cái)噙@樣的上下文。如果建立連接階段已經(jīng)保存在一個(gè)文件中，你想要看的在另一個(gè)文件中，你可能無法看到可用的上下文關(guān)聯(lián)信息。
提示
關(guān)于捕捉文件的目錄信息，可見???
表 4.1. 捕捉文件模式選項(xiàng)
"File"選項(xiàng) "Use multiple files"選項(xiàng) "Ring buffer with n files"選項(xiàng) Mode 最終文件命名方式

• • • Single temporary file etherXXXXXX (where XXXXXX 是一個(gè)獨(dú)立值)
      foo.cap - - Single named file foo.cap
      foo.cap x - Multiple files,continuous foo_00001_20040205110102.cap, foo_00002_20040205110102.cap, …
      foo.cap x x Multiple files,ring buffer foo_00001_20040205110102.cap, foo_00002_20040205110102.cap, …

Single temporary file
將會(huì)創(chuàng)建并使用一個(gè)臨時(shí)文件(默認(rèn)選項(xiàng)).捕捉文件結(jié)束后，該文件可以由用戶指定文件名。
Single named file
使用單獨(dú)文件，如果你想放到指定目錄，選擇此模式
Multiple files,continuous
與single name file模式類似，不同點(diǎn)在于，當(dāng)捕捉達(dá)到多文件切換臨界條件時(shí)之一時(shí)，會(huì)創(chuàng)建一個(gè)新文件用于捕捉
Multiple files,ring buffer
與"multiple files continuous"模式類似，不同之處在于，創(chuàng)建的文件數(shù)目固定。當(dāng)達(dá)到ring buffer with n值時(shí)，會(huì)替換掉第一個(gè)文件開始捕捉，如此循環(huán)往復(fù)。
該模式可以限制最大磁盤空間使用量，即使未限制捕捉數(shù)據(jù)輸入，也只能保留最后幾個(gè)捕捉數(shù)據(jù)。
4.7. 鏈路層包頭類型
在通常情況下，你不需要選擇鏈路層包頭類型。下面的段落描述了例外的情況，此時(shí)選擇包頭類型是有必要的，所以你需要知道怎么做：
如果你在某種版本BSD操作系統(tǒng)下從某種802.11 設(shè)備(無線局域網(wǎng)設(shè)備)捕捉數(shù)據(jù)，可能需要在"802.11"和"Ethernet"中做出選擇。“Ethernet"將會(huì)導(dǎo)致捕捉到的包帶有偽以太網(wǎng)幀頭(不知道是不是應(yīng)該叫偽首部更準(zhǔn)確些);“802.11"將會(huì)導(dǎo)致他們帶有802.11幀頭。如果捕捉時(shí)的應(yīng)用程序不支持"802.11幀頭”，你需要選擇"802.11”
如果你使用Endace DAG card(某種網(wǎng)絡(luò)監(jiān)視卡)連接到同步串口線(譯者注：E文為synchronous serial line，權(quán)且翻譯作前文吧，未接觸過此卡、未熟稔此線名稱)，可能會(huì)出現(xiàn)"PPP over serial" 或 “Cisco HDLC”(自己google去)供選擇。根據(jù)你自己的情況選擇二者中的一個(gè)。
如果你使用Endace DAG card(同上)連接到ATM網(wǎng)絡(luò)，將會(huì)提供"RFC 1483 IP-over-ATM"、“Sun raw ATM"供選擇。如果捕捉的通信是RFC 1483封裝IP(RFC 1483 LLC-encapsulated IP,不翻譯為妙)，或者需要在不支持SunATM幀頭的應(yīng)用程序下捕捉，選擇前者。反之選擇后者。
如果你在以太網(wǎng)捕捉，將會(huì)提供"Ethernet”、“DOCSIS"供選擇，如果您是在Cisco Cable Modem Termination System(CMTS是思科同軸電纜終端調(diào)制解調(diào)系統(tǒng)？)下捕捉數(shù)據(jù)。它會(huì)將DOCSIS(同軸電纜數(shù)據(jù)服務(wù)接口)通信放置到以太網(wǎng)中，供捕捉。此時(shí)需要選擇"DOCSIS”,反之則反之。
4.8. 捕捉時(shí)過濾
Wireshark使用libpcap過濾語句進(jìn)行捕捉過濾(what about winpcap?)。在tcpdump主頁有介紹，但這些只是過于晦澀難懂，所以這里做小幅度講解。
提示
你可以從http://wiki.wireshark.org/CaptureFilters找到捕捉過濾范例.

在Wireshark捕捉選項(xiàng)對話(見圖 4.2 “"Capture Option/捕捉選項(xiàng)"對話框”)框輸入捕捉過濾字段。下面的語句有點(diǎn)類似于tcpdump捕捉過濾語言。在tcpdump主頁http://www.tcpdump.org/tcpdump_man.html可以看到tcpdump表達(dá)式選項(xiàng)介紹。
捕捉過濾的形式為：和取值(and/or)進(jìn)行進(jìn)行基本單元連接，加上可選的，高有限級的not:
[not] primitive [and|or [not] primitive …]
例 4.1. 捕捉來自特定主機(jī)的telnet協(xié)議
tcp port 23 and host 10.0.0.5

本例捕捉來自或指向主機(jī)10.0.0.5的Telnet 通信，展示了如何用and連接兩個(gè)基本單元。另外一個(gè)例子例 4.2 “捕捉所有不是來自10.0.0.5的telnet 通信”展示如何捕捉所有不是來自10.0.0.5的telnet 通信。
例 4.2. 捕捉所有不是來自10.0.0.5的telnet 通信
tcp host 23 and not src host 10.0.0.5

此處筆者建議增加更多范例。但是并沒有添加。
一個(gè)基本單元通常是下面中的一個(gè)
[src|dst] host
此基本單元允許你過濾主機(jī)ip地址或名稱。你可以優(yōu)先指定src|dst關(guān)鍵詞來指定你關(guān)注的是源地址還是目標(biāo)地址。如果未指定，則指定的地址出現(xiàn)在源地址或目標(biāo)地址中的包會(huì)被抓取。
ether [src|dst] host
此單元允許你過濾主機(jī)以太網(wǎng)地址。你可以優(yōu)先指定關(guān)鍵詞src|dst在關(guān)鍵詞ether和host之間，來確定你關(guān)注的是源地址還是目標(biāo)地址。如果未指定，同上。
gateway host
過濾通過指定host作為網(wǎng)關(guān)的包。這就是指那些以太網(wǎng)源地址或目標(biāo)地址是host，但源ip地址和目標(biāo)ip地址都不是host的包
[src|dst] net [{mask}|{len }]
通過網(wǎng)絡(luò)號進(jìn)行過濾。你可以選擇優(yōu)先指定src|dst來確定你感興趣的是源網(wǎng)絡(luò)還是目標(biāo)網(wǎng)絡(luò)。如果兩個(gè)都沒指定。指定網(wǎng)絡(luò)出現(xiàn)在源還是目標(biāo)網(wǎng)絡(luò)的都會(huì)被選擇。另外，你可以選擇子網(wǎng)掩碼或者CIDR(無類別域形式)。
[tcp|udp] [src|dst] port <port]
過濾tcp,udp及端口號。可以使用src|dst和tcp|udp關(guān)鍵詞來確定來自源還是目標(biāo)，tcp協(xié)議還是udp協(xié)議。tcp|udp必須出現(xiàn)在src|dst之前。
less|greater
選擇長度符合要求的包。（大于等于或小于等于）
ip|ether proto
選擇有指定的協(xié)議在以太網(wǎng)層或是ip層的包
ether|ip broadcast|multicast
選擇以太網(wǎng)/ip層的廣播或多播
relop
創(chuàng)建一個(gè)復(fù)雜過濾表達(dá)式，來選擇包的字節(jié)或字節(jié)范圍符合要求的包。請參考http://www.tcpdump.org/tcpdump_man.html
4.8.1. 自動(dòng)過濾遠(yuǎn)程通信
如果Wireshark是使用遠(yuǎn)程連接的主機(jī)運(yùn)行的(例如使用SSH,X11 Window輸出，終端服務(wù)器)，遠(yuǎn)程連接必須通過網(wǎng)絡(luò)傳輸，會(huì)在你真正感興趣的通信中產(chǎn)生大量數(shù)據(jù)包(通常也是不重要的)
想要避免這種情況，wireshark可以設(shè)置為如果發(fā)現(xiàn)有遠(yuǎn)程連接(通過察看指定的環(huán)境變量)，自動(dòng)創(chuàng)建一個(gè)過濾器來匹配這種連接。以避免捕捉Wireshark捕捉遠(yuǎn)程連接通信。
下列環(huán)境變量可以進(jìn)行分析
SSH——CONNECTION(ssh)

SSH_CLIENT (ssh)

REMOTEHOST (tcsh, others?)

DISPLAY (x11)
[remote name]:
SESSIONNAME (terminal server)

4.9. 在捕捉過程中
捕捉時(shí)，會(huì)出現(xiàn)下面的對話框
圖 4.3. 捕捉信息對話框

上述對話框會(huì)向你顯示捕捉到包的數(shù)目，捕捉持續(xù)時(shí)間。選擇的被統(tǒng)計(jì)的協(xié)議無法更改(什么鳥意思？)
提示
這個(gè)對話框可以被隱藏，在前次的捕捉選項(xiàng)對話框設(shè)置"Hide capture info dialog box"即可。
4.9.1. 停止捕捉
運(yùn)行中的捕捉線程可以用下列方法停止：

使用捕捉信息對話框上的" stop"按鈕停止。
注意
捕捉信息對話框有可能被隱藏，如果你選擇了"Hide capture info dialog"

使用菜單項(xiàng)"Capture/ Stop"

使用工具欄項(xiàng)" Stop"

使用快捷鍵:Ctrl+E

如果設(shè)置了觸發(fā)停止的條件，捕捉達(dá)到條件時(shí)會(huì)自動(dòng)停止。
4.9.2. 重新啟動(dòng)捕捉
運(yùn)行中的捕捉進(jìn)程可以被重新啟動(dòng)。這將會(huì)移出上次捕捉的所有包。如果你捕捉到一些你不感興趣的包，你不想保留它，這個(gè)功能十分有用。
重新啟動(dòng)是一項(xiàng)方便的功能，類似于停止捕捉后，在很短的時(shí)間內(nèi)立即開始捕捉。以下兩種方式可以實(shí)現(xiàn)重新啟動(dòng)捕捉:

使用菜單項(xiàng)"Capture/ Restart"

使用工具欄項(xiàng)" Restart"

---

[12] 記得在Windows安裝那一節(jié)層提到如果作為服務(wù)啟動(dòng)可以避免非管理員無法進(jìn)行捕捉，不知道二者能否相互印證。
[13] 網(wǎng)卡在局域網(wǎng)內(nèi)會(huì)接到很多不屬于自己的包，默認(rèn)情況下，網(wǎng)卡會(huì)不對這些包進(jìn)行處理。貌似設(shè)置為雜收模式，Wireshak會(huì)監(jiān)聽所有的包，但并不作出相應(yīng)。
[14] 粗略查了一下,未找到該詞的合適翻譯,多見于Winpcap的描述，如果把該單詞拆分，snap:單元，快照，len:長度，似乎就是單位長度，單元大小的意思。在看看該段下面第二個(gè)如果中提到的snapshot length,snaplen應(yīng)該是二者的簡寫形式，快照長度
?
第 5 章 文件輸入／輸出及打印
5.1. 說明
本章將介紹捕捉數(shù)據(jù)的輸入輸出。
? 打開／導(dǎo)入多種格式的捕捉文件
? 保存／導(dǎo)出多種格式的捕捉文件
? 合并捕捉文件
? 打印包
5.2. 打開捕捉文件
Wireshark可以讀取以前保存的文件。想讀取這些文件，只需選擇菜單或工具欄的：“File/ Open”。Wireshark將會(huì) 彈出打開文件對話框。詳見第 5.2.1 節(jié) “打開捕捉文件對話框”
如果使用拖放功能會(huì)更方便
要打開文件，只需要從文件管理器拖動(dòng)你想要打開的文件到你的Wireshark主窗口。但拖放功能不是在所有平臺都支持。
在你載入新文件時(shí)，如果你沒有保存當(dāng)前文件，Wireshark會(huì)提示你是否保存，以避免數(shù)據(jù)丟失。(你可以在首選項(xiàng)禁止提示保存)
除Wireshark原生的格式(libpcap 格式，同樣被 tcpdump/Windump和 其他基于libpcap/WinPcap使用)外，Wireshark可以很好地讀取許多捕捉文件格式。支持的格式列表見第 5.2.2 節(jié) “輸入文件格式”
5.2.1. 打開捕捉文件對話框
打開文件對話框可以用來查找先前保存的文件。表 5.1 “特定環(huán)境下的打開文件對話框”顯示了一些Wireshark打開文件對話框的例子。
對話框的顯示方式取決于你的操作系統(tǒng)
對話框的顯示方式取決于操作系統(tǒng)，以及GTK+工具集的版本。但不管怎么說，基本功能都是一樣的。
常見對話框行為：
? 選擇文件和目錄
? 點(diǎn)擊Open/OK按鈕，選擇你需要的文件并打開它
? 點(diǎn)擊Cancle按鈕返回Wireshark主窗口而不載入任何文件。
Wireshark對話框標(biāo)準(zhǔn)操作擴(kuò)展
? 如果選中文件，可以查看文件預(yù)覽信息(例如文件大小，包個(gè)數(shù)。。。)
? 通過"filter:"按鈕、顯示字段指定顯示過濾器。過濾器將會(huì)在打開文件后應(yīng)用。在輸入過濾字符時(shí)會(huì)進(jìn)行語法檢查。如果輸入正確背景色為綠色，如果錯(cuò)誤或輸入未結(jié)束，背景色為綠色。點(diǎn)擊filter按鈕會(huì)打開過濾對話框，用于輔助輸入顯示過濾表達(dá)式。(詳見第 6.3 節(jié) “瀏覽時(shí)過濾包”)
XXXX-we need a better description of these read filters(貌似說這一段需要更多的做介紹)
? 通過點(diǎn)擊復(fù)選框指定那些地址解析會(huì)被執(zhí)行。詳見第 7.6 節(jié) “名稱解析”
在大文件中節(jié)約大量時(shí)間
你可以在打開文件后修改顯示過濾器，和名稱解析設(shè)置。但在一些巨大的文件中進(jìn)行這些操作將會(huì)占用大量的時(shí)間。在這種情況下建議在打開文件之前就進(jìn)行相關(guān)過濾，解析設(shè)置。
表 5.1. 特定環(huán)境下的打開文件對話框
圖 5.1. Windows下的打開對話框

Microsoft Windows(GTK2 installed)

此對話框一般都帶有一些wireshark擴(kuò)展
此對話框的說明：
? 如果可用，"help"按鈕將會(huì)打開本節(jié)的用戶手冊。
? "Filter."按鈕 在當(dāng)前版本的windows下不可用(我看了一下，的確不可用，但過濾輸入框還是可用的)
? 錯(cuò)誤提示功能:如果Wireshark無法識別選中的捕捉文件，Open按鈕將為灰色不可用[a]

圖 5.2. 新版GtK下的打開對話框

Unix/Linux:GTK version >= 2.4

這是在Gimp/GNOME桌面環(huán)境下的打開文件對話框
對此對話框的說明。
? “+”按鈕可以將右側(cè)選中的目錄添加到收藏夾。成為預(yù)設(shè)目錄。
? "-"按鈕可以移除左側(cè)目錄列表中選中的目錄。(“Home”,“Desktop”,"Filesystem"不可以移除)
? 如果Wireshark不能識別選中的捕捉文件，"Open"按鈕將是灰色不可用。
圖 5.3. 舊版GTK下的打開對話框

Unix/Linux: GTK version < 2.4 / Microsoft Windows (GTK1 installed)

gimp/gnome桌面環(huán)境，或windows gtk1下的的。
該對話框說明
? 如果未能識別不做文件，Open按鈕將為灰色不可用
[a] 我測試了一下，無論什么文件，Wireshark都會(huì)去嘗試打開，更遑論錯(cuò)誤檢查

