1、Wireshark 主界面的操作菜单File 打开文件Open 打开文件Open Recent 打开近期访问过的文件Merge 将几个文件合并为一个文件Close 关闭此文件Save As 保存为 File Set 文件属性Export 文件输出Print 打印输出Quit 关闭Edit 编辑Find Packet 搜索数据包Find Next 搜索下一个Find Previous 搜索前一个Mark Packet (toggle) 对数据包做标记(标定)Find Next Mark 搜索下一个标记的包Find Previous Mark 搜索前一个标记的包Mark All Packets 对
2、所有包做标记Unmark All Packets 去除所有包的标记Set Time Reference (toggle) 设置参考时间 (标定)Find Next Reference 搜索下一个参考点Find Previous Reference 搜索前一个参考点Preferences 参数选择View 视图Main Toolbar 主工具栏Filter Toolbar 过滤器工具栏Wireless Toolbar 无线工具栏Statusbar 运行状况工具栏Packet List 数据包列表Packet Details 数据包细节Packet Bytes 数据包字节Time Display
3、Format 时间显示格式Name resolution 名字解析(转换:域名 /IP 地址,厂商名/MAC 地址,端口号/端口名)Colorize Packet List 颜色标识的数据包列表Auto Scroll in Live Capture 现场捕获时实时滚动Zoom In 放大显示Zoom Out 缩小显示Normal Size 正常大小Resize All Columns 改变所有列大小Expand Sub trees 扩展开数据包内封装协议的子树结构Expand All 全部扩展开Collapse All 全部折叠收缩Coloring Rules 对不同类型的数据包用不同颜色标识
4、的规则Show Packet in New Window 将数据包显示在一个新的窗口Reload 将数据文件重新加Go 运行Back 向后运行Forward 向前运行Go to packet 转移到某数据包Go to Corresponding Packet 转到相应的数据包Previous Packet 前一个数据包Next Packet 下一个数据包First Packet 第一个数据包Last Packet 最后一个数据包Capture 捕获网络数据Interfaces 选择本机的网络接口进行数据捕获Options 捕获参数选择Start 开始捕获网络数据Stop 停止捕获网络数据Res
5、tart 重新开始捕获Capture Filters 选择捕获过滤器Analyze 对已捕获的网络数据进行分析Display Filters 选择显示过滤器Apply as Filter 将其应用为过滤器Prepare a Filter 设计一个过滤器Firewall ACL Rules 防火墙 ACL 规则Enabled Protocols 已可以分析的协议列表Decode As 将网络数据按某协议规则解码User Specified Decodes 用户自定义的解码规则Follow TCP Stream 跟踪 TCP 传输控制协议的通信数据段,将分散传输的数据组装还原Follow SSL
6、stream 跟踪 SSL 安全套接层协议的通信数据流Expert Info 专家分析信息Expert Info Composite 构造专家分析信息Statistics 对已捕获的网络数据进行统计分析Summary 已捕获数据文件的总统计概况Protocol Hierarchy 数据中的协议类型和层次结构Conversations 会话Endpoints 定义统计分析的结束点IO Graphs 输入/输出数据流量图Conversation List 会话列表Endpoint List 统计分析结束点的列表Service Response Time 从客户端发出请求至收到服务器响应的时间间隔A
7、NSI 按照美国国家标准协会的 ANSI 协议分析Fax T38 Analysis. 按照 T38 传真规范进行分析GSM 全球移动通信系统 GSM 的数据H.225 H.225 协议的数据MTP3 MTP3 协议的数据RTP 实时传输协议 RTP 的数据SCTP 数据流控制传输协议 SCTP 的数据SIP. 会话初始化协议 SIP 的数据VoIP Calls 互联网 IP 电话的数据WAP-WSP 无线应用协议 WAP 和 WSP 的数据BOOTP-DHCP 引导协议和动态主机配置协议的数据Destinations 通信目的端Flow Graph 网络通信流向图HTTP 超文本传输协议的数据
8、IP address 互联网 IP 地址ISUP Messages ISUP 协议的报文Multicast Streams 多播数据流ONC-RPC Programs Packet Length 数据包的长度Port Type 传输层通信端口类型TCP Stream Graph 传输控制协议 TCP 数据流波形图Help 帮助Contents Wireshark 使用手册Supported Protocols Wireshark 支持的协议清单Manual Pages 使用手册(HTML 网页)Wireshark Online Wireshark 在线About Wireshark 关于 Wi
9、resharkCaption 菜单的 Options 项: Interface:选择采集数据包的网卡 ! | u, p3 w9 t, g“ F; BIP address:选择的网卡所对应的 IP 地址 Link-layer header type:数据链路层的协议,在以太网中一般是 Ethernet II 4 % _+ R- : k aBuffer size:数据缓存大小设定,默认是 1M 字节 Capture packets in promiscuous mode:设定在混杂模式下捕获数据,如果不选中,将只能捕获本机的数据通讯,默认情况下选中该项 / M2 ! - c$ b! I9 s0 z
