wireshark主界面操作菜單.doc

Wireshark 主界面的操作菜單File 打開文件Open 打開文件Open Recent 打開近期訪問過的文件Merge 將幾個文件合并為一個文件Close 關閉此文件Save As 保存為File Set 文件屬性Export 文件輸出Print 打印輸出Quit 關閉Edit 編輯Find Packet 搜索數據包Find Next 搜索下一個Find Previous 搜索前一個Mark Packet (toggle) 對數據包做標記（標定）Find Next Mark 搜索下一個標記的包Find Previous Mark 搜索前一個標記的包Mark All Packets 對所有包做標記Unmark All Packets 去除所有包的標記Set Time Reference (toggle) 設置參考時間 （標定）Find Next Reference 搜索下一個參考點Find Previous Reference 搜索前一個參考點Preferences 參數選擇View 視圖Main Toolbar 主工具欄Filter Toolbar 過濾器工具欄Wireless Toolbar 無線工具欄Statusbar 運行狀況工具欄Packet List 數據包列表Packet Details 數據包細節(jié)Packet Bytes 數據包字節(jié)Time Display Format 時間顯示格式Name resolution 名字解析（轉換：域名/IP地址，廠商名/MAC地址，端口號/端口名）Colorize Packet List 顏色標識的數據包列表Auto Scroll in Live Capture 現場捕獲時實時滾動Zoom In 放大顯示Zoom Out 縮小顯示Normal Size 正常大小Resize All Columns 改變所有列大小Expand Sub trees 擴展開數據包內封裝協議的子樹結構Expand All 全部擴展開Collapse All 全部折疊收縮Coloring Rules 對不同類型的數據包用不同顏色標識的規(guī)則Show Packet in New Window 將數據包顯示在一個新的窗口Reload 將數據文件重新加Go 運行Back 向后運行Forward 向前運行Go to packet 轉移到某數據包Go to Corresponding Packet 轉到相應的數據包Previous Packet 前一個數據包Next Packet 下一個數據包First Packet 第一個數據包Last Packet 最后一個數據包Capture 捕獲網絡數據Interfaces 選擇本機的網絡接口進行數據捕獲Options 捕獲參數選擇Start 開始捕獲網絡數據Stop 停止捕獲網絡數據Restart 重新開始捕獲Capture Filters 選擇捕獲過濾器Analyze 對已捕獲的網絡數據進行分析Display Filters 選擇顯示過濾器Apply as Filter 將其應用為過濾器Prepare a Filter 設計一個過濾器Firewall ACL Rules 防火墻ACL規(guī)則Enabled Protocols 已可以分析的協議列表Decode As 將網絡數據按某協議規(guī)則解碼User Specified Decodes 用戶自定義的解碼規(guī)則Follow TCP Stream 跟蹤TCP傳輸控制協議的通信數據段，將分散傳輸的數據組裝還原Follow SSL stream 跟蹤SSL 安全套接層協議的通信數據流Expert Info 專家分析信息Expert Info Composite 構造專家分析信息Statistics對已捕獲的網絡數據進行統(tǒng)計分析Summary 已捕獲數據文件的總統(tǒng)計概況Protocol Hierarchy 數據中的協議類型和層次結構Conversations 會話Endpoints 定義統(tǒng)計分析的結束點IO Graphs 輸入/輸出數據流量圖Conversation List 會話列表Endpoint List 統(tǒng)計分析結束點的列表Service Response Time 從客戶端發(fā)出請求至收到服務器響應的時間間隔ANSI 按照美國國家標準協會的ANSI協議分析Fax T38 Analysis. 按照T38傳真規(guī)范進行分析GSM 全球移動通信系統(tǒng)GSM的數據H.225 H.225協議的數據MTP3 MTP3協議的數據RTP 實時傳輸協議RTP的數據SCTP 數據流控制傳輸協議SCTP的數據SIP. 會話初始化協議SIP的數據VoIP Calls 互聯網IP電話的數據WAP-WSP 無線應用協議WAP和WSP的數據BOOTP-DHCP 引導協議和動態(tài)主機配置協議的數據Destinations 通信目的端Flow Graph 網絡通信流向圖HTTP 超文本傳輸協議的數據IP address 互聯網IP地址ISUP Messages ISUP協議的報文Multicast Streams 多播數據流ONC-RPC Programs Packet Length 數據包的長度Port Type 傳輸層通信端口類型TCP Stream Graph 傳輸控制協議TCP數據流波形圖Help 幫助Contents Wireshark 使用手冊Supported Protocols Wireshark支持的協議清單Manual Pages 使用手冊（HTML網頁）Wireshark Online Wireshark 在線About Wireshark 關于WiresharkCaption菜單的Options項： Interface:選擇采集數據包的網卡 ! |u, p3 w9 t, g F; BIP address:選擇的網卡所對應的IP地址 Link-layer header type:數據鏈路層的協議，在以太網中一般是Ethernet II 4 % _+ R- : kaBuffer size:數據緩存大小設定，默認是1M字節(jié) Capture packets in promiscuous mode:設定在混雜模式下捕獲數據，如果不選中，將只能捕獲本機的數據通訊，默認情況下選中該項 / M2 ! - c$ b! I9 s0 z; ULimit each packet to:設定只捕獲數據包的前多少個字節(jié)（從以太網頭開始計算），默認是68 Capture Filter:設定當前的數據包采集過濾器 # S! A7 k) Y% W ) FCapture File File:設定數據包文件的保存位置和保存文件名，默認不保存 ) w0 4 W! s, EUse multiple