5.2.2. 輸入文件格式
可以打開的捕捉文件格式列表：
? libpcap, tcpdump and various other tools using tcpdump’s capture format
? Sun snoop and atmsnoop
? Shomiti/Finisar Surveyor captures
? Novell LANalyzer captures
? Microsoft Network Monitor captures
? AIX’s iptrace captures
? Cinco Networks NetXray captures
? Network Associates Windows-based Sniffer and Sniffer Pro captures
? Network General/Network Associates DOS-based Sniffer (compressed or uncompressed) captures
? AG Group/WildPackets EtherPeek/TokenPeek/AiroPeek/EtherHelp/PacketGrabber captures
? RADCOM’s WAN/LAN Analyzer captures
? Network Instruments Observer version 9 captures
? Lucent/Ascend router debug output
? HP-UX’s nettl
? Toshiba’s ISDN routers dump output
? ISDN4BSD i4btrace utility
? traces from the EyeSDN USB S0
? IPLog format from the Cisco Secure Intrusion Detection System
? pppd logs (pppdump format)
? the output from VMS’s TCPIPtrace/TCPtrace/UCX$TRACE utilities
? the text output from the DBS Etherwatch VMS utility
? Visual Networks’ Visual UpTime traffic capture
? the output from CoSine L2 debug
? the output from Accellent’s 5Views LAN agents
? Endace Measurement Systems’ ERF format captures
? Linux Bluez Bluetooth stack hcidump -w traces
? Catapult DCT2000 .out files
不正確的包類型可能無法會(huì)導(dǎo)致打開錯(cuò)誤。
某些類型的捕捉包可能無法讀取。以太網(wǎng)環(huán)境下捕捉的大部分類型格式一般都等打開。但有些包類型(如令牌環(huán)環(huán)包)，不是所有的格式都被wireshark支持。
5.3. 保存捕捉包
你可以通過File->Save As…菜單保存捕捉文件。在保存時(shí)可以選擇保存哪些包，以什么格式保存。
保存可能會(huì)丟失某些有用的信息
保存可能會(huì)少量都是某些信息。例如：已經(jīng)被丟棄的包會(huì)丟失。詳見???
5.3.1. "save Capture File As/保存文件為"對話框
"Save Capture File As"對話框用于保存當(dāng)前捕捉數(shù)據(jù)到文件。???列舉了該對話框的一些例子。
對話框的顯示方式取決于你的操作系統(tǒng)
對話框的顯示方式取決于你的操作系統(tǒng)和GTK+工具集版本的不同。但大部分基本功能都是一樣的。
表 5.2. 特定環(huán)境下的"Save Capture File As"對話框
圖 5.4. Windows下的保存為對話框

Microsoft Windows(GTK2 installed)

此對話框一般都帶有一些wireshark擴(kuò)展
此對話框的說明：
? 如果可用，"help"按鈕將會(huì)打開本節(jié)的用戶手冊。
? 如果你未輸入文件擴(kuò)展名-例如.pcap,Wireshark會(huì)自動(dòng)添加該文件格式的標(biāo)準(zhǔn)擴(kuò)展名。
圖 5.5. 新版GtK下的保存為對話框

Unix/Linux:GTK version >= 2.4

這是在Gimp/GNOME桌面環(huán)境下的保存文件對話框
對此對話框的說明。
? "Browse for other flders"前的“+”按鈕可以讓你指定文件保存的位置。。
圖 5.6. 舊版GTK下的保存為對話框

Unix/Linux: GTK version < 2.4 / Microsoft Windows (GTK1 installed)

gimp/gnome桌面環(huán)境，或windows gtk1下的的。

通過這些對話框，你可以執(zhí)行如下操作：

輸入你指定的文件名。

選擇保存的目錄

選擇保存包的范圍，見第 5.8 節(jié) “包范圍選項(xiàng)”

通過點(diǎn)擊"File type/文件類型"下拉列表指定保存文件的格式。見???
可供選中的文件格式可能會(huì)沒有那么多
有些類型的捕捉格式可能不可用，這取決于捕捉包的類型。
可以直接保存為另一種格式。
你可以以一種格式讀取捕捉文件，保存時(shí)使用另外一種格式(這句可能翻譯有誤。)

點(diǎn)擊"Save/OK"按鈕保存。如果保存時(shí)遇到問題，會(huì)出現(xiàn)錯(cuò)誤提示。確認(rèn)那個(gè)錯(cuò)誤提示以后，你可以重試。

點(diǎn)擊"Cancel"按鈕退出而不保存捕捉包。
5.3.2. 輸出格式
可以將Wireshark不著的包保存為其原生格式文件(libpcap)，也可以保存為其他格式供其他工具進(jìn)行讀取分析。
各文件類型之間的時(shí)間戳精度不盡相同
將當(dāng)前文件保存為其他格式可能會(huì)降低時(shí)間戳的精度，見第 7.3 節(jié) “時(shí)間戳”

Wireshark可以保存為如下格式。
? libpcap, tcpdump and various other tools using tcpdump’s capture format (.pcap,.cap,.dmp)
? Accellent 5Views (.5vw)
? HP-UX’s nettl (.TRC0,.TRC1)
? Microsoft Network Monitor - NetMon (.cap)
? Network Associates Sniffer - DOS (.cap,.enc,.trc,fdc,.syc)
? Network Associates Sniffer - Windows (.cap)
? Network Instruments Observer version 9 (.bfr)
? Novell LANalyzer (.tr1)
? Sun snoop (.snoop,.cap)
? Visual Networks Visual UpTime traffic (.*)
5.4. 合并捕捉文件
有時(shí)候你需要將多個(gè)捕捉文件合并到一起。例如：如果你對多個(gè)接口同時(shí)進(jìn)行捕捉，合并就非常有用(Wireshark實(shí)際上不能在同一個(gè)實(shí)體運(yùn)行多次捕捉，需要開啟多個(gè)Wireshark實(shí)體)
有三種方法可以合并捕捉文件：
? 從"File"菜單使用，menu item “Merge”(菜單項(xiàng) “合并”)，打開合并對話框，見第 5.4.1 節(jié) “合并文件對話框”
? 使用拖放功能，將多個(gè)文件拖放到主窗口。Wireshark會(huì)創(chuàng)建一個(gè)臨時(shí)文件嘗試對拖放的文件按時(shí)間順序進(jìn)行合并。如果你只拖放一個(gè)文件，Wireshark可能(只是)簡單地替換已經(jīng)打開的文件。
? 使用mergecap工具。該工具是在命令行進(jìn)行文件合并的。它提供了合并文件的豐富的選項(xiàng)設(shè)置。見???
5.4.1. 合并文件對話框
通過該對話框可以選擇需要合并的文件，并載入合并它們。
首先你會(huì)被提示有一個(gè)文件未保存
如果當(dāng)前文件未保存，Wireshark會(huì)在啟動(dòng)合并對話框之前提示你是否保存文件。
此處的對話框的大多數(shù)內(nèi)容與"Open Capture Files/打開捕捉文件"對話框類似，參見第 5.2.1 節(jié) “打開捕捉文件對話框”
合并對話框中用于合并的控制選項(xiàng)：
將包插入已存在文件前
將選擇文件內(nèi)的包插入到當(dāng)前已經(jīng)載入文件之前
按時(shí)間順序合并文件
將當(dāng)前選擇的文件和已載入的文件里的所有包按時(shí)間順序合并
追加包到當(dāng)前文件
將選擇文件的包插入到當(dāng)前載入文件的末尾
表 5.3. 不同環(huán)境下的"Merge Capture File As"對話框
圖 5.7. Windows下的"合并"對話框

Microsoft Windows(GTK2 installed)

此對話框一般都帶有一些wireshark擴(kuò)展
圖 5.8. 新版GtK下的合并話框

Unix/Linux:GTK version >= 2.4

這是在Gimp/GNOME桌面環(huán)境下的合并對話框
圖 5.9. 舊版GTK下的合并對話框

Unix/Linux: GTK version < 2.4 / Microsoft Windows (GTK1 installed)

5.5. 文件集合
在進(jìn)行捕捉時(shí)(見：第 4.6 節(jié) “捕捉文件格式、模式設(shè)置”)如果設(shè)置"Multiple Files/多文件"選項(xiàng)，捕捉數(shù)據(jù)會(huì)分割為多個(gè)文件，稱為文件集合.
大量文件手動(dòng)管理十分困難，Wirreshark的文件集合特性可以讓文件管理變得方便一點(diǎn)。
Wireshark是如何知道一個(gè)文件所屬的文件集合t的?
文件集合中的文件名以前綴號碼+""+號碼+""+日期時(shí)間+后綴的形式生成的。類似于：“test_00001_20060420183910.pcap”.文件集合所有的文件都有一個(gè)共同的前綴(例如前面的"test")和后綴(例如:".pcap")以及變化的中間部分。
要查找一個(gè)文件集合的所有文件。Wireshark會(huì)掃描當(dāng)前載入文件的目錄下的所有文件，找到那些和當(dāng)前文件名具有相同部分（前綴和后綴）的作為文件集合。
這個(gè)簡單的機(jī)制通常能正常運(yùn)行，但也有它的弊端。如果幾次進(jìn)行的捕捉具有相同的前綴和后綴，Wireshark會(huì)將它們看作同一個(gè)文件集合。如果文件被更名或者放在不同的目錄下，這樣的按文件名查找機(jī)制會(huì)無法找到文件集合的所有文件。
使用"File"菜單項(xiàng)的子菜單"File Set"可以對文件集合集合進(jìn)行很方便的控制。
? List Files 對話框顯示一個(gè)對話框列出所有被識別出來屬于當(dāng)前文件集合的文件列表。
? Next Files 關(guān)閉當(dāng)前文件，打開文件集合列表中的下一個(gè)文件。
? Previous Files 關(guān)閉當(dāng)前文件，打開文件集合列表中的前一個(gè)文件。
5.5.1. 文件列表對話框
圖 5.10. 文件列表對話框

每行包含文件集合中的一個(gè)文件的相關(guān)信息。
? Filename 文件名稱。如果你雙擊文件名稱(或者單擊單選鈕)，當(dāng)前文件會(huì)被關(guān)閉，同時(shí)載入對應(yīng)的文件。
? Created 文件創(chuàng)建時(shí)間。
? Last Modified 最后一次修改文件的時(shí)間。
? size 文件的大小。
最后一行"…indirctory:"顯示所有文件所在的目錄。
在每次捕捉文件被打開、關(guān)閉時(shí)，對話框的內(nèi)容會(huì)變化。
Close按鈕關(guān)閉該對話框。
5.6. 導(dǎo)出數(shù)據(jù)
Wireshark支持多種方法，多種格式導(dǎo)出包數(shù)據(jù)，本節(jié)描述Wireshark常見的導(dǎo)出包數(shù)據(jù)方法。
注意
個(gè)別數(shù)據(jù)需要使用許多特殊方式導(dǎo)出，在合適的時(shí)候我們會(huì)對其進(jìn)行介紹。
XXX - add detailed descriptions of the output formats and some sample output, too./同樣需要對導(dǎo)出格式進(jìn)行介紹，同樣也需要一些范例范例
5.6.1. "Export as Plain Text File"對話框
導(dǎo)出包數(shù)據(jù)為"plain AscⅡ "文本文本見，適合打印包數(shù)據(jù)。
圖 5.11. "Export as Plain Text File"對話框

? Export to file:導(dǎo)出包數(shù)據(jù)為指定的文件
? Packet Range 參見第 5.8 節(jié) “包范圍選項(xiàng)”
? Packet Details 參見???
5.6.2. “Export as PostScript File” 對話框
導(dǎo)出數(shù)據(jù)為PostScript格式，PostScript是一種打印格式。
提示
PostScribt文件可以使用ghostscrip轉(zhuǎn)換為PDF格式。例如導(dǎo)出文件名為foo.ps，然后調(diào)用ps2pdf foo.ps命令就可以進(jìn)行轉(zhuǎn)換。
圖 5.12. “Export as PostScript File” 對話框

? Export to file: 導(dǎo)出包數(shù)據(jù)為指定的文件
? Packet Range: 參見第 5.8 節(jié) “包范圍選項(xiàng)”
? Packet Details: 參見???
5.6.3. “Export as CSV (Comma Separated Values) File” 對話框
注：筆者認(rèn)為此處應(yīng)該增加截屏，因?yàn)槲业膞p下界面與前圖風(fēng)格迥異，這里就不提供了
導(dǎo)出包的摘要為CVS格式，可以被電子表格程序使用。
? Export to file 導(dǎo)出包數(shù)據(jù)為指定的文件
? Packet Range 參見第 5.8 節(jié) “包范圍選項(xiàng)”
5.6.4. “Export as PSML File” 對話框
導(dǎo)出包數(shù)據(jù)為PSML格式，它是一種僅包含包摘要信息的xml格式。PSML格式的說明參見：http://www.nbee.org/Docs/NetPDL/PSML.htm.
圖 5.13. "Export as PSML File"對話框

? Export to file:導(dǎo)出包數(shù)據(jù)為指定的文件
? Packet Range: 參見第 5.8 節(jié) “包范圍選項(xiàng)”
上圖沒有諸如Packet details的選項(xiàng)，因?yàn)镻SML文件格式有特殊要求，不包含這些內(nèi)容。
5.6.5. “Export as PDML File” 對話框
導(dǎo)出數(shù)據(jù)包為PDML格式，PDML是包含包詳情的xml格式文件。PDML文件的說明見:http://www.nbee.org/Docs/NetPDL/PDML.htm
注意
PDML格式還沒有發(fā)行版，Wireshark執(zhí)行PDML還處在測試階段，期望外來版本會(huì)有所變化。
圖 5.14. "Export as PDML File"對話框

? Export to file:將包數(shù)據(jù)導(dǎo)出到
? Packet Range: 參見第 5.8 節(jié) “包范圍選項(xiàng)”
上述對話框里沒有諸如Packet details選項(xiàng)，這是由于PDML格式約定的內(nèi)容決定的。
5.6.6. “Export selected packet bytes” 對話框
圖 5.15. “Export Selected Packet Bytes” 對話框

? Name: 導(dǎo)出數(shù)據(jù)包為文件
? Save in folder:導(dǎo)出數(shù)據(jù)包到指定目錄
? Browser for other folders 通過瀏覽來指定導(dǎo)出數(shù)據(jù)的目錄。
5.6.7. “Export Objects” 對話框
這個(gè)對話框是用來掃描當(dāng)前打開包文件或者是正在捕捉中的包文件，將其中的對象，如HTML文檔，圖片文件，可執(zhí)行文件等等任何可以通過HTTP傳輸?shù)膶ο筮M(jìn)行重組集合，讓你可以將他們保存刀磁盤。如果捕捉正在進(jìn)行中，列表會(huì)在發(fā)現(xiàn)新對象之后的幾秒內(nèi)立即更新。保存的對象不需要進(jìn)行額外處理就可以被對應(yīng)的查看工具打開，或者直接運(yùn)行(如果它可以在Wireshark所在的平臺運(yùn)行的話)。這項(xiàng)功能在GTK1下的Wireshark中無法使用。
圖 5.16. "Export Objects"對話框

各列說明
Packet num
包含該對象數(shù)據(jù)的包的數(shù)目，有時(shí)候多個(gè)對象可能包含在同一個(gè)包里。
Hostname
作為服務(wù)器相應(yīng)HTTP請求發(fā)送對象的主機(jī)的主機(jī)名。
Content Type
對象的HTTP內(nèi)容類型
Bytes
對象的字節(jié)數(shù)
Filename
URL的最后一部分(最后一個(gè)"/"之后)。通常這部分是文件名，但有時(shí)是一個(gè)又常又復(fù)雜的字符串，這通常表明該文件是一個(gè)"HTTP POST"請求。(類似于填寫表單以后通過CGI提交后跳轉(zhuǎn)頁面的URL)
按鈕說明：
Help
打開本節(jié)的用戶手冊(5.6.7節(jié)？)
Close
關(guān)閉該對話框
Save As
用指定文件名保存當(dāng)前選擇對象。默認(rèn)文件名是filename列中顯示的對象文件名。
Save All
將列表中所有對象按filename列顯示名稱保存。系統(tǒng)會(huì)提示你選擇哪個(gè)目錄/文件夾保存他們。如果文件名在當(dāng)前操作系統(tǒng)或者文件系統(tǒng)下不合法,Wireshark會(huì)提示錯(cuò)誤，該對象不會(huì)被保存(但其他對象會(huì)被保存)。
5.7. 打印包
要打印包，選擇File菜單的"Print…"菜單項(xiàng)。這時(shí)會(huì)彈出如圖 5.17 “ “Print” 對話框”所示的打印對話框。
5.7.1. 打印 對話框
圖 5.17. “Print” 對話框

下面的字段在打印對話可用。
Printer
該字段包括一對互斥的單選鈕
Print Text
指定包打印為plain text格式
PostScript
在打印過程中使用PostScrtipt打印軟件生成打印輸出。[15]
Output to file
打印為文件，文件名使用輸入的字段或者在瀏覽按鈕選擇。
如果你沒有選擇Output to file:復(fù)選框,你輸入字段的地方或Browse。。按鈕都是灰色。
Print command
設(shè)置打印時(shí)使用的命令
注意
打印命令在Windows平臺不可用。
用于打印的命令通常是lpr.You would change it to specify a particular queue if you need to print to a queue other than the default.例如:
lpr -Pmypostscript
如果沒有選中Output to file,該字段將是灰色不可用的。
Packet Range
需要要被打印的包，參見：第 5.8 節(jié) “包范圍選項(xiàng)”
Packet Format
選擇輸出文件的格式。你可以選擇包以何種方式打印包。見圖 5.19 “"Packet Format"選項(xiàng)卡”
5.8. 包范圍選項(xiàng)
在前面提到的很多輸出對話框,以及其他相關(guān)的對話框(比如捕捉)都有這個(gè)"Packet Range"選項(xiàng)，它可以對輸出哪些包進(jìn)行控制。
圖 5.18. "Packet Range"選項(xiàng)卡