10、; ULimit each packet to:设定只捕获数据包的前多少个字节(从以太网头开始计算) ,默认是 68 Capture Filter:设定当前的数据包采集过滤器 # S! A7 k) Y% W“ ) FCapture File File:设定数据包文件的保存位置和保存文件名,默认不保存 ) w0 4 W! s, EUse multiple files:启用多文件保存,默认不启用 Next file every:设定每个数据包文件的大小(单位是 M,默认 1M),只有启用 Use multiple files 后此项才可用 Next file every: 设定每个数据包文件的大小
11、 (单位是分钟,默认 1 分钟),只有启用 Use multiple files 后此项才可用 - R! + J+ d2 p6 , k: a: |Ring buffer with:当保存多少个数据包文件后循环缓存,默认是 2 个文件,即保存 2 个数据包文件后丢弃缓存中的数据包,再添加新采集到的数据包 Stop capture after: 当保存多少个数据包文件后停止捕获,默认是 1 个文件 Stop Capture after:捕获到多少个数据包后停止捕获,默认不启用,如启用,默认值是 1 $ L n0 g5 h K7 i x% K- g; D: t5 K after:捕获多少分钟后停止捕
12、获,默认不启用,如启用,默认值是 1 0 W$ B7 o2 d/ j9 G9 m6 ! Display Options 2 J) H4 x. Q/ m“ t5 Z* f# PUpdate list of packets in real time:实时更新捕获到的数据包列表信息 Automatic scrolling in live capture:对捕获到的数据包信息进行自动滚屏显示 % d9 g; G3 k % Y3 S“ $ p lHide capture info dialog:隐藏捕获信息对话框 B/ 7 z0 N8 m7 r) s+ O7 nName Resolution Enabl
13、e MAC name resolution:把 MAC 地址前 3 位解析为相应的生产厂商 Enable network name resolution:启用网络地址解析,解析 IP,IPX 地址对应的主机名 3 b# u) |6 k% P1 HEnable transport name resolution:启用端口名解析,解析端口号对应的端口名. H5 KECN:0x00)差分服务字段Total Length: 48 IP 包的总长度Identification:0x8360 (33632) 标志字段Flags: 标记字段(在路由传输时,是否允许将此 IP 包分段,教材 125 页)Fra
14、gment offset: 0 分段偏移量(将一个 IP 包分段后传输时,本段的标识)Time to live: 128 生存期 TTLProtocol: TCP (0x06) 此包内封装的上层协议为 TCPHeader checksum: 0xe4ce correct 头部数据的校验和Source: 202.203.44.225 (202.203.44.225) 源 IP 地址Destination: 202.203.208.32 (202.203.208.32) 目的 IP 地址以下为传输层 TCP 数据段头部信息Transmission Control Protocol, Src Por
15、t: 2764 (2764), Dst Port: http (80), Seq: 0, Len: 0 传输控制协议 TCP 的内容Source port: 2764 (2764)源端口名称(端口号)(此部分参看教材)Destination port: http (80) 目的端口名 http(端口号 80)Sequence number: 0 (relative sequence number) 序列号(相对序列号)Header length: 28 bytes 头部长度Flags: 0x02 (SYN) TCP 标记字段(本字段是 SYN,是请求建立 TCP 连接)Window size:
16、 65535 流量控制的窗口大小Checksum: 0xf73b correct TCP 数据段的校验和Options: (8 bytes) 可选项 =分割线=Wireshark 介绍:身为企业网络管理员必须能够在第一时间发现网络问题和安全隐患,普通的 网络诊断方法已经不能够满足高级需求,通过 ping 法也只能够解决简单网络故障,特别是网络不稳定一会断一会通的情况是简单方法无法排查的。这时就需要专 业的网络管理员使用专业的工具去解决,相信各位都听说过 sniffer 这个网络数据探测软件,通过他可以对网络的所有数据包进行分析,发现故障根源。而今天笔者则介绍另外一款网络嗅探器Wireshark
17、,他在各个方面的表现是其他 sniffer 类网络嗅探器无法比拟的。说起 Wireshark 就不得不提 Ethereal 了,Ethereal 和在 Windows 系统中常用的 sniffer pro 并称网络嗅探工具双雄,不过和 sniffer pro 不同的是 Ethereal 在 Linux 类系统中应用更为广泛。而 Wireshark 软件则是 Ethereal 的后续版本,他是在 Ethereal 被 收购后推出的最新网络嗅探软件,在功能上比前身更加强大。Wireshark 是功能强大的网络数据捕获工具,他可以帮助我们分析网络数据流量,在第一时间发现蠕虫病毒,木马程序以及 ARP 欺骗等问题的根源。相信各位网络管理员一经使用就会爱上他而离不开他官方:http:/www.wireshark.org/