files:啟用多文件保存，默認不啟用 Next file every:設定每個數據包文件的大小(單位是M，默認1M)，只有啟用Use multiple files后此項才可用 Next file every: 設定每個數據包文件的大小(單位是分鐘，默認1分鐘)，只有啟用Use multiple files后此項才可用 - R! + J+ d2 p6 , k: a: |Ring buffer with:當保存多少個數據包文件后循環(huán)緩存，默認是2個文件，即保存2個數據包文件后丟棄緩存中的數據包，再添加新采集到的數據包 Stop capture after: 當保存多少個數據包文件后停止捕獲，默認是1個文件Stop Capture after:捕獲到多少個數據包后停止捕獲，默認不啟用，如啟用，默認值是1 $ L n0 g5 h& o after:捕獲到多少M字節(jié)的數據包后停止捕獲，默認不啟用，如啟用，默認值是1 ; K7 i x% K- g; D: t5 K after:捕獲多少分鐘后停止捕獲，默認不啟用，如啟用，默認值是1 0 W$ B7 o2 d/ j9 G9 m6 ! Display Options 2 J) H4 x. Q/ m t5 Z* f# PUpdate list of packets in real time:實時更新捕獲到的數據包列表信息 Automatic scrolling in live capture:對捕獲到的數據包信息進行自動滾屏顯示 % d9 g; G3 k% Y3 S $ plHide capture info dialog:隱藏捕獲信息對話框 B/ 7 z0 N8 m7 r) s+ O7 nName Resolution Enable MAC name resolution:把MAC地址前3位解析為相應的生產廠商 Enable network name resolution:啟用網絡地址解析，解析IP,IPX地址對應的主機名 3 b# u) |6 k% P1 HEnable transport name resolution:啟用端口名解析，解析端口號對應的端口名. H5 K& c5 F, A/ I7 v/ T7 j4 y& O附：Wireshark 可以將從網絡捕獲到的二進制數據按照不同的協議包結構規(guī)范，翻譯解釋為人們可以讀懂的英文信息，并顯示在主界面的中部窗格中。為了幫助大家在網絡安全與管 理的數據分析中，迅速理解Wireshark顯示的捕獲數據幀內的英文信息，特做如下中文的翻譯解釋。Wireshark顯示的下面這些數據信息的順序與 各數據包內各字段的順序相同，其他幀的內容展開與此類似。 幀號 時間 源地址 目的地址 高層協議 包內信息概況No. Time Source Destination Protocol Info1 0.000000 25 2 TCP 2764 http SYN Seq=0 Len=0 MSS=1460 源端口目的端口請求建立TCP鏈接以下為物理層的數據幀概況Frame 1 (62 bytes on wire, 62 bytes captured)1號幀，線路62字節(jié)，實際捕獲62字節(jié)Arrival Time: Jan 21, 2008 15:17:33.910261000 捕獲日期和時間Time delta from previous packet:0.00000 seconds此包與前一包的時間間隔Time since reference or first frame: 0.00 seconds此包與第1幀的間隔時間Frame Number: 1 幀序號Packet Length: 62 bytes 幀長度Capture Length: 62 bytes 捕獲長度Frame is marked: False 此幀是否做了標記：否Protocols in frame: eth:ip:tcp 幀內封裝的協議層次結構Coloring Rule Name: HTTP 用不同顏色染色標記的協議名稱：HTTPColoring Rule String: http | tcp.port = 80染色顯示規(guī)則的字符串：以下為數據鏈路層以太網幀頭部信息Ethernet II, Src: AcerTech_5b:d4:61 (00:00:e2:5b:d4:61), Dst: Jetcell_e5:1d:0a (00:d0:2b:e5:1d:0a)以太網協議版本II，源地址：廠名_序號（網卡地址），目的：廠名_序號（網卡地址）Destination: Jetcell_e5:1d:0a (00:d0:2b:e5:1d:0a) 目的：廠名_序號（網卡地址）Source: AcerTech_5b:d4:61 (00:00:e2:5b:d4:61) 源：廠名_序號（網卡地址）Type: IP (0x0800)幀內封裝的上層協議類型為IP（十六進制碼0800）看教材以下為互聯網層IP包頭部信息Internet Protocol, Src: 25 (25), Dst: 2 (2) 互聯網協議，源IP地址，目的IP地址Version: 4互聯網協議IPv4（此部分參看教材Pv4數據報字段結構）Header length: 20 bytes IP包頭部長度Differentiated Services Field:0x00(DSCP 0x00:Default;ECN:0x00)差分服務字段Total Length: 48IP包的總長度Identification:0x8360 (33632) 標志字段Flags: 標記字段（在路由傳輸時，是否允許將此IP包分段，教材125頁）Fragment offset: 0分段偏移量（將一個IP包分段后傳輸時，本段的標識）Time to live: 128 生存期TTLProtocol: TCP (0x06) 此包內封裝的上層協議為TCPHeader checksum: 0xe4ce correct 頭部數據的校驗和Source: 25 (25) 源IP地址Destination: 2 (2)目的IP地址以下為傳輸層TCP數據段頭部信息Transmission Control Protocol, Src Port: 2764 (2764), Dst Port: http (80), Seq: 0, Len: 0 傳輸控制協議TCP的內容Source port: 2764 (2764）源端口名稱（端口號）（此部分參看教材）Destination port: http (80) 目的端口名http（端口號80）Sequence number: 0 (relative sequence number) 序列號（相對序列號）Header length: 28 bytes 頭部長度Flags: 0x02 (SYN) TCP標記字段（本字段是SYN，是請