如果設(shè)置Captured按鈕，所有被輸出規(guī)則選中的包都會(huì)被導(dǎo)出，如果設(shè)置Displayed按鈕，則只有顯示中的包被規(guī)則選中的才會(huì)導(dǎo)出。
All packets
處理所有包
Selected packet only
僅處理被選中的包
Marked packets only
處理被標(biāo)記的包
From first to last marked packet
處理第一個(gè)被標(biāo)記的包，到最后一個(gè)被標(biāo)記的包的加上之間的所有包。
Specify a packet range
處理用戶指定范圍內(nèi)的包，例如 5,50-15,20- 會(huì)處理編號為5，編號10-15之間的包(包括10，15)，以及編號20到最后一個(gè)包。
5.9. 包格式選項(xiàng)
包格式選項(xiàng)卡在很多輸出對話框都能看到，它可以指定包的那些部分會(huì)被輸出。
圖 5.19. "Packet Format"選項(xiàng)卡

Packet summary line
導(dǎo)出包的摘要行，就是"Packet List"面板的內(nèi)容
Packet Details
導(dǎo)出Packet Details樹
All collaspsed
"Packet Details"面板在"all collapsed"狀態(tài)下的所有信息(折疊所有分支)
As displayed
"Packet Details"面板當(dāng)前狀態(tài)下的信息
All expanded
"Packet Details"面板"all expanded"狀態(tài)下的信息(展開所有分支)
Packet bytes
導(dǎo)出包字節(jié)，就是"Packet Bytes"面板的內(nèi)容
Each Packet on a new page
輸出是每個(gè)包單獨(dú)一頁(例如，如果保存/打印成text文件，會(huì)在包之間加上分節(jié)符)

---

[15] 譯者注：此處需要說明的是，如果沒有打印機(jī)，或者不想打印，你應(yīng)該在后面指定Output to file,指定打印輸出未知，另，out put to file輸出的后綴名是.out,如果想用acrobat導(dǎo)入，可以考慮將后綴名修改為.ps,這樣可以被直接識別，當(dāng)然，直接把文件拖放到Acrobat Distiller也可以直接生成PDF文件。
另：使用PostScript輸出的文件具有良好的形式，比如在頁首會(huì)加上列名，而直接打印為print text卻沒有這樣的內(nèi)容。
?
第 6 章 處理已經(jīng)捕捉的包
6.1. 瀏覽您捕捉的包
在你已經(jīng)捕捉完成之后，或者打開先前保存的包文件時(shí)，通過點(diǎn)擊包列表面版中的包，可以在包詳情面板看到關(guān)于這個(gè)包樹狀結(jié)構(gòu)以及字節(jié)面版
通過點(diǎn)擊左側(cè)"+"標(biāo)記,你可以展開樹狀視圖的任意部分。你可以在面板點(diǎn)擊任意字段來選擇它。例如：在下圖圖 6.1 “Wireshark選擇了一個(gè)TCP包后的界面”顯示的就是選中TCP字段。同樣可以選擇ＴＣＰ包頭的應(yīng)答號(ack:190)，同時(shí)會(huì)出現(xiàn)在下方的字節(jié)瀏覽面版中。[16]
圖 6.1. Wireshark選擇了一個(gè)TCP包后的界面

在Wireshark正在捕捉時(shí)，您也可以進(jìn)行同樣的選擇。(前提是您在捕捉選項(xiàng)對話框選擇了實(shí)時(shí)更新列表(update list of packet in real time ))
另外，您可以使用分離的窗口瀏覽單獨(dú)的數(shù)據(jù)包，見圖 6.2 “在分離窗口瀏覽包” ，想要這樣做，你只需要在選中包列表面版中您感興趣的包，菜單 Display->Show Packet in New Windows 。它可以讓你很輕松地比較兩個(gè)或多個(gè)包。
圖 6.2. 在分離窗口瀏覽包

6.2. 彈出菜單項(xiàng)
在包列表面板，包詳情面板，包字節(jié)面板點(diǎn)擊右鍵，都會(huì)出現(xiàn)對應(yīng)的上下文彈出菜單
6.2.1. 包列表面板的彈出菜單
圖 6.3. 包列表面板彈出菜單

下表列出了該面版可用彈出菜單項(xiàng)的概述，主菜單能實(shí)現(xiàn)同樣功能的菜單項(xiàng)，以及簡短的描述。
表 6.1. 包列表彈出菜單項(xiàng)
項(xiàng)目 對應(yīng)主菜單項(xiàng) 描述
Mark Packet(toggle) Edit 標(biāo)記/取消標(biāo)記包
Set Time Reference(toggle) Edit 設(shè)置/重設(shè)時(shí)間參考

Apply as Filter Analyze 用當(dāng)前選中的項(xiàng)作為過濾顯示
Prepare a Filter Analyze 準(zhǔn)備將當(dāng)前選擇項(xiàng)作為過濾器
Conversation Filter - 將當(dāng)前選擇項(xiàng)的地址信息作為過濾設(shè)置。選中該選項(xiàng)以后，會(huì)生成一個(gè)顯示過濾，用于顯示當(dāng)前包兩個(gè)地址之間的會(huì)話(不分源目標(biāo)地址)。(XXX - add a new section describing this better.—作者似乎建議添加新章節(jié)詳細(xì)描述)
STCP - 有待補(bǔ)充
Follow TCP Stream Analyze 瀏覽兩個(gè)節(jié)點(diǎn)間的一個(gè)完整TCP流所有數(shù)據(jù)
Follow SLL Stream Analyze 同上，將TCP替換成SSL理解

Copy/Summary(TEXT) - 將摘要字段復(fù)制到剪貼板。(以tab分開的文本)
Copy/Summary(CVS) - 將摘要字段復(fù)制到剪貼板，(CVS格式,逗號分開)
Copy/As Filter - 以當(dāng)前選擇項(xiàng)，建立一個(gè)顯示過濾器，復(fù)制到剪貼板
Copy/Bytes(Offset Hex Text) - 以16進(jìn)制轉(zhuǎn)儲格式將包字節(jié)復(fù)制到剪貼板。
Copy/Bytes(Offset Text) - 以16進(jìn)制轉(zhuǎn)儲格式將包字節(jié)復(fù)制到剪貼板。不包括文本部分。
Copy/ Bytes (Printable Text Only) - 以ASCII碼格式將包字節(jié)復(fù)制到剪貼板，包括非打印字符。
Copy/ Bytes (HEX Stream) - 以16進(jìn)制未分段列表數(shù)字方式將包字節(jié)復(fù)制到剪貼板，（an unpunctuated list of hex digits 應(yīng)該有專有名詞，有興趣的查一下）
Copy/ Bytes (Binary Stream) - 以raw binary格式將包字節(jié)復(fù)制到剪貼板。數(shù)據(jù)在剪貼板以"MIME-type application/octet-stream"存儲，該功能在GTK+1.x環(huán)境下不支持
Export Selected Packet Bytes… File 與文件菜單同名項(xiàng)目功能一樣。允許將Raw packet 字節(jié)轉(zhuǎn)換為二進(jìn)制文件它

Decode As… Analyze 在兩個(gè)解析之間建立或修改新關(guān)聯(lián)(不知所云)
Print… File 打印包
Show Packet in New Window View 在新窗口顯示選中的包

6.2.2. 包詳情面板的彈出菜單
圖 6.4. 包詳情面板彈出上下文菜單項(xiàng)

下表介紹了包詳情列表菜單項(xiàng)的功能描述，及其他可以提供該功能的主菜單
表 6.2. 包詳情面板彈出上下文菜檔項(xiàng)
項(xiàng)目 對應(yīng)的主菜單 描述
Expand Subtrees View 展開當(dāng)前選擇的子樹
Expand All View 展開捕捉文件的所有包的所有子樹
Collapse All View 關(guān)閉包中所有已展開的子樹

Copy/Description - 復(fù)制選擇字段顯示的文本到剪貼板
Copy/AS Filter Edit 將選擇項(xiàng)目作為顯示過濾內(nèi)容復(fù)制到剪貼板
Copy/Bytes(Offset Hex Text) - 將包字節(jié)以Hexdump-like格式存儲到剪貼板；類似于包列表面板中同名的命令，但是拷貝結(jié)果僅僅是樹分支中被選中部分(包字節(jié)面板中被選中字節(jié))
Copy/Bytes(Offset Hex) - 以Hexdump-linke格式保存到剪貼，不包括文本部分。類似于包列表命令，不同之處在于此處僅拷貝樹分支選中部分(包字節(jié)面板選中部分)
COPY/Bytes (printable Text Only) - 以ASCII格式拷貝包字節(jié)，非打印字符除外；類似于包列表面板中同樣的命令。不同點(diǎn)在于此處僅拷貝選擇的樹分支（包字符被選擇部分）
Copy/Bytes(Hex Stream) - j以unpunctuated list hex digits形式保存到剪貼板，類似于包列表面板中的命令，不同之處在于僅復(fù)制選中子樹部分(包字節(jié)面板選中部分)
Copy/Bytes(Binary Stream) - 以raw binary格式拷貝到剪貼板；類似于包列表面板中的命令，不同之處在于僅拷貝選中部分子樹(包字節(jié)面板選中部分)。數(shù)據(jù)以MIME-type“Application/octet-stream”存儲在剪貼板.該功能在GTK+1.x下不可用
Export Selected Packet Bytes… File 同文件菜單中的同名項(xiàng)一樣。導(dǎo)出raw packet 字節(jié)為二進(jìn)制文件。

Apply as Filter analyze 將當(dāng)前選擇項(xiàng)作為過濾內(nèi)容，并應(yīng)用
Preapare a Filter Analyze 將當(dāng)前選擇項(xiàng)作為過濾內(nèi)容，但不立即應(yīng)用
Follow TCP Stream Analyze 追蹤兩個(gè)節(jié)點(diǎn)見，被選擇包所屬TCP流的完整數(shù)據(jù)
Follow SSL Stream Analyze 同上

Wiki Protocol Page - 顯示當(dāng)前選擇協(xié)議的對應(yīng)WIKI網(wǎng)站協(xié)議參考頁
Filter Field Reference - 顯示當(dāng)前過濾器的WEB參考
Protocol Preferences… - 如果協(xié)議字段被選中，點(diǎn)擊該選項(xiàng)，打開屬性對話框，選擇對應(yīng)協(xié)議的頁面，???

Decode As… Analyze 更改或應(yīng)用兩個(gè)解析器之間的關(guān)聯(lián)(什么鳥意思？)
Resolve Name… View 對選擇的包進(jìn)行名稱解析，不是指所有的包
Go to corresponding Packet … Go 跳到當(dāng)前選擇包的相應(yīng)包。

TNND,表格讓人崩潰
6.3. 瀏覽時(shí)過濾包
Wireshark有兩種過濾語法：一種是捕捉包時(shí)使用，另一種是顯示包時(shí)使用。本節(jié)介紹第二種過濾語法：顯示過濾。第一種過濾語法在第 4.8 節(jié) “捕捉時(shí)過濾”提到
顯示過濾可以隱藏一些你不感興趣的包，讓你可以集中注意力在你感興趣的那些包上面。你可以用從以下幾個(gè)方面選擇包:
? 協(xié)議
? 預(yù)設(shè)字段
? 字段值
? 字段值比較
? 。。。以及許多
根據(jù)協(xié)議類型選擇數(shù)據(jù)報(bào)，只需要在Filter框里輸入你剛興趣的協(xié)議，然后回車開始過濾。???顯示了你輸入tcp進(jìn)行過濾后的圖。
圖 6.5. 用TCP協(xié)議過濾

或許你沒有注意到，上圖顯示的已經(jīng)僅有TCP協(xié)議了（從圖中可以看到1-10號包已經(jīng)被隱藏）。因?yàn)榘木幪柺枪潭ú蛔兊?#xff0c;所以第一個(gè)包顯示的編號是11。
注意
當(dāng)你使用過濾時(shí)，所有的包依然保留在捕捉文件里。顯示過濾只是更改捕捉文件的顯示方式而非內(nèi)容。
你只能對Wireshark可以識別的協(xié)議進(jìn)行過濾。你也可以對解析器已經(jīng)添加到樹視圖的字段進(jìn)行過濾，但僅限于解析器已經(jīng)為字段加上了協(xié)議縮寫的。在Add Expression…對話框可以看到可用的字段列表.詳見第 6.5 節(jié) ““Filter Expression/過濾表達(dá)式”對話框”
例如：想要限制包列表面板僅顯示來自或指向192.168.0.1的包，可以使用ip.addr==192.168.0.
注意
點(diǎn)擊Clear可以移除過濾
6.4. 建立顯示過濾表達(dá)式
Wireshark提供了簡單而強(qiáng)大的過濾語法，你可以用它們建立復(fù)雜的過濾表達(dá)式。你可以比較包中的值，合并表達(dá)式為多個(gè)指定表達(dá)式。本節(jié)介紹了相關(guān)操作。
提示
你可以在Wireshark Wiki Display頁找到發(fā)現(xiàn)大量的顯示過濾范例。http://wiki.wireshark.org/DisplayFilters.

6.4.1. 顯示過濾字段
包詳情面板的每個(gè)字段都可以作為過濾使用。應(yīng)用這些作為過濾將會(huì)僅顯示包含該字段的包。例如：過濾字符串:TCP將會(huì)顯示所有包含TCP協(xié)議的包。
通過"Help/Support Protocals"/幫助/協(xié)議支持菜單項(xiàng)訪問"Display Filter Fields/顯示過濾字段"可以查看完整完整的過濾字段列表。
6.4.2. 比較值
你可以通過在許多不同的比較操作建立比較過濾。詳見表 6.3 “顯示濾鏡比較操作符”
提示
你可以使用下表中的英語和比較符(c-link)項(xiàng)達(dá)到同樣的效果，它們也可以混合使用。
表 6.3. 顯示濾鏡比較操作符
English C-linke 描述及范例
eq == Equal
ip.addr==10.0.0.5
ne != Not equal
ip.addr!=10.0.0.5
gt > Greate than
frame.pkt_len>10
lt < Less than
frame.pkt_len<128
ge >= Greater than or equal to
frame.pkt_len ge 0x100
le <= Equal
frame.pkt_len <= 0x20

6.4.3. 組合表達(dá)式
你可以用邏輯操作符將過濾表達(dá)式組合在一起使用，見表 6.4 “顯示過濾的邏輯操作符”
表 6.4. 顯示過濾的邏輯操作符
English C-linke 描述和范例
and && Logical AND
ip.addr10.0.0.5 and tcp.flags.fin
or || Logical OR
ip.addr10.0.0.5 or ip.addr==192.1.1.1
xor ^^ Logical XOR
tr.dst[0:3] == 0.6.29 xor tr.src[0:3] == 0.6.29
not ! Logical Not
not llc
[…] Substring Operator
Wireshark允許選擇一個(gè)序列的子序列。在標(biāo)簽后你可以加上一對[]號，在里面包含用逗號(是不是冒號？)分離的列表范圍。
eht.src[0:3] == 00:00:83
上例使用n:m格式指定一個(gè)范圍。在這種情況下，n是起始位置偏移(0表示沒有偏移，即是第一位，同理1表示向右偏移一位，便是第二位)，m是從指定起始位置的區(qū)域長度。
eth.src[1-2] == 00:83
上例使用n-m格式一個(gè)范圍。在本例中n表示起始位置偏移,m表示終止位置偏移
eth.src[:4]=00:00:83:00
上例使用:m格式，表示從起始位置到偏移偏移位置m。等價(jià)于0:m
eth.src[4:]=20:20
上例使用n:格式，表示從最后位置偏移n個(gè)序列
eht.src[2] == 83
上例使用 n 形式指定一個(gè)單獨(dú)的位置。在此例中中序列中的單元已經(jīng)在偏移量n中指定。它等價(jià)于n:1
eth.src[0:3,102,:4,4:,2] == 00:00:83:00:83:00:00:83:00:20:20:83
Wireshark 允許你將多個(gè)分號隔開的列表組合在一起表示復(fù)合區(qū)域，如上例所示

6.4.4. 常見的錯(cuò)誤
警告
在組合表達(dá)式中使用"!="操作符，像eth.addr,ip.addr,tcp.port,udp.port等元素可能會(huì)產(chǎn)生非預(yù)期效果
經(jīng)常有人用ip.addr 1.2.3.4 表達(dá)式來選擇所有包含ip地址為1.2.3.4的包，
如果有人想用ip.addr !=1.2.3.4 表達(dá)式來排除ip地址為1.2.3.4的包，很不幸。它不會(huì)像你期待的那樣。
相反，那個(gè)表達(dá)式為真值得條件是源地址或目標(biāo)地址中的任意一個(gè)不等于1.2.3.4即可。因此，那個(gè)表達(dá)式ip.addr !=1.2.3.4 可以被讀作：“該包包含的ip字段值必須不為1.2.3.4”。因?yàn)橐粋€(gè)ip數(shù)據(jù)報(bào)同含源地址和目標(biāo)地址，只要兩個(gè)地址有一個(gè)不為1,2,3,4表達(dá)式就為真。
接著上面的話題，如果你真想過濾捕捉文件中，ip地址包含1.2.3.4的包，正確的表達(dá)式應(yīng)該是!(ip.addr1.2.3.4)。它可以讀作:“顯示所有’字段名為ip.addr值存在1.2.3.4’為非真的包’”,換句話說:“篩選所有字段名ip.addr的值中未出現(xiàn)1.2.3.4的包”
6.5. “Filter Expression/過濾表達(dá)式”對話框
當(dāng)你熟悉Wireshark過濾系統(tǒng)，并了解你可以用那些標(biāo)簽進(jìn)行過濾以后，你可以快速簡單地輸入過濾字符
但如果你是一個(gè)Wireshark新手，或者處理一些相對陌生的協(xié)議，你可能很難通過直接輸入字符進(jìn)行過濾。過濾表達(dá)式對話框會(huì)幫你解決這些問題
提示
過濾表達(dá)式對話框是學(xué)習(xí)輸入表達(dá)式的不錯(cuò)的工具。(不知道用不錯(cuò)是不是有點(diǎn)委屈)
圖 6.6. 過濾表達(dá)式對話框

打開上圖的對話框以后。將會(huì)顯示一個(gè)按協(xié)議類型分組的樹分支列表，一個(gè)關(guān)系選擇框。
Field Name
從協(xié)議字段樹中選擇協(xié)議字段。每個(gè)可過濾協(xié)議都放在第一級。點(diǎn)擊+號展開列表，可以獲得關(guān)于那些協(xié)議的可過濾字段。
Relation
從可用關(guān)系列表中選擇關(guān)系。is present是一元關(guān)系，表示如果你選擇的字段存在，表達(dá)式就為真值。其它關(guān)系都為二元關(guān)系，需要附加數(shù)據(jù)(例如：一個(gè)值來匹配)來完成。
如果你從字段名列表選擇一個(gè)字段，并選擇一個(gè)二元關(guān)系(例如等于關(guān)系"=="),你可能需要輸入值，也有可能是范圍信息。
Value
在此輸入合適的配置值，輸入的值同樣要符合你選擇的field name的屬性值類型(例如 字符串).
Predefined values
有些協(xié)議字段包含預(yù)設(shè)值可用，這一點(diǎn)跟C語言中的枚舉變量類似。如果選擇的協(xié)議有這樣的值定義，你可以在此選擇。
Range
此處作者留空了
OK
如果你已經(jīng)建立好了表達(dá)式，點(diǎn)擊OK即可創(chuàng)建你的過濾字符串
Cancel
你可以點(diǎn)擊Cancle按鈕不做任何修改離開Add Expression。。。對話框。
6.6. 定義，保存過濾器
你可以定義過濾器，并給他們標(biāo)記以便以后使用。這樣可以省去回憶、重新輸入某些你曾用過的復(fù)雜過濾器的時(shí)間。
定義新的過濾器或修改已經(jīng)存在的過濾器有兩種方法：1、在Capture 菜單選擇Capture Filters…；2、在Analyze菜單選擇Display filter…。Wireshark 將會(huì)彈出如圖 6.7 “"捕捉過濾器"和"顯示過濾器"對話框”所示話框。
注意
因?yàn)椴蹲胶惋@示濾鏡的設(shè)定義和保存方式幾乎完全一樣。所以這里放在一起講，二者之間的不同點(diǎn)會(huì)做標(biāo)記
警告
你必須用Save來保存你的過濾器，OK或者Apply不會(huì)保存過濾器。關(guān)閉wireshark時(shí)會(huì)隨之消失
圖 6.7. "捕捉過濾器"和"顯示過濾器"對話框

New
增加一個(gè)新的過濾器到列表中。當(dāng)前輸入的Filter name，Filter string值將會(huì)被使用。如果這些都為空，將會(huì)被設(shè)置為"new"(是說filtername還是說二者都是？)
Delete
刪除選中的過濾器。如果沒有過濾器被選中則為灰色
Filter name
修改當(dāng)前選擇的過濾器的名稱
注意
過濾器名稱僅用在此處為了區(qū)分方便而已，沒有其他用處。你可以將多個(gè)過濾器使用同一個(gè)名稱，但這樣會(huì)很不方便
Filter string
修改當(dāng)前選中過濾器的的內(nèi)容。僅適用顯示過濾：在輸入時(shí)進(jìn)行語法檢查。
Add Expression
僅適用顯示過濾：打開增加表達(dá)式對話框，輔助創(chuàng)建過濾表達(dá)式。詳見第 6.5 節(jié) ““Filter Expression/過濾表達(dá)式”對話框”
OK
僅適用顯示過濾：為當(dāng)前顯示應(yīng)用選擇的過濾器，關(guān)閉當(dāng)前對話框。
save
保存當(dāng)前對話框設(shè)置。文件位置和格式見???
Close
關(guān)閉當(dāng)前對話框。將會(huì)放棄未保存的設(shè)置。
6.7. 查找包
當(dāng)你捕捉到一些包以后，或者讀取以前存儲的包的時(shí)候，可以很容易的進(jìn)行查找。從Edit菜單選擇Find Packet…菜單項(xiàng).Wireshark將會(huì)彈出圖 6.8 “"Find Packet/查找包"對話框”所示對話框.
6.7.1. 查找包對話框
圖 6.8. "Find Packet/查找包"對話框

首先你需要選擇查找方式：
Display filter
在Filter:輸入字段，選擇查找方向，點(diǎn)擊OK(過濾器方式)
例如：查找192.168.0.1發(fā)起的三步握手建立連接，使用如下字符:
ip.addr == 192.168.0.1 and tcp.flags.syn
顯示過濾的詳情，參見第 6.3 節(jié) “瀏覽時(shí)過濾包”
Hex Value
在包數(shù)據(jù)中搜索指定的序列
例如，使用"00:00"查找下一個(gè)包含兩個(gè)空字節(jié)的包數(shù)據(jù)。
String
在包中查找字符串，可以指定多種參數(shù)
輸入的查找值將會(huì)被進(jìn)行語法檢查。如果語法檢查無誤，輸入框背景色會(huì)變成綠色，反之則是紅色。
你可以指定查找的方向通過：
UP
向上查找包列表（包編號遞減方式）
Down
向下查找包列表(包編號遞增方式)
6.7.2. "Find Next/查找下一個(gè)"命令
適用最后一次的查找設(shè)置繼續(xù)查找
6.7.3. "Find Previous/查找上一個(gè)"命令
適用最后一次的設(shè)置修改查找方向，繼續(xù)查找。
6.8. 到指定的包
通過"Go"菜單可以很輕松跳轉(zhuǎn)到指定的包
6.8.1. "GO Back"返回命令
使用Go back返回包歷史記錄，工作方式跟web瀏覽器的頁面歷史記錄類似
6.8.2. "Go Forward /向前"命令
前進(jìn)到包的歷史記錄，工作方式跟web瀏覽器的頁面歷史記錄類似
6.8.3. "Go to Packet/到指定的包"對話框
圖 6.9. "GO to packet/轉(zhuǎn)到指定包"對話框

輸入包的編號，點(diǎn)擊OK，跳轉(zhuǎn)到指定的包(他媽的我怎么看都是jump to,怎么成了OK?).
6.8.4. "Go to Corresponding Packet/到對應(yīng)的包"命令
如果被選擇協(xié)議字段指向文件中的另一個(gè)包，該命令將會(huì)跳轉(zhuǎn)到那個(gè)包。
注意
該協(xié)議字段看起來有點(diǎn)像超鏈接(就像瀏覽器里的)，雙擊該字段也可以跳轉(zhuǎn)到對應(yīng)的包。
6.8.5. "Go to Firest Packet/到第一個(gè)包"命令
跳到第一個(gè)包
6.8.6. "Go to Last Packet/到最后一個(gè)包"命令
跳到最后一個(gè)包
6.9. 標(biāo)記包
你可以在包列表面板對包進(jìn)行標(biāo)記。被標(biāo)記的包背景色為黑色，不管原來設(shè)置的顏色是怎樣的。標(biāo)記包有助于分析大的包文件時(shí)進(jìn)行查找。
警告
包標(biāo)記并沒有存儲在捕捉文件中或任何其他地方，關(guān)閉文件后，所有標(biāo)記將會(huì)丟失。
在保存/導(dǎo)出/打印包時(shí)，你可以使用包標(biāo)記控制輸出包。標(biāo)記包以后，可以輸出進(jìn)行區(qū)間選擇。見第 5.8 節(jié) “包范圍選項(xiàng)”
對標(biāo)記包可以進(jìn)行三項(xiàng)操作
? Mark packet(toggle) 凍結(jié)以標(biāo)記的單個(gè)包
? Mark all packets 標(biāo)記所有包.
? Unmark all packets 取消所有標(biāo)記
這些標(biāo)記功能出現(xiàn)在"Edit"菜單。“Mark packet(toggle)”功能在彈出包列表面板彈出上下文菜單同樣可以找到。
6.10. 時(shí)間顯示格式及參考時(shí)間
在捕捉包的過程中，每個(gè)包都帶有時(shí)間戳。時(shí)間戳?xí)槐４嬖诓蹲轿募?#xff0c;以備將來分析用。
關(guān)于時(shí)間戳，時(shí)區(qū)以及相關(guān)的東西的描述介紹，見第 7.3 節(jié) “時(shí)間戳”
包列表的時(shí)間戳格式預(yù)設(shè)和精度可在瀏覽菜單選擇，見第 3.5 節(jié) “"File"菜單”
可用的預(yù)置格式如下:
? Date and Time of Day: 1970-01-01 01:02:03.123456 包捕捉的絕對日期和時(shí)間
? Time of Day: 01:02:03.123456 包捕捉的絕對時(shí)間
? Seconds Since Beginning of Capture: 123.123456 相對與文件開始捕捉的時(shí)間或第一個(gè)時(shí)間參考包的 到這個(gè)包之前的時(shí)間。(見第 6.10.1 節(jié) “包參考時(shí)間”)
? Seconds Since Previous Captured Packet: 1.123456 相對前一個(gè)捕捉包的時(shí)間
? Seconds Since Previous Displayed Packet: 1.123456 相對前一個(gè)顯示包的時(shí)間（過濾／顯示）
可用精度(正如你所致的，數(shù)字是以10進(jìn)制形式的)有：
? Automatic 使用載入文件格式具有的時(shí)間戳精度。(默認(rèn)選項(xiàng))
? Seconds, Deciseconds, Centiseconds, Milliseconds, Microseconds or Nanoseconds 強(qiáng)制使用你指定的精度。如果實(shí)際精度比你指定的低，會(huì)在后面自動(dòng)追加0.如果實(shí)際精度比你指定的高。數(shù)據(jù)會(huì)被截尾。
精度距離：如果你有個(gè)時(shí)間戳，顯示時(shí)使用：“Seconds Since Previous Packet”，：它的值可能是1.123456.默認(rèn)會(huì)采用"Automatic"精度設(shè)置，也就是來自libpcap格式文件的固有精度(百萬分之一秒)。如果你指定精度為秒，則顯示為1，如果你使用。納秒(nanoseconds),將會(huì)顯示為1.123456000.
6.10.1. 包參考時(shí)間
用戶可以為包設(shè)置時(shí)間參考。時(shí)間參考是所有后續(xù)包的起算時(shí)間。如果你想知道到某一個(gè)特定包的時(shí)間間隔,會(huì)很有用。例如：開始一個(gè)新請求。可以在一個(gè)包里面設(shè)置多個(gè)參考時(shí)間。
警告
時(shí)間參考不能保存到包文件中，關(guān)閉文件后就會(huì)丟失。
注意
時(shí)間參考可能僅僅在時(shí)間格式為"Seconds Since Beginning of Capture"模式下比較有用。其他時(shí)間顯示形式下可能要么是不能工作，要么是沒作用。
要使用時(shí)間參考，選擇Edit菜單下“Time Reference”項(xiàng)中的一個(gè)。詳見第 3.6 節(jié) “"Edit"菜單”,或者從包列表的右鍵彈出項(xiàng)選擇。
? Set Time Refernce(toggle) 切換當(dāng)前包時(shí)間參考狀態(tài)開關(guān)
? Find Next 在包列表面板查找下一個(gè)時(shí)間參考包
? Find Previous 在包列表面板查找前一個(gè)時(shí)間參考包
圖 6.10. 時(shí)間參考舉例

作為時(shí)間參考的包，在time列會(huì)有REF字符串作為標(biāo)記(見上圖第10個(gè)包)。所有后續(xù)包都會(huì)用最后一個(gè)時(shí)間參考來顯示時(shí)間。

---

[16] 不甚了解下方的16進(jìn)制轉(zhuǎn)儲怎么表達(dá)190的
?
第 7 章 高級
7.1. 說明
在本節(jié)將介紹Wireshark的一些高級特性
7.2. “Follow TCP Stream”
如果你處理TCP協(xié)議，想要查看Tcp流中的應(yīng)用層數(shù)據(jù)，"Following TCP streams"功能將會(huì)很有用。如果你項(xiàng)查看telnet流中的密碼，或者你想嘗試弄明白一個(gè)數(shù)據(jù)流。或者你僅僅只需要一個(gè)顯示過濾來顯示某個(gè)TCP流的包。這些都可以通過Wireshark的"Following TCP streams"功能來實(shí)現(xiàn)。
在包列表中選擇一個(gè)你感興趣的TCP包，然后選擇Wireshark工具欄菜單的"Following TCP Streams"選項(xiàng)(或者使用包列表鼠標(biāo)右鍵的上下文菜單)。然后，Wireshark就會(huì)創(chuàng)建合適的顯示過濾器，并彈出一個(gè)對話框顯示TCP流的所有數(shù)據(jù)。如圖 7.1 “"Follow TCP Stream"對話框”所示
注意
值得注意的是：Follow Tcp Stream會(huì)裝入一個(gè)顯示過濾來選擇你已經(jīng)選擇的Tcp流的所有包。
7.2.1. "Follow TCP Stream"對話框
圖 7.1. "Follow TCP Stream"對話框

流的內(nèi)容出現(xiàn)的順序同他們在網(wǎng)絡(luò)中出現(xiàn)的順序一致。從A到B的通信標(biāo)記為紅色，從B到A的通信標(biāo)記為藍(lán)色。當(dāng)然，如果你喜歡的話你可以從"Edit/Preferences"菜單項(xiàng)的"Colores"修改顏色。
非打印字符將會(huì)被顯示為圓點(diǎn)。XXX - What about line wrapping (maximum line length) and CRNL conversions?
在捕捉過程中，TCP流不能實(shí)時(shí)更新。想得到最近的內(nèi)容需要重新打開對話框。
你可以在此對話框執(zhí)行如下操作：

Save As 以當(dāng)前選擇格式保存流數(shù)據(jù)。

Print 以當(dāng)前選擇格式打印流數(shù)據(jù)。

Direction 選擇流的顯示方向(“Entire conversation”, “data from A to B only” or “data from B to A only”).

Filter out this stream 應(yīng)用一個(gè)顯示過濾，在顯示中排除當(dāng)前選擇的TCP流。

Close 關(guān)閉當(dāng)前對話框。移除對當(dāng)前顯示過濾的影響。
你可以用以下格式瀏覽流數(shù)據(jù)。

AsCII。在此視圖下你可以以ASCII凡是查看數(shù)據(jù)。當(dāng)然最適合基于ASCII的協(xié)議用，例如HTTP.

EBCDIC。For the big-iron freaks out there.（不知道這句是什么意思， EBCDIC 是IBM公司的字符二進(jìn)制編碼標(biāo)準(zhǔn)。）

HEX Dump. 允許你查看所有數(shù)據(jù)，可能會(huì)占用大量屏幕空間。適合顯示二進(jìn)制協(xié)議。

C Arrays. 允許你將流數(shù)據(jù)導(dǎo)入你自己的C語言程序。

RAW。 允許你載入原始數(shù)據(jù)到其他應(yīng)用程序做進(jìn)一步分析。顯示類似與ASCII設(shè)置。但“save As”將會(huì)保存為二進(jìn)制文件。
7.3. 時(shí)間戳
時(shí)間戳，時(shí)間戳的精度，等等是在讓人感到困惑。本節(jié)將向你介紹介紹Wireshark處理時(shí)間戳?xí)r都發(fā)生了什么。
在包被捕捉時(shí)，每個(gè)包在進(jìn)入時(shí)都被加上時(shí)間戳，這個(gè)時(shí)間戳將會(huì)保存在捕捉文件中，所以他們也可以在以后分析時(shí)使用。
那么說，時(shí)間戳是從哪里來的呢？是捕捉的時(shí)候產(chǎn)生的。Wireshark從 libpcap(WinPcap) libraray(庫)中獲得時(shí)間戳。而libpcap(winpcap)又是從操作系統(tǒng)內(nèi)核獲得的時(shí)間。如果捕捉數(shù)據(jù)是從捕捉文件載入的，很顯然Wireshark從文件中獲得時(shí)間戳數(shù)據(jù)。
7.3.1. Wireshark內(nèi)置
Wireshak內(nèi)置的格式使用的時(shí)間戳格式由日期(從1.1.1970開始)和時(shí)間（從凌晨起，納秒(10億分之一秒)為單位）組成。你可以調(diào)整Wireshark在包列表的時(shí)間戳顯示方式。見第 3.7 節(jié) “"View"菜單”的"Time Display Format"項(xiàng)。
當(dāng)讀取或?qū)懭氩蹲轿募r(shí)，Wireshark按需要在內(nèi)置格式和其他捕捉文件格式間進(jìn)行時(shí)間戳轉(zhuǎn)換。
捕捉時(shí)，Wireshark使用libpcap(WinPcap)捕捉庫（支持納秒精度）。除非你在專用的捕捉硬件上進(jìn)行捕捉，一般這樣的精度已經(jīng)足夠了。
7.3.2. 捕捉文件格式
Wireshark支持的捕捉文件格式都帶有時(shí)間戳。不同的捕捉文件格式的時(shí)間戳精度有很大不同，從秒"0"到納秒 “0.123456789"都有。大多數(shù)格式捕捉文件存儲的時(shí)間戳都是固定精度的，些捕捉文件格式甚至存儲了時(shí)間戳精度本身（可能是出于方便）。
大多數(shù)被Wireshark(和或多其他工具)使用的libpcap捕捉文件格式都僅支持固定的百萬分之一固定精度"0.123456”
注意
寫入數(shù)據(jù)到一個(gè)實(shí)際支持精度比你寫入數(shù)據(jù)精度低的格式文件中，可能會(huì)導(dǎo)致數(shù)據(jù)丟失。例如：如果你載入一個(gè)納秒精度的捕捉文件，然后將其存儲為libpcap文件(百萬分之一秒精度)。Wireshark很明顯會(huì)將時(shí)間精度調(diào)整為百萬分之一秒。
7.3.3. 準(zhǔn)確性
經(jīng)常有人問：“Wireshark的時(shí)間戳的準(zhǔn)確性如何？”。實(shí)際上，Wireshark自身不會(huì)創(chuàng)建時(shí)間戳，而是通過其他的地方得到時(shí)間并顯示他們。所以，準(zhǔn)確性取決于你實(shí)用的捕捉系統(tǒng)(操作系統(tǒng)，性能。。。)。因此以上問題很難通過通常的途徑回答。
注意
通常USB連接的網(wǎng)絡(luò)適配器提供的精度非常差。入口的實(shí)際上“占用很長的時(shí)間和走很曲折的路”才能穿過USB數(shù)據(jù)線到系統(tǒng)內(nèi)核。而數(shù)據(jù)包只有被系統(tǒng)內(nèi)核處理過以后才會(huì)打上時(shí)間戳，這種時(shí)間戳機(jī)制將會(huì)導(dǎo)致準(zhǔn)確性大大降低。
結(jié)論：如果你需要精確的時(shí)間戳，請不要使用USB連接的網(wǎng)卡！(筆者的注腳：有沒有網(wǎng)卡在USB硬件上提前加上時(shí)間戳的？)[17]

7.4. 時(shí)區(qū)
當(dāng)你在各地旅行時(shí)，會(huì)碰到時(shí)區(qū)的困擾。如果你從其他時(shí)區(qū)得到捕捉文件，時(shí)區(qū)問題會(huì)給你帶來更大的困擾:-)
首先，下面有兩個(gè)原因說明你為什么完全不需要考慮時(shí)區(qū)問題：
? 你僅對兩個(gè)包的時(shí)間戳的差別有興趣，你并不需要了解捕捉包的實(shí)際的日期和時(shí)間(通常是這樣)。
? 很可能你不會(huì)得到不同與你所在時(shí)區(qū)的包文件，所以你基本上碰不到時(shí)區(qū)問題。例如：你的團(tuán)隊(duì)的所有都和你工作在一個(gè)時(shí)區(qū)。
表 7.1.
什么是時(shí)區(qū)?
人們希望時(shí)間和日升日落對應(yīng)。早成應(yīng)該是6點(diǎn)鐘，天黑應(yīng)該在20：00.這些時(shí)間又隨著四季變化。如果地球上每個(gè)人使用同樣的全局時(shí)間，將只有一小部分人的日落和時(shí)間對應(yīng)，這將會(huì)導(dǎo)致混亂。
因此，人們將地球劃分為不同的區(qū)域，每個(gè)區(qū)域都有一個(gè)本地時(shí)間對應(yīng)本地的日升日落。
時(shí)區(qū)基于UTC(Coordinated Universal Time)或者Zulu 時(shí)間(軍事和航空)。舊有的GTM(格林尼治時(shí)間)已不再使用，因?yàn)樗猩僭S誤差(與UTC相比達(dá)到0.9秒)。UTC起始時(shí)區(qū)等于0(位于格林威治，英格蘭)，所有的時(shí)區(qū)和它的偏在在-12~+14小時(shí)之間！
例如：如果你住在柏林，你的時(shí)區(qū)將比UTC早1小時(shí)，所以你的時(shí)區(qū)應(yīng)該是"+1"(與UTC時(shí)間比較的差別，以小時(shí)為單位)。柏林的3點(diǎn)和UTC的兩點(diǎn)鐘表示同一個(gè)時(shí)刻。
有些地區(qū)要加以注意，因?yàn)槟抢锏臅r(shí)區(qū)不是用整小時(shí)的。(比如：新德里的時(shí)區(qū)是 UTC+05:30)
更多相關(guān)信息見http://en.wikipedia.org/wiki/time_zone和http://en.wikipedia.org/wiki/Coordinated_Universal_Time。

表 7.2.
什么是時(shí)DST?
Daylight Saving Time(DST),又稱為夏令時(shí)，目的是在夏天的幾個(gè)月里“拯救”白天的時(shí)間(夏季白晝較長，如果按照傳統(tǒng)的作息時(shí)間，比較可惜，不過我不認(rèn)為)。為了達(dá)到這個(gè)目的，很多國家（但不是所有的）增加一個(gè)DST小時(shí)到UTC中。所以你還得加個(gè)小時(shí)(極少數(shù)地方甚至是2小時(shí))的時(shí)差來計(jì)算你的時(shí)區(qū)。
不幸的是，DST并未在全世界范圍內(nèi)被啟用。你可能同樣注意到，北半球和南半球的夏令時(shí)是剛好相反的（比如：歐洲是夏季時(shí)，澳大利亞則是冬季）。
注意：不管DST怎樣，UTC在全年都是一致的。
更多相關(guān)信息見http://en.wikipedia.org/wiki/Daylight_saving.

7.4.1. 正確設(shè)置你的計(jì)算機(jī)的時(shí)區(qū)
如果你同世界各地的人一同工作，正確設(shè)置計(jì)算機(jī)時(shí)區(qū)非常有必要。
你應(yīng)當(dāng)按正確的順序設(shè)置時(shí)間和時(shí)區(qū)

設(shè)置正確的時(shí)區(qū)。

設(shè)置本地時(shí)間。
這樣的順序?qū)⒏嬖V你的計(jì)算機(jī)本地時(shí)間和時(shí)區(qū)。
提示
如果你去各地旅行，通常可能會(huì)犯嘗試調(diào)整計(jì)算機(jī)本地時(shí)間的錯(cuò)誤。實(shí)際上并不需要這樣做，僅僅調(diào)整時(shí)區(qū)就可以了。在計(jì)算機(jī)上，時(shí)間實(shí)際上沒有發(fā)生變化，你只是在不同時(shí)區(qū)采用不同的本地時(shí)間而已。
提示
你可以使用網(wǎng)絡(luò)時(shí)間協(xié)議(Network Time Protocol NTP)通過與互聯(lián)網(wǎng)上的NTP授時(shí)服務(wù)器同步來自動(dòng)調(diào)整你的計(jì)算機(jī)的時(shí)間。Wireshark支持的所有平臺都可以使用NTP客戶端，可參見http://www.ntp.org/的介紹。
7.4.2. Wireshark和時(shí)區(qū)的關(guān)系
那么，Wireshark和時(shí)區(qū)到底有什么關(guān)系？
Wireshark原生的捕捉文件格式(libpcap 格式),和一些其他格式，例如sniffer,EtherPeek,AiroPeek和 Sun snoop格式，都將包到達(dá)時(shí)間存儲為UTC時(shí)間。UNIX系統(tǒng)，Windos NT系統(tǒng)(NT 4.0,2000,xp,2003,vista)在系統(tǒng)內(nèi)部都將時(shí)間表示為UTC.當(dāng)Wireshark進(jìn)行捕捉時(shí)，無需進(jìn)行轉(zhuǎn)換。但如果你沒有正確設(shè)置時(shí)區(qū)，即使系統(tǒng)時(shí)鐘正確顯示了本地時(shí)間，UTC時(shí)間也有可能是錯(cuò)誤的。"windows 9X系列(win95,98,winMe)"在系統(tǒng)內(nèi)部以本地時(shí)間表示時(shí)間。在捕捉時(shí)，WinPcap必須將時(shí)間轉(zhuǎn)換為UTC時(shí)間再發(fā)送給Wireshark.如果時(shí)區(qū)設(shè)置錯(cuò)誤，轉(zhuǎn)換時(shí)間也不會(huì)正確。
其他捕捉格式，如Microsoft Network Monitor,Dos-based Sniffer,和Network Instruments Observer 格式，保存包到達(dá)時(shí)間為本地時(shí)間。
在Wireshark內(nèi)部，時(shí)間戳以UTC時(shí)間顯示；這意味著，如果要讀取那些保存包達(dá)到時(shí)間為本地時(shí)間的捕捉文件，Wireshark需要將本地時(shí)間轉(zhuǎn)換為UTC時(shí)間。
隨后Wireshark會(huì)始終以本地時(shí)間顯示時(shí)間戳。用于顯示捕捉數(shù)據(jù)的計(jì)算機(jī)會(huì)將UTC時(shí)間轉(zhuǎn)換為本地時(shí)間，并顯示這個(gè)這個(gè)本地時(shí)間。對于那些是以UTC值來存儲包到達(dá)時(shí)間的捕捉文件，這意味著到達(dá)時(shí)間會(huì)顯示為你所在時(shí)區(qū)的本地時(shí)間，這很有可能同與你不同時(shí)區(qū)的捕捉數(shù)據(jù)的人看到的到達(dá)時(shí)間不一樣。對于那些以本地時(shí)間存儲包到達(dá)時(shí)間的包文件，時(shí)區(qū)轉(zhuǎn)換會(huì)使用你所在的時(shí)區(qū)與UTC偏差，以及DST規(guī)則進(jìn)行轉(zhuǎn)換，這很可能會(huì)導(dǎo)致錯(cuò)誤時(shí)間顯示，將顯示設(shè)置修改改為顯示本地時(shí)間可能會(huì)修正這個(gè)錯(cuò)誤，這樣現(xiàn)實(shí)的時(shí)間值可能會(huì)與捕捉文件到達(dá)時(shí)間一致。
表 7.3. 各時(shí)區(qū)UTC到達(dá)時(shí)間
Los Angeles New York Madrid London Berlin Tokyo
Capture File(UTC) 10:00 10:00 10:00 10:00 10:00 10:00
Local Offset to UTC -8 -5 -1 0 +1 +9
Displayed Time(local Time) 02:00 05:00 09:00 10:00 11:00 19:00

舉例：假定有人在洛杉磯本地時(shí)間臨晨2:00點(diǎn)整捕捉了一個(gè)包，然后發(fā)送給你包含那個(gè)包的文件。那個(gè)包在包文件中的時(shí)間戳將是UTC時(shí)間10:00.你在柏林打開后會(huì)看到那個(gè)包顯示的時(shí)間是11:00點(diǎn)。
假設(shè)現(xiàn)在你和你的同事正在通過電話，視頻會(huì)議，或者網(wǎng)絡(luò)會(huì)議討論那個(gè)包文件。前面提到的那個(gè)包，在洛杉磯的朋友看到的依然是2:00,而你看到的卻是11:00。對同一個(gè)時(shí)間點(diǎn)，兩個(gè)地方會(huì)顯示不同的本地時(shí)間。
結(jié)論：你可能不介意你看到的時(shí)間戳的日期/時(shí)間顯示，除非你確實(shí)需要正確設(shè)置時(shí)間/日期。所以，如果你得到一個(gè)其他時(shí)區(qū)/DST的捕捉文件，你必須了解兩地的時(shí)區(qū)/DST的不同，對時(shí)間戳做合適的調(diào)整。無論怎樣，確定每臺電腦都正確設(shè)置了時(shí)間和時(shí)區(qū)。
7.5. 合并包
7.5.1. 什么是合并包
網(wǎng)絡(luò)協(xié)議經(jīng)常需要傳輸較大的數(shù)據(jù)塊，在傳輸時(shí)，底層協(xié)議可能不支持這樣大的數(shù)據(jù)塊(比如網(wǎng)絡(luò)包大小的限制)，或者是像像TCP一樣的流數(shù)據(jù),TCP流完全不知道數(shù)據(jù)分塊情況。(原文為:or is stream-based like TCP, which doesn’t know data chunks at all.)
在這種情況下，網(wǎng)絡(luò)協(xié)議必須確定數(shù)據(jù)塊分段的邊界，并(如果有必要)將數(shù)據(jù)塊分割為多個(gè)包。很明顯在接受端也需要有找到數(shù)據(jù)塊分段邊界的機(jī)制。
提示
在Wireshark里面，這個(gè)機(jī)制/方法被稱為合并/reasembling，在特定協(xié)議的描述可能不盡相同(例如：desegmentation, defragmentation, …)
7.5.2. 如何用Wireshark合并包
對那些可以被Wireshark識別的協(xié)議，Wireshark通常處理過程為：查找、解碼、顯示數(shù)據(jù)塊。Wireshark會(huì)嘗試查找數(shù)據(jù)塊對應(yīng)的包，在"Packet Bytes"面板的附加頁面顯示合并以后的數(shù)據(jù)。(關(guān)于“Packet Bytes”面板的詳細(xì)介紹，見第 3.7 節(jié) ““View"菜單”)
圖 7.2. 帶有合并包附加選項(xiàng)卡"Packet Bytes面板”

注意 合并可能發(fā)生在多個(gè)協(xié)議層，所以在"Packet Bytes"面板可能會(huì)見到多個(gè)附加頁選項(xiàng)卡 注意 你會(huì)在數(shù)據(jù)塊的最后一個(gè)包看到合并后的數(shù)據(jù)。

以HTTP Get應(yīng)答為例：請求數(shù)據(jù)(例如一個(gè)HTML頁面)返回時(shí)。Wireshark會(huì)顯示一個(gè)16進(jìn)制轉(zhuǎn)儲數(shù)據(jù)在"Packet Bytes"面板的一個(gè)名為"Uncompressed entity body"新選項(xiàng)卡。
默認(rèn)情況下，首選項(xiàng)中合并功能被設(shè)置為允許。在2005年9月之前默認(rèn)值是不允許。如果你的首選項(xiàng)是在200年9月之前設(shè)置的，你得確認(rèn)一下，合并包選項(xiàng)的設(shè)置。合并包對分析網(wǎng)絡(luò)包作用非常大。
允許和禁止合并包設(shè)置對協(xié)議來說還有兩項(xiàng)要求。

下層的協(xié)議(如：TCP)必須支持合并。通常協(xié)議支持合并與否都是通過協(xié)議的參數(shù)設(shè)置的。

高層協(xié)議協(xié)議(如:HTTP)必須使用合并機(jī)制來合并分片的數(shù)據(jù)。這些也同樣可以通過協(xié)議參數(shù)來允許或禁止。
在設(shè)置高層協(xié)議的時(shí)候tooltip會(huì)提醒你同樣需要考慮低層的協(xié)議設(shè)置。
7.6. 名稱解析
名字解析嘗試將數(shù)字地址解析成適合人們閱讀格式。有兩種方法可以完成這項(xiàng)工作：通過系統(tǒng)/網(wǎng)絡(luò)服務(wù)(例如獲取主機(jī)名)和/或 Wireshark指定的賦值文件。關(guān)于通過賦值文件進(jìn)行解析的詳情，可以參見???
名字解析可以分協(xié)議層進(jìn)行允許，禁止設(shè)置。
7.6.1. 名字解析的流弊
名字解析在使用Wireshark時(shí)有重要價(jià)值，甚至可以節(jié)約大量時(shí)間。不幸的是，名字解析也有它自己的缺點(diǎn)。
? 名字解析經(jīng)常會(huì)不可用。服務(wù)器可能不知道需要被解析的名字，或者服務(wù)器不可用。又或者需要解析的名字在賦值配置文件中找不到。
? 名字解析并沒有存儲在捕捉文件或其他什么地方。因此你以后打開捕捉文件或者在其他設(shè)備上打開文件有可能發(fā)現(xiàn)名字解析不可用。每次打開捕捉文件可能會(huì)發(fā)現(xiàn)部分地址略微發(fā)生變化，也許僅僅是因?yàn)闊o法連接到名字解析服務(wù)器(之前還是可以連接的)
? DNS可能會(huì)增加額外的包到Wireshark中。你會(huì)在包文件中看到由Wireshark請求DNS服務(wù)生成的包進(jìn)出你的機(jī)器。
? 解析名稱被Wireshark緩存。這對設(shè)備性能有一定需求。但是，如果名字解析信息在wireshark運(yùn)行時(shí)發(fā)生變化，wireshark不會(huì)注意到這個(gè)變化，因?yàn)樗菑木彺孢M(jìn)行解析的。如果這些信息在Wireshark運(yùn)行時(shí)變化了，例如獲取一個(gè)新DHCP租約，Wireshark不會(huì)注意到。(這些是針對DNS還是所有信息？有多少機(jī)器使用動(dòng)態(tài)dns注冊？)
提示
名字解析在包列表填入時(shí)已經(jīng)完成。如果一個(gè)包填入包列表以后被解析，包列表的內(nèi)容不會(huì)立即更改，相反解析結(jié)果會(huì)被緩存，你可以使用"View/Reload"重建包列表，來正確顯示名字解析結(jié)果。但在捕捉過程中這樣做沒有效果。
7.6.2. 以太網(wǎng)名字解析(mac層)
嘗試將MAC地址(e.g. 00:09:5b:01:02:03)解析為適合閱讀的地址（“Human readable”）
ARP名字解析(系統(tǒng)服務(wù)) Wireshark會(huì)向操作系統(tǒng)發(fā)出請求，將以太網(wǎng)地址轉(zhuǎn)換為對應(yīng)的IP地址(e.g. 00:09:5b:01:02:03->192.168.0.1)
Ethernet codes(ethers file) 如果ARP解析錯(cuò)誤，Wireshark會(huì)嘗試將以太網(wǎng)地址解析為已知設(shè)備名。這種解析需要用戶指定一個(gè)ethers文件為mac地址分配名稱。(e.g. 00:09:5b:01:02:03 -> homerouter).
Ethernet manufacturer codes (manuf file) 如果ARP解析和ethers文件都無法成功解析，Wireshark會(huì)嘗試轉(zhuǎn)換mac地址的前三個(gè)字節(jié)為廠商名的縮寫。mac地址的前三個(gè)字節(jié)是IEEE為各廠商分配的獨(dú)立地址(通過前三個(gè)字節(jié)可以得出每個(gè)網(wǎng)絡(luò)設(shè)備的供應(yīng)商，當(dāng)然這些也是可以被篡改的。，)(e.g. 00:09:5b:01:02:03 -> Netgear_01:02:03).
7.6.3. IP地址解析(網(wǎng)絡(luò)層)
將IP地址(e.g. 216.239.37.99)轉(zhuǎn)換為適合閱讀的地址/“Human readable”
DNS/ADNS name resolution(system/library service)Wireshark會(huì)向操作系統(tǒng)（或ADSN library 地址-名稱解析詞典?）請求，將IP地址轉(zhuǎn)換為相關(guān)聯(lián)的主機(jī)名(e.g. 216.239.37.99 -> www.1.google.com).此時(shí)DNS服務(wù)正在同步請求DNS服務(wù)器，所以Wireshark會(huì)停止相應(yīng)直到DNS請求的響應(yīng)返回。如果可能的話，你可以考慮使用ADNS library(這樣可以避免等待網(wǎng)絡(luò)相應(yīng)。)
警告
如果名稱解析服務(wù)器不可用，允許網(wǎng)絡(luò)名稱解析使Wireshark明顯變慢，因?yàn)閣ireshark會(huì)等待名字解析結(jié)果直到超時(shí)。在這種情況你應(yīng)該使用ADNS。
DNS vs. ADNS 這里是一個(gè)簡短的對比：兩個(gè)都是用來轉(zhuǎn)換ip地址為其他易讀的地址"Human readable"(域名)。通常DNS用gethostname()將地址轉(zhuǎn)換為名稱。通常首先是查詢hosts文件(e.g. /etc/hosts,/windows/system32/drivers/etc/hosts)看能否找到匹配實(shí)體。如果找不到，會(huì)向指定的DNS服務(wù)器查詢。
DNS和ADNS真正的區(qū)別在于等待DNS服務(wù)器名字解析。gethost()會(huì)一直等待知道名字被解析或者返回錯(cuò)誤。如果DNS服務(wù)器不可用，可能會(huì)占用很長時(shí)間(好幾秒)。ADNS服務(wù)會(huì)略微有點(diǎn)不同。它也同樣向DNS服務(wù)器發(fā)出請求，但不會(huì)等待服務(wù)器應(yīng)答。它會(huì)立即相應(yīng)Wireshark。此時(shí)的地址（和后續(xù)地址）在ADNS得到結(jié)果前不會(huì)顯示解析名稱。如前文書中說道，解析結(jié)果被保存在緩存中，你需要使用"View/Reload"菜單更新這些字段來顯示解析名稱。
hosts name resolution(hosts file) 如果dns解析不成功，Wireshark會(huì)嘗試使用用戶提供的主機(jī)文件將IP地址轉(zhuǎn)換為對應(yīng)的主機(jī)名。(e.g. 216.239.37.99 -> www.google.com)
7.6.4. IPX名稱解析(網(wǎng)絡(luò)層)
ipxnet name resolution (ipxnets file) (筆者未作解釋)
7.6.5. TCP/UDP端口名解析(傳輸層)
翻譯TCP/UDP端口(e.g.80)為更加易讀的玩意"human readable"[18]
TCP/UDP port conversion (system service) Wireshark會(huì)向操作系統(tǒng)發(fā)出請求，轉(zhuǎn)換TCP/UDP端口為已知名稱(e.g. 80->http)。
XXX - mention the role of the /etc/services file (but don’t forget the files and folders section)!
7.7. 校檢和
很多協(xié)議使用校檢和來驗(yàn)證數(shù)據(jù)的完整性/正確性。
提示
應(yīng)用校檢和在這里也被成為redundancy check(冗余校檢？)
校檢和是做什么的？
校驗(yàn)和是用來驗(yàn)證傳輸數(shù)據(jù)或存儲數(shù)據(jù)的數(shù)據(jù)部分的正確性。一個(gè)檢驗(yàn)和是數(shù)據(jù)部分進(jìn)行摘要計(jì)算的出的數(shù)字。
網(wǎng)絡(luò)數(shù)據(jù)在傳輸過程中經(jīng)常會(huì)產(chǎn)生錯(cuò)誤，例如數(shù)據(jù)錯(cuò)誤，字節(jié)重復(fù)等。數(shù)據(jù)接收方可能。
正因?yàn)閭鬏斶^程中會(huì)伴隨錯(cuò)誤，網(wǎng)絡(luò)協(xié)議會(huì)經(jīng)常使用校驗(yàn)和檢測這些錯(cuò)誤。發(fā)送方會(huì)對數(shù)據(jù)進(jìn)行檢驗(yàn)和計(jì)算，并將數(shù)據(jù)和檢驗(yàn)和一起發(fā)送。接收方使用同樣的方法計(jì)算數(shù)據(jù)部分的校驗(yàn)和，如果收到的校驗(yàn)和計(jì)算出來的校驗(yàn)和不匹配，就表示數(shù)據(jù)有錯(cuò)誤。
有些校驗(yàn)和方法可以通過計(jì)算得出發(fā)生需要被修復(fù)錯(cuò)誤的數(shù)據(jù)位置，并修復(fù)（簡單的）錯(cuò)誤。
如果那些錯(cuò)誤無法修復(fù)，接收方會(huì)丟棄錯(cuò)誤的數(shù)據(jù)包。根據(jù)協(xié)議的不同，數(shù)據(jù)丟失會(huì)僅僅被丟棄，也有可能發(fā)送端會(huì)根據(jù)數(shù)據(jù)丟失情況重傳需要的數(shù)據(jù)包。
使用校驗(yàn)和可以大量減少傳輸錯(cuò)誤數(shù)量。但任何檢驗(yàn)和算法都無法確保100%檢測到所有錯(cuò)誤，依然有少量的錯(cuò)誤會(huì)無法被檢測到。
校驗(yàn)和的算法有很多，例如最經(jīng)常被使用的檢驗(yàn)和算法CRC32（循環(huán)冗余校驗(yàn)）。特的的網(wǎng)絡(luò)協(xié)議選擇的校驗(yàn)算法取決于希望網(wǎng)絡(luò)媒介達(dá)到的出錯(cuò)率上限、錯(cuò)誤檢測的重要性，處理載入計(jì)算的性能，其他方面需要的性能。
關(guān)于檢驗(yàn)和的更多信息可以參考：http://en.wikipedia.org/wiki/Checksum
7.7.1. Wireshark校檢和驗(yàn)證
Wireshark會(huì)對很多協(xié)議進(jìn)行檢驗(yàn)和驗(yàn)證，如：TCP、IP。。。
它會(huì)和"normal receiver"做一樣的計(jì)算.然后在包詳情面板顯示檢驗(yàn)和字段的內(nèi)容，e.g.:[correct], [invalid, must be 0x12345678] 以及其他類似的內(nèi)容。
如果校驗(yàn)和驗(yàn)證選項(xiàng)被打開或正在進(jìn)行校驗(yàn)和檢測，合并包特性不會(huì)被執(zhí)行。這是為了避免錯(cuò)誤的的連接數(shù)據(jù)擾亂內(nèi)部數(shù)據(jù)。
7.7.2. Checksum offloading
檢驗(yàn)和計(jì)算可能由網(wǎng)絡(luò)網(wǎng)絡(luò)驅(qū)動(dòng)，協(xié)議驅(qū)動(dòng)，甚至是硬件完成。
例如：以太網(wǎng)傳輸硬件計(jì)算以太網(wǎng)循環(huán)容易校驗(yàn)，接受硬件驗(yàn)證這個(gè)校驗(yàn)。如果接受驗(yàn)證發(fā)現(xiàn)錯(cuò)誤，Wireshark將不會(huì)接收到這個(gè)包，以太網(wǎng)硬件會(huì)直接丟棄這個(gè)包。
高層校驗(yàn)通常是由協(xié)議執(zhí)行，并將完成后的包轉(zhuǎn)交給硬件。
比較新的網(wǎng)絡(luò)硬件可以執(zhí)行一些高級功能，如IP檢驗(yàn)和計(jì)算，這被成為checksum offloading。網(wǎng)絡(luò)驅(qū)動(dòng)不會(huì)計(jì)算校驗(yàn)和，只是簡單將校驗(yàn)和字段留空或填入無效信息，交給硬件計(jì)算。
注意
checksum offloading經(jīng)常會(huì)導(dǎo)致混亂，因?yàn)榫W(wǎng)絡(luò)包在檢驗(yàn)和計(jì)算之前轉(zhuǎn)交給Wireshark。Wireshark得到包的檢驗(yàn)和字段是空的，必然會(huì)顯示檢驗(yàn)和錯(cuò)誤，盡管這個(gè)包在從網(wǎng)絡(luò)硬件發(fā)出的時(shí)候是帶有校驗(yàn)和的。
Checksum offloading會(huì)引起混淆，讓你屏幕上看到大量的[invalid]信息，引起你的反感。前面提到過，錯(cuò)誤的檢驗(yàn)和會(huì)導(dǎo)致包無法合并，更難進(jìn)行包數(shù)據(jù)分析。
你可以采取兩種方法避免Checksum offloading 問題
? 在驅(qū)動(dòng)程序上關(guān)閉checksum offloading選項(xiàng)，如果可用的話。[19]
? 通過首選項(xiàng)關(guān)閉Wireshark上特定協(xié)議的校驗(yàn)和驗(yàn)證。

---

[17] 譯者注:前文提到，時(shí)間戳是Wireshark用庫獲取的時(shí)間加在包上的，不知為何有此一問。難道以后要識別硬件是否有時(shí)間戳功能。
[18] 應(yīng)該是指將端口翻譯為服務(wù)名
[19] 在Windows平臺如果驅(qū)動(dòng)支持，應(yīng)該是計(jì)算機(jī)管理->設(shè)備管理器->網(wǎng)絡(luò)適配器->對應(yīng)網(wǎng)卡的屬性-高級選項(xiàng)
?
第 8 章 統(tǒng)計(jì)
8.1. 說明
Wireshark提供了多種多樣的網(wǎng)絡(luò)統(tǒng)計(jì)功能
包括，載入文件的基本信息(比如包的數(shù)量)，對指定協(xié)議的統(tǒng)計(jì)(例如，統(tǒng)計(jì)包文件內(nèi)HTPP請求和應(yīng)答數(shù))，等等。
? 一般統(tǒng)計(jì)
o Summary：捕捉文件摘要
o Protocal Hierarchy: 捕捉包的層次結(jié)構(gòu)
o Endpoints 例如：通訊發(fā)起，終止方的ip地址
o Conversations 例如：兩個(gè)指定IP之間的通信
o IO Graphs 包數(shù)目隨時(shí)間變化的曲線圖。
? 指定協(xié)議統(tǒng)計(jì)
o Service Response Time 從發(fā)起請求到相應(yīng)請求的服務(wù)間隔時(shí)間。
o Various other 協(xié)議特有的統(tǒng)計(jì)
注意
協(xié)議特定的統(tǒng)計(jì)，需要有特定協(xié)議的細(xì)節(jié)了解。除非你對那個(gè)協(xié)議非常熟悉，統(tǒng)計(jì)結(jié)果不是那么那么容易理解的。
8.2. 摘要窗口
當(dāng)前捕捉文件的一般信息
圖 8.1. “Summary” 窗口

File
捕捉文件的一般的信息
Time
第一個(gè)包和最后一個(gè)包的時(shí)間戳
Capture
包捕捉完成時(shí)的一些信息(僅當(dāng)包數(shù)據(jù)已經(jīng)從網(wǎng)絡(luò)捕捉，還沒有從文件載入)
Display
與顯示有關(guān)的信息
Traffic
網(wǎng)絡(luò)傳輸?shù)南嚓P(guān)統(tǒng)計(jì)，如果設(shè)置了顯示過濾，你會(huì)看到兩列。Captured列顯示過濾前的信息，Displayed列顯示過濾后對應(yīng)的信息。
8.3. "Protocol Hierarchy"窗口
顯示捕捉包的分層信息
圖 8.2. “Protocol Hierarchy” 窗口

這個(gè)窗口現(xiàn)實(shí)的是捕捉文件包含的所有協(xié)議的樹狀分支。你可以展開或折疊分支，通過點(diǎn)擊+/-圖標(biāo)。默認(rèn)情況下，所有分支都是展開的。
每行包含一個(gè)協(xié)議層次的統(tǒng)計(jì)值
每列代表的意思
Protocol
協(xié)議名稱
%Packets
含有該協(xié)議的包數(shù)目在捕捉文件所有包所占的比例
Packet
含有該協(xié)議的包的數(shù)目
Bytes
含有該協(xié)議的字符數(shù)
MBit/s
該協(xié)議的帶寬，相對捕捉時(shí)間
End Packets
End Bytes
End MBit/s
注意
包通常會(huì)包含許多協(xié)議，有很多協(xié)議會(huì)在每個(gè)包中被統(tǒng)計(jì)。例如：截屏中包括99.17%的IP，85.83%的TCP協(xié)議(它們的和超過了100%)
注意
包的協(xié)議組成部分可以不包含高層協(xié)議，高層協(xié)議包統(tǒng)計(jì)百分比和可能并不等于100%，例如:截屏中TCP占85.83%，但是上層協(xié)議(HTTP…)卻比85%更少。這可能是因?yàn)門CP協(xié)議，例如：TCP ACK 包不會(huì)被統(tǒng)計(jì)到高層協(xié)議。
注意
一個(gè)單獨(dú)的包可以包含相同的協(xié)議不止一次，這種情況下，協(xié)議會(huì)被計(jì)數(shù)超過一次。例如某些通道配置的協(xié)議，IP層會(huì)出現(xiàn)兩次。(通道封裝的內(nèi)容包括ip層，傳輸時(shí)將封裝過在用IP封裝一次)
8.4. “Endpoints”
端點(diǎn)不著的統(tǒng)計(jì)
提示
如果在其他網(wǎng)絡(luò)工具工具中看到被稱為Hostlist/主機(jī)列表的東西，在這里就是Endpoint了。
8.4.1. 什么是Endpoint?
一個(gè)網(wǎng)絡(luò)端點(diǎn)是在特定的協(xié)議層的通信的邏輯端點(diǎn)。Wireshark端點(diǎn)統(tǒng)計(jì)會(huì)將列出下列端點(diǎn):
Ethernet
以太網(wǎng)端點(diǎn)顯示的是以太網(wǎng)MAC地址
Fibre Channel
筆者未描述
FDDI
FDDI端點(diǎn)是FDDI MAC地址
IPV4
IP端點(diǎn)是IP地址
IPX
筆者未介紹
TCP
TCP端點(diǎn)由IP地址和TCP端口組成，同樣的IP地址加上不同的端口號，表示的是不同的TCP端點(diǎn)
Token Ring
Token Ring(令牌環(huán))端點(diǎn)是Token Ring MAC地址
UDP
UDP端點(diǎn)是由IP地址和UDP端口組成，不同的UDP地址用同一個(gè)IP地址表示不同的UDP端點(diǎn)
Broadcast / multicast endpoints（廣播/多播端點(diǎn)）
廣播/多播通信會(huì)用額外的端點(diǎn)單獨(dú)顯示。當(dāng)然，這些端點(diǎn)都是虛擬端點(diǎn)，真實(shí)的通信會(huì)被所有(多播的一部分)列出的單播端點(diǎn)接收。
8.4.2. "Endpoints"窗口
該窗口顯示端點(diǎn)捕捉的統(tǒng)計(jì)信息
圖 8.3. "Endpoints"窗口

在該窗口中，每個(gè)支持的協(xié)議，都顯示為一個(gè)選項(xiàng)卡。選項(xiàng)標(biāo)簽顯示被捕捉端點(diǎn)數(shù)目(例如：“Ethernet :5"表示有5個(gè)ethenet 端點(diǎn)被捕捉到)。如果某個(gè)協(xié)議沒有端點(diǎn)被捕捉到，選項(xiàng)標(biāo)簽顯示為灰色(盡管可以查看選項(xiàng)卡對應(yīng)的頁面).
列表中每行顯示單個(gè)端點(diǎn)的統(tǒng)計(jì)信息。
Name resolution 如果選中該選項(xiàng)，將會(huì)對指定的協(xié)議層進(jìn)行名字解析(當(dāng)前選中的Ethernet endpoint 頁面是MAC層)。你可能注意到，第一行將前三個(gè)字節(jié)解析為"Netgear”,第二行地址被解析為IP地址(通過arp協(xié)議解析)，第三行解析為廣播地址(未解析時(shí)mac地址為:ff:ff:ff:ff:ff:ff)，最后兩行的MAC地址未被解析。
提示
該窗口可能會(huì)頻繁那更新內(nèi)容，在你進(jìn)行實(shí)時(shí)捕捉之前打開了它(或者在這期間打開了它)，也依然有用。
8.4.3. 特定協(xié)議的"Endpoint List"窗口
Before the combined window described above was available, each of its pages were shown as separate windows. Even though the combined window is much more convenient to use, these separate windows are still available. The main reason is, they might process faster for very large capture files. However, as the functionality is exactly the same as in the combined window, they won’t be discussed in detail here.
8.5. 會(huì)話/conversations
已經(jīng)捕捉的會(huì)話統(tǒng)計(jì)
8.5.1. 什么是會(huì)話/conversation?
一個(gè)網(wǎng)絡(luò)會(huì)話，指的是兩個(gè)特定端點(diǎn)之間發(fā)生的通信。例如，一個(gè)IP會(huì)話是兩個(gè)IP地址間的所有通信。
8.5.2. “Conversations/會(huì)話” window
除了列表內(nèi)容之外，會(huì)話窗口和端點(diǎn)窗口基本一樣，見第 8.4.2 節(jié) “"Endpoints"窗口”
圖 8.4. "Conversations"對話框

8.5.3. 協(xié)議指定“Conversation List/會(huì)話列表”窗口
Before the combined window described above was available, each of its pages were shown as separate windows. Even though the combined window is much more convenient to use, these separate windows are still available. The main reason is, they might process faster for very large capture files. However, as the functionality is exactly the same as in the combined window, they won’t be discussed in detail here.
8.6. "IO Graphs"窗口
用戶可配置的捕捉網(wǎng)絡(luò)數(shù)據(jù)圖形。
你可以設(shè)置五種不同顏色的圖形
圖 8.5. “IO Graphs” 窗口

用戶可以對一下內(nèi)容進(jìn)行設(shè)置。
Graphs
? Graph 1-5: 開啟1-5圖表(默認(rèn)僅開啟graph 1)
? Color: 圖表的顏色(不可修改)
? Filter:指定顯示過濾器(only the packets that pass this filter will be taken into account for that graph)
? Style:圖表樣式(Line/Impulse/FBar)
X Axis
? Tick interval 設(shè)置X軸的每格代表的時(shí)間(10/1/0.1/0.01/0.001 seconds))
? Pixels per tick 設(shè)置X軸每格占用像素 10/5/2/1 px
Y Axis
? Unit y軸的單位(Packets/Tick, Bytes/Tick, Bits/Tick, Advanced…)
? Ssale Y軸單位的刻度(10,20,50,100,200,500,…)
XXX - describe the Advanced feature.
8.7. 服務(wù)相應(yīng)時(shí)間
服務(wù)響應(yīng)時(shí)間是發(fā)送請求到產(chǎn)生應(yīng)答之間的時(shí)間間隔。響應(yīng)時(shí)間在很多協(xié)議中可用。
服務(wù)相應(yīng)時(shí)間統(tǒng)計(jì)，在以下協(xié)議中可用
? DCE-RPC
? Fibre Channel
? H.225 RAS
? LDAP
? MGCP
? ONC-RPC
? SMB
后面將會(huì)以DCE-RPC為例介紹響應(yīng)時(shí)間。
注意
其他服務(wù)相應(yīng)時(shí)間在Windows平臺下都是相同的處理方法(或者僅僅輕微不同)
8.7.1. "Service Response Time DCE-RPC"窗口
DCE-RPC的服務(wù)相應(yīng)時(shí)間是在請求發(fā)起到相應(yīng)請求的時(shí)間間隔
圖 8.6. "Compute DCE-RPC statistics"窗口

你可以設(shè)置顯示過濾，減少用于統(tǒng)計(jì)的包的數(shù)量
圖 8.7. The “DCE-RPC Statistic for …” 窗口

Each row corresponds to a method of the interface selected (so the EPM interface in version 3 has 7 methods). For each method the number of calls, and the statistics of the SRT time is calculated.
8.8. 協(xié)議指定統(tǒng)計(jì)窗口
The protocol specific statistics windows display detailed information of specific protocols and might be described in a later version of this document. Some of these statistics are described at the http://wiki.wireshark.org/Statistics pages.
?
第 9 章 個(gè)性化Wireshark
寫在前面
本章自9.6節(jié)起的內(nèi)容在譯者的0.99.5版Wireshark中都未曾見到對應(yīng)的功能。
9.1. 說明
Wireshark默認(rèn)行為通常可以很好地吻合你的習(xí)慣，當(dāng)你十分熟悉Wireshark的時(shí)候，你可以對Wireshark進(jìn)行個(gè)性化設(shè)置以更好地適合你的需要。在本章我們將介紹:
? 如何從命令啟動(dòng)Wireshark
? 如何將包列表色值化(以顏色區(qū)分不同的包)
? 如何控制包解析
? 如何使用多種多樣的首選項(xiàng)設(shè)置
9.2. 從命令行啟動(dòng)Wireshark
Wireshark支持從命令行啟動(dòng)，同樣也可以從大多數(shù)窗口管理軟件啟動(dòng)。這節(jié)我們看看如何從命令行啟動(dòng)。
Wireshark支持豐富的命令行參數(shù)。要想看看都有那些參數(shù)，在命令行鍵入Wireshark -h就會(huì)顯示幫助信息（以及其他相關(guān)的）。詳細(xì)參數(shù)列表見例 9.1 “Wireshark幫助信息”
例 9.1. Wireshark幫助信息
Version 0.99.0
Copyright 1998-2006 Gerald Combs gerald@wireshark.org and contributors.

Compiled with GTK+ 2.6.9, with GLib 2.6.6, with WinPcap (version unknown),
with libz 1.2.3, with libpcre 6.4, with Net-SNMP 5.2.2, with ADNS, with Lua 5.1.

Running with WinPcap version 3.1 (packet.dll version 3, 1, 0, 27), based on
libpcap version 0.9[.x] on Windows XP Service Pack 2, build 2600.

wireshark [ -vh ] [ -DklLnpQS ] [ -a ] …
[ -b ] …
[ -B ]
[ -c ] [ -f ]
[ -g ] [ -i ] [ -m ]
[ -N ] [ -o <preference/recent setting> ] …
[ -r ] [ -R <read (display) filter> ] [ -s ]
[ -t ] [ -w ] [ -y ]
[ -X ] [ -z ] [ ]

我們隨后將對每個(gè)選項(xiàng)進(jìn)行介紹
首先需要注意的是，Wireshark命令會(huì)啟動(dòng)Wireshark。不管怎樣，你可以在啟動(dòng)時(shí)追加許多參數(shù)(如果你喜歡)。他們的作用如下(按字母順序)：
筆者注：按字母順序是不是一個(gè)好主意？按任務(wù)順序會(huì)不會(huì)更好點(diǎn)？
-a
設(shè)置一個(gè)標(biāo)準(zhǔn)用來指定Wireshark什么時(shí)候停止捕捉文件。標(biāo)準(zhǔn)的格式為 test:value,test值為下面中的一個(gè)。
duration:value
當(dāng)捕捉持續(xù)描述超過Value值，停止寫入捕捉文件。
filesize:value
當(dāng)捕捉文件大小達(dá)到Value值kilobytes(kilobytes表示1000bytes,而不是1024 bytes)，停止寫入捕捉文件。如果該選項(xiàng)和-b選項(xiàng)同時(shí)使用，Wireshark在達(dá)到指定文件大小時(shí)會(huì)停止寫入當(dāng)前捕捉文件，并切換到下一個(gè)文件。
files:value
當(dāng)文件數(shù)達(dá)到Value值時(shí)停止寫入捕捉文件
-b
如果指定捕捉文件最大尺寸，因?yàn)閃ireshark運(yùn)行在"ring buffer"模式，被指定了文件數(shù)。在"ring buffer"模式下，Wireshark 會(huì)寫到多個(gè)捕捉文件。它們的名字由文件數(shù)和創(chuàng)建日期，時(shí)間決定。
當(dāng)?shù)谝粋€(gè)捕捉文件被寫滿，Wireshark會(huì)跳轉(zhuǎn)到下一個(gè)文件寫入，直到寫滿最后一個(gè)文件，此時(shí)Wireshark會(huì)丟棄第一個(gè)文件的數(shù)據(jù)(除非將files設(shè)置為0，如果設(shè)置為0，將沒有文件數(shù)限制)，將數(shù)據(jù)寫入該文件。
如果duration選項(xiàng)被指定，當(dāng)捕捉持續(xù)時(shí)間達(dá)到指定值的秒數(shù)，Wireshark同樣會(huì)切換到下個(gè)文件，即使文件未被寫滿。
duration:value
當(dāng)捕捉持續(xù)描述超過Value值，即使文件未被寫滿，也會(huì)切換到下個(gè)文件繼續(xù)寫入。
filesize:value
當(dāng)文件大小達(dá)到value值kilobytes時(shí)(kelobyte表示1000bytes,而不是1024bytes)，切換到下一個(gè)文件。
files:value
當(dāng)文件數(shù)達(dá)到value值時(shí)，從第一個(gè)文件重新開始寫入。
-B <capture buffer size (Win32 only)>
僅適合Win32:設(shè)置文件緩沖大小(單位是MB,默認(rèn)是1MB).被捕捉驅(qū)動(dòng)用來緩沖包數(shù)據(jù)，直到達(dá)到緩沖大小才寫入磁盤。如果捕捉時(shí)碰到丟包現(xiàn)象，可以嘗試增大它的大小。
-c
實(shí)時(shí)捕捉中指定捕捉包的最大數(shù)目，它通常在連接詞-k選項(xiàng)中使用。
-D
打印可以被Wireshark用于捕捉的接口列表。每個(gè)接口都有一個(gè)編號和名稱(可能緊跟在接口描述之后？)會(huì)被打印，接口名或接口編號可以提供給-i參數(shù)來指定進(jìn)行捕捉的接口(這里打印應(yīng)該是說在屏幕上打印)。
在那些沒有命令可以顯示列表的平臺(例如Windows,或者缺少ifconfig -a命令的UNIX平臺)這個(gè)命令很有用;接口編號在Windows 2000及后續(xù)平臺的接口名稱通常是一些復(fù)雜字符串，這時(shí)使用接口編號會(huì)更方便點(diǎn)。
注意，“可以被Wireshark用于捕捉"意思是說：Wireshark可以打開那個(gè)設(shè)備進(jìn)行實(shí)時(shí)捕捉；如果在你的平臺進(jìn)行網(wǎng)絡(luò)捕捉需要使用有特殊權(quán)限的帳號(例如root，Windows下的Administrators組)，在沒有這些權(quán)限的賬戶下添加-D不會(huì)顯示任何接口。參數(shù)
-f
設(shè)置捕捉時(shí)的內(nèi)置過濾表達(dá)式
-g
在使用-r參數(shù)讀取捕捉文件以后，使用該參數(shù)跳轉(zhuǎn)到指定編號的包。
-h
-h選項(xiàng)請求Wireshark打印該版本的命令使用方法(前面顯示的)，然后退出。
-i
設(shè)置用于進(jìn)行捕捉的接口或管道。
網(wǎng)絡(luò)接口名稱必須匹配Wireshark -D中的一個(gè)；也可以使用Wireshark -D顯示的編號，如果你使用UNIX,netstat -i或者ifconfig -a獲得的接口名也可以被使用。但不是所有的UNIX平臺都支持-a,ifconfig參數(shù)。
如果未指定參數(shù)，Wireshark會(huì)搜索接口列表，選擇第一個(gè)非環(huán)回接口進(jìn)行捕捉，如果沒有非環(huán)回接口，會(huì)選擇第一個(gè)環(huán)回接口。如果沒有接口，wireshark會(huì)報(bào)告錯(cuò)誤，不執(zhí)行捕捉操作。
管道名即可以是FIFO(已命名管道)，也可以使用”-"讀取標(biāo)準(zhǔn)輸入。從管道讀取的數(shù)據(jù)必須是標(biāo)準(zhǔn)的libpcap格式。
-k
-k選項(xiàng)指定Wireshark立即開始捕捉。這個(gè)選項(xiàng)需要和-i參數(shù)配合使用來指定捕捉產(chǎn)生在哪個(gè)接口的包。
-l
打開自動(dòng)滾屏選項(xiàng)，在捕捉時(shí)有新數(shù)據(jù)進(jìn)入，會(huì)自動(dòng)翻動(dòng)"Packet list"面板（同-S參數(shù)一樣）。
-m
設(shè)置顯示時(shí)的字體（編者認(rèn)為應(yīng)該添加字體范例）
-n
顯示網(wǎng)絡(luò)對象名字解析(例如TCP,UDP端口名，主機(jī)名)。
-N
對特定類型的地址和端口號打開名字解析功能；該參數(shù)是一個(gè)字符串，使用m可以開啟MAC地址解析，n開啟網(wǎng)絡(luò)地址解析，t開啟傳輸層端口號解析。這些字符串在-n和-N參數(shù)同時(shí)存在時(shí)優(yōu)先級高于-n，字母C開啟同時(shí)(異步)DNS查詢。
-o <preference/recent settings>
設(shè)置首選項(xiàng)或當(dāng)前值，覆蓋默認(rèn)值或其他從Preference/recent file讀取的參數(shù)、文件。該參數(shù)的值是一個(gè)字符串，形式為 prefname:value,prefnmae是首選項(xiàng)的選項(xiàng)名稱(出現(xiàn)在preference/recent file上的名稱)。value是首選項(xiàng)參數(shù)對應(yīng)的值。多個(gè)-o 可以使用在單獨(dú)命中中。
設(shè)置單獨(dú)首選項(xiàng)的例子：
wireshark -o mgcp.display_dissect_tree:TRUE
設(shè)置多個(gè)首選項(xiàng)參數(shù)的例子：
wireshark -o mgcp.display_dissect_tree:TRUE -o mgcp.udp.callagent_port:2627
提示
在???可以看到所有可用的首選項(xiàng)列表。
-p
不將接口設(shè)置為雜收模式。注意可能因?yàn)槟承┰蛞廊怀鲇陔s收模式；這樣，-p不能確定接口是否僅捕捉自己發(fā)送或接受的包以及到該地址的廣播包，多播包
-Q
禁止Wireshark在捕捉完成時(shí)退出。它可以和-c選項(xiàng)一起使用。他們必須在出現(xiàn)在-i -w連接詞中。
-r
指定要讀取顯示的文件名。捕捉文件必須是Wireshark支持的格式。
-R <read(display) filter>
指定在文件讀取后應(yīng)用的過濾。過濾語法使用的是顯示過濾的語法，參見第 6.3 節(jié) “瀏覽時(shí)過濾包”，不匹配的包不會(huì)被顯示。
-s
設(shè)置捕捉包時(shí)的快照長度。Wireshark屆時(shí)僅捕捉每個(gè)包字節(jié)的數(shù)據(jù)。
-S
Wireshark在捕捉數(shù)據(jù)后立即顯示它們，通過在一個(gè)進(jìn)程捕捉數(shù)據(jù)，另一個(gè)進(jìn)程顯示數(shù)據(jù)。這和捕捉選項(xiàng)對話框中的"Update list of packets in real time/實(shí)時(shí)顯示數(shù)據(jù)"功能相同。
-t
設(shè)置顯示時(shí)間戳格式。可用的格式有
? r 相對的，設(shè)置所有包時(shí)間戳顯示為相對于第一個(gè)包的時(shí)間。
? a absolute,設(shè)置所有包顯示為絕對時(shí)間。
? ad 絕對日期，設(shè)置所有包顯示為絕對日期時(shí)間。
? d delta 設(shè)置時(shí)間戳顯示為相對于前一個(gè)包的時(shí)間
? e epoch 設(shè)置時(shí)間戳顯示為從epoch起的妙數(shù)(1970年1月1日 00:00:00起)
-v
請求Wireshark打印出版本信息，然后退出
-w
在保存文件時(shí)以savefile所填的字符為文件名。
-y
如果捕捉時(shí)帶有-k參數(shù)，-y將指定捕捉包中數(shù)據(jù)鏈接類型。The values reported by -L are the values that can be used.
-X
設(shè)置一個(gè)選項(xiàng)傳送給TShark 模塊。eXtension 選項(xiàng)使用extension_key:值形式，extension_key:可以是：
lua_script:lua_script_filename,它告訴Wireshark載入指定的腳本。默認(rèn)腳本是Lua scripts.
-z
得到Wireshark的多種類型的統(tǒng)計(jì)信息，顯示結(jié)果在實(shí)時(shí)更新的窗口。筆者注：在此處增加更多的細(xì)節(jié)
9.3. 包色彩顯示設(shè)置
Packet colorization(按色彩顯示包)是Wireshark一個(gè)非常有用的特性。你可以設(shè)置Wireshark通過過濾器將包按顏色設(shè)置。可以將你感興趣的包通過顏色強(qiáng)調(diào)顯示。
提示
你可以在http://wiki.wireshark.org/ColoringRules的Wireshark Wiki Coloring Rules page找到顏色規(guī)則的舉例。
想要按色彩顯示包，選擇View菜單的“Coloring Rules…”菜單項(xiàng)，將會(huì)彈出"Coloring Rules"對話框，如圖 9.1 “"Coloring Rules"對話框”所示
圖 9.1. "Coloring Rules"對話框

啟動(dòng)Coloring Rules 對話框以后，有許多按鈕可以使用，當(dāng)然這取決于是否已經(jīng)裝入顏色過濾器(碰到once sth,you have a lot of 之類的句子就覺得特別tmd的惡心。)
注意
在對色彩規(guī)則進(jìn)行排序（然后運(yùn)用時(shí)）需要注意：他們是按自上而下的順序應(yīng)用的。因此，特定的協(xié)議應(yīng)該排在一般的協(xié)議的前面(高層協(xié)議應(yīng)該排在底層協(xié)議之前)。例如：如果你將UDP協(xié)議排在DNS之前，那么DNS顏色規(guī)則就不會(huì)被應(yīng)用(因?yàn)镈NS使用UDP協(xié)議，UDP色彩規(guī)則首先被匹配。譯者注：這里有點(diǎn)像netscreen防火墻規(guī)則，從上而下匹配，匹配了第一個(gè)規(guī)則以后就不會(huì)詢問后續(xù)規(guī)則了。)
如果你第一次使用色彩規(guī)則，點(diǎn)擊“NEW”按鈕打開色彩過濾編輯對話框，如???所示：
圖 9.2. “Edit Color Filter”

在編輯色彩對話框，輸入顏色過濾器名稱，然后在String輸入框輸入過濾字符串。???顯示的是arp,arp表示過濾器名為arp,string填的arp表示選擇的協(xié)議類型是arp。輸入這些值以后，你可以選擇前景色和配景色匹配這個(gè)過濾表達(dá)式。點(diǎn)擊 Foreground color… /前景色或者Background color…/背景色按鈕就會(huì)彈出Choose foreground/background color for protocol對話框(見圖 9.3 “"Choose color"對話框”)，進(jìn)行前景色、背景色設(shè)置了。
圖 9.3. "Choose color"對話框

選擇你需要的顏色，點(diǎn)擊OK
注意
You must select a color in the colorbar next to the colorwheel to load values into the RGB values. Alternatively, you can set the values to select the color you want.
圖 9.4 “在Wireshark中使用色彩過濾”顯示了默認(rèn)情況下使用多個(gè)色彩過濾器的例子。如果你不太喜歡的話，可以自己隨時(shí)修改它。
如果你不確定哪個(gè)顏色規(guī)則會(huì)對特定包發(fā)生作用，查看[Coloring Rule Name: …] and [Coloring Rule String: …] 字段。
圖 9.4. 在Wireshark中使用色彩過濾

9.4. 設(shè)置協(xié)議解碼
用戶可以協(xié)議如何被解碼。[20]
每個(gè)協(xié)議都有自己的解碼器,因此包可能需要使用多個(gè)解碼器才能完成解碼。wireshark會(huì)嘗試為每個(gè)包嘗試找到正確的解碼器(使用靜態(tài)"routes"和結(jié)構(gòu)"guessing"),特定的情況有可能會(huì)選擇錯(cuò)誤的解碼器。例如，如果你將一個(gè)常見協(xié)議使用用一個(gè)不常見的TCP端口，Wireshark將無法識別它，例如：HTTP協(xié)議使用800端口而不是標(biāo)準(zhǔn)80端口。
有兩種方式可以控制協(xié)議和解碼器關(guān)聯(lián)：完全禁止協(xié)議解碼器，或者臨時(shí)調(diào)用解碼器。
9.4.1. "Enable Protocols"對話框
Eable Protocols對話框可以enable、disable特定的協(xié)議，默認(rèn)情況下是所有協(xié)議都enable。如果某個(gè)協(xié)議被disabled,Wireshark在碰到這個(gè)協(xié)議時(shí)會(huì)略過不處理。
注意
禁止某個(gè)協(xié)議解碼會(huì)阻止依附該協(xié)議的更高層協(xié)議顯示。例如，假定你禁止了IP協(xié)議，選擇某個(gè)包含Ethernet,IP,TCP和HTTP信息的包。將只會(huì)顯示以太網(wǎng)信息，IP協(xié)議不會(huì)顯示，基于IP協(xié)議的TCP,HTTP協(xié)議信息也不會(huì)顯示。
圖 9.5. "Enabled Protocols"對話框

通過點(diǎn)擊復(fù)選框，或者在協(xié)議高亮選中時(shí)按空格鍵可以切換協(xié)議enable/disable狀態(tài)。
警告
必須通過Save按鈕保存設(shè)置，OK，Apply按鈕不會(huì)保存設(shè)置，關(guān)閉Wireshark以后就會(huì)丟失設(shè)置。
按鈕功能介紹

Enable All 允許列表中所有協(xié)議

Disable All 禁止列表中所有協(xié)議

Invert 切換列表中所有協(xié)議的enable/disable狀態(tài)

OK 應(yīng)用當(dāng)前修改，關(guān)閉對話框

Apply 應(yīng)用修改，不關(guān)閉對話框

Save 保存當(dāng)前設(shè)置

Cancel 取消修改，退出對話框
9.4.2. 用戶指定解碼器
在"packet list"面板，選中包，“Decode As”，打開Decode As對話框，可以臨時(shí)設(shè)置解碼器。在協(xié)議不使用常見端口時(shí)會(huì)有所幫助。
圖 9.6. “Decode As” 對話框

對話框的內(nèi)容取決于當(dāng)前選擇包的信息。
警告
用戶指定解碼器不能保存。退出Wireshark以后，這些設(shè)置會(huì)丟失

Decode 使用選擇的方式解碼。

Do not decode 不要用選定方式解碼。

Link/Network/Transport 指定使用那個(gè)解碼器對各網(wǎng)絡(luò)層進(jìn)行解碼。三個(gè)頁面中哪個(gè)頁面可用取決于被選擇包的內(nèi)容。

Show Current 打開一個(gè)對話框顯示當(dāng)前用戶已經(jīng)指定的解碼器列表。

OK 應(yīng)用當(dāng)前選定的解碼器，關(guān)閉對話框。

Apply 應(yīng)用當(dāng)前選定的解碼器，保持對話框打開

Cancel 取消修改，關(guān)閉對話框。
9.4.3. 顯示用戶指定解碼器
下面對話框顯示了當(dāng)前用戶指定的解碼器
圖 9.7. “Decode As: Show” 對話框

OK 關(guān)閉對話框

Clear 移除所有解碼器
9.5. 首選項(xiàng)
Wireshark的許多參數(shù)可以進(jìn)行設(shè)置。選擇"Edit"菜單的"Preferences…"項(xiàng)，打開Preferences對話框即可進(jìn)行設(shè)置。如???所示:默認(rèn)"User interface"是第一個(gè)頁面。點(diǎn)擊左側(cè)的樹狀列表中的項(xiàng)目可以打開對應(yīng)的頁面。
注意
參數(shù)設(shè)置會(huì)頻繁追加。想了解關(guān)于參數(shù)設(shè)置的最新介紹，請參考Wireshark Wiki Preferences 頁:http://wiki.wireshark.org/Preferences.

警告
OK和Apply按鈕不會(huì)保存設(shè)置，你必須點(diǎn)擊Save按鈕保存設(shè)置。
? OK 應(yīng)用參數(shù)設(shè)置，關(guān)閉對話框
? Apply 應(yīng)用參數(shù)設(shè)置，不關(guān)閉對話框
? Save 應(yīng)用參數(shù)設(shè)置，保存參數(shù)設(shè)置到硬盤，并且保持對話框打開
? Cancel 重置所有參數(shù)設(shè)置到最后一次保存狀態(tài)。
圖 9.8. preferences對話框

9.6. 用戶表表[21]
用戶表編輯器是用來管理各種用戶自定義參數(shù)表。它的主對話框操作方式類似于第 9.3 節(jié) “包色彩顯示設(shè)置”
9.7. 創(chuàng)建過濾宏
Display Filter Macros是用來創(chuàng)建復(fù)雜顯示過濾器的快捷方式的工具，例如：定義一個(gè)顯示過濾宏，名稱為tcp_conv 文本為 ( (ip.src == $1and ip.dst == $2 and tcp.srcpt == $3 and tcp.dstpt == $4) or (ip.src == $2and ip.dst == $1 and tcp.srcpt == $4 and tcp.dstpt == $3))，以后你就可以使用${tcp_conv:10.1.1.2;10.1.1.3;1200;1400} 替代整個(gè)過濾字符串。
顯示過濾宏可以通過第 9.6 節(jié) “用戶表表”，選擇Display Filter Macros 菜單下的View菜單進(jìn)行管理。用戶表有下面兩個(gè)字段。(好像沒有所謂的User table)
name
宏的名稱
text
宏的替代文本。使用$1,$2,$3…作為輸入?yún)?shù)時(shí)。
過濾宏的使用說明（譯者注）
首先需要說明的是，實(shí)際上在Windows平臺GTK2環(huán)境下，并沒有看到有顯示過濾宏功能，可能有的原因有3種：1、0.99.5版本根本沒有過濾宏功能；2、我視力不好，沒看到，如果是這樣，希望誰能幫我找找。3、Windows+GTK2下面沒有，其他平臺有。
這里暫且不管有沒有，我先按我的理解介紹一下宏的創(chuàng)建使用方法。
以筆者提到的宏的例子，先說如何創(chuàng)建宏

定義宏的名稱，如范例中的tcp_conv

定義宏的文本部分，顯示過濾宏內(nèi)容其實(shí)和顯示過濾器結(jié)構(gòu)上沒有本質(zhì)區(qū)別，只是將具體的值換成了參數(shù)。，比如例題中第一部分是ip.src == $1and ip.dst == $2 and tcp.srcpt == $3 and tcp.dstpt == $4,這里的$1,$2,$3,$4，如果在顯示過濾器中，應(yīng)該是具體的ip地址和端口號，在這里使用了$1,$2,$3,$4,是作為參數(shù)。就像定義函數(shù)的參數(shù)一樣，供調(diào)用宏時(shí)傳遞參數(shù)用的。

如何使用宏：如例中所示，需要在顯示過濾框輸入或在過濾表達(dá)式編輯器中應(yīng)用宏，輸入宏的格式是$宏名稱:參數(shù)1;參數(shù)2;參數(shù)3;....，參數(shù)就是定義宏時(shí)的參數(shù)的傳入值，如例中的${tcp_conv:10.1.1.2;10.1.1.3;1200;1400},tcp_conv是宏名稱，10.1.1.2是$1的取值，其他類推。
再次聲明，我裝的Wireshark并沒有這個(gè)功能。希望你們碰到這個(gè)共能時(shí)能用上。
9.8. Tektronics K12xx/15 RF5 協(xié)議表
Tektronix’s K12xx/15 rf5文件格式使用helper files(*.stk)驗(yàn)證指定接口的各種協(xié)議。Wireshark不能讀取stk文件，它使用一個(gè)表來識別底層協(xié)議。(這句沒整明白)
Stk文件協(xié)議匹配通過第 9.6 節(jié) “用戶表表”來設(shè)置,它有兩列：
match
a partial match for an stk filename, the first match wins, so if you have a specific case and a general one the specific one must appear first in the list
protos
This is the name of the encapsulating protocol (the lowest layer in the packet data) it can be either just the name of the protocol (e.g. mtp2, eth_witoutfcs, sscf-nni ) or the name of the encapsulation protocol and the “application” protocol over it separated by a colon (e.g sscop:sscf-nni, sscop:alcap, sscop:nbap, …)
9.9. 用戶 DLTs 協(xié)議表
當(dāng)一個(gè)pcap文件使用用戶DLTs (147 to 162)表中的一個(gè)時(shí) ,Wireshark使用這個(gè)表來識別每個(gè)DLT表使用哪個(gè)協(xié)議。
通過第 9.6 節(jié) “用戶表表”管理的DLT表有如下列：
encap
一個(gè)用戶dlts表
payload_proto
payload(包的最底層協(xié)議)協(xié)議名稱
header_size
如果有header協(xié)議(在payload之前)，這個(gè)選項(xiàng)告訴Wireshark header的大小。設(shè)置為0的話，禁止header protocol.
header_proto
header協(xié)議的名稱(默認(rèn)使用"data")
trailer_size
如果有trailer協(xié)議的話(追蹤協(xié)議，在paylod協(xié)議之后)，告訴系統(tǒng)它的大小。設(shè)置為0表示禁止該協(xié)議。
trailer_proto
trailer協(xié)議的名稱(默認(rèn)是"data")
9.10. SNMP用戶表
Wireshark使用SNMP表驗(yàn)證SNMPv3包的授權(quán)并進(jìn)行揭秘。
該表通過第 9.6 節(jié) “用戶表表”進(jìn)行管理，它包括如下字段。
engine_id
如果輸入了engine id,會(huì)使用在那些engine id是這些值的包。該字段是一個(gè)16進(jìn)制的字符串，值通常形式為：0102030405
userName
用戶名，當(dāng)一個(gè)用戶名有多個(gè)密碼對應(yīng)不同的SNMP-engines時(shí)，第一個(gè)匹配的將會(huì)被使用。if you need a catch all engine-id (empty) that entry should be the last one.
驗(yàn)證模式
使用什么驗(yàn)證模式,(MD5或者SHA1)
authPassword
授權(quán)密碼，使用"\xDD"作為非打印字符。一個(gè)16進(jìn)制密碼必須輸入為"\xDD"形式。例如：16進(jìn)制密碼010203040506就必須輸入為’\x01\x02\x03\x04\x05\x06’.
priv_proto
使用的加密算法(DES或AES)
privPassword
私有密鑰，使用"\xDD"作為非打印字符。一個(gè)16進(jìn)制密碼必須輸入為"\xDD"形式。例如：16進(jìn)制密碼010203040506就必須輸入為’\x01\x02\x03\x04\x05\x06’.

---

[20] dissector:析像器，應(yīng)用在光學(xué)領(lǐng)域，dissct 解剖，這里姑且把他們翻譯成解碼器，解碼，不過有decode，似乎當(dāng)作解碼有點(diǎn)欠妥。
[21] 找遍了Wireshark也沒看到User table編輯器，版本問題？

總結(jié)

以上是生活随笔為你收集整理的Wireshark使用教程用户手册的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。