Wireshark 使用說(shuō)明(詳細(xì)中文版)_圖文

1、 Wireshark使用說(shuō)明文檔(詳細(xì)中文版前言:由于wireshark在網(wǎng)上的使用說(shuō)明文檔較少,并且在我們的日常的工作中該軟件基本每天都要接觸,因此寫(xiě)下該文檔,只希望對(duì)該軟件有興趣的同學(xué)的學(xué)習(xí)能稍微有一點(diǎn)點(diǎn)的幫助。該文檔的出現(xiàn)完全要感謝我們的部門(mén)經(jīng)理,要不是他的督促下可能到現(xiàn)在仍然沒(méi)有類似的介紹wireshark的文檔出現(xiàn)。由于每天的事情也比較多最近,以至于該文檔拖了很久才出現(xiàn)在大家面前,對(duì)此也深感無(wú)奈;該文檔只介紹wireshark的一些簡(jiǎn)單的、常用的日常使用的方式,由于書(shū)寫(xiě)者水平有限,致以該文檔在書(shū)寫(xiě)的過(guò)程中可能避免不了會(huì)有一些錯(cuò)誤以及不準(zhǔn)確的地方,對(duì)于錯(cuò)誤的、不準(zhǔn)確的地方還請(qǐng)大家多多指

2、正、多多包涵。中新軟件有限公司技術(shù)中心:孫凱 目錄簡(jiǎn)介- 61.1.、什么是Wireshark- 62.1、主要應(yīng)用- 61.1.2. 特性 - 6 安裝- 72.1、windows平臺(tái)上的安裝 - 72.2、linux平臺(tái)上的安裝 -162.3、Ubuntu apt-get安裝方式 -28 界面概括 -33 5.1、顯示過(guò)濾器概括 -875.2、抓包過(guò)濾器概括 -966.1、TCP協(xié)議原理簡(jiǎn)介及分析- 1046.2、HTTP協(xié)議原理簡(jiǎn)介及分析 - 118 7.1、wireshark安裝問(wèn)題 - 1297.2、wireshark顯示問(wèn)題 - 132 簡(jiǎn)介1.1.、什么是WiresharkWir

3、eshark 是網(wǎng)絡(luò)包分析工具。網(wǎng)絡(luò)包分析工具的主要作用是嘗試捕獲網(wǎng)絡(luò)包,并嘗試顯示包的盡可能詳細(xì)的情況。過(guò)去的此類工具要么是過(guò)于昂貴,要么是屬于某人私有,或者是二者兼顧。 Wireshark 出現(xiàn)以后,這種現(xiàn)狀得以改變。2.1、主要應(yīng)用網(wǎng)絡(luò)管理員用來(lái)解決網(wǎng)絡(luò)通訊問(wèn)題;網(wǎng)絡(luò)安全工程師用來(lái)檢測(cè)已知的和未知的安全隱患;開(kāi)發(fā)人員用來(lái)測(cè)試協(xié)議執(zhí)行情況;用來(lái)學(xué)習(xí)網(wǎng)絡(luò)協(xié)議;除了上面提到的,Wireshark還可以用在其它許多場(chǎng)合。1.1.2. 特性支持UNIX和Windows平臺(tái);在接口實(shí)時(shí)捕捉包;能詳細(xì)顯示包的詳細(xì)協(xié)議信息;可以打開(kāi)/保存捕捉的包;可以導(dǎo)入導(dǎo)出其他捕捉程序支持的包數(shù)據(jù)格式;可以通過(guò)多種方

4、式過(guò)濾包;多種方式查找包;通過(guò)過(guò)濾以多種色彩顯示包; 創(chuàng)建多種統(tǒng)計(jì)分析;捕捉多種網(wǎng)絡(luò)接口;支持多種其它程序捕捉的文件;支持多格式輸出;對(duì)多種協(xié)議解碼提供支持;開(kāi)源軟件;不管怎么說(shuō),要想真正了解它的強(qiáng)大,您還得使用它才行!安裝2.1、windows平臺(tái)上的安裝在互聯(lián)網(wǎng)搜索到我們想要安裝的軟件版本,執(zhí)行安裝包后彈出如下歡迎界面: 圖2-1-1 選擇“Next”我們進(jìn)入到下一步安裝步驟; 圖2-1-2如圖2-1-2這一步wireshark會(huì)詢問(wèn)我們需要安裝哪些程序組件。我們可以選擇性的安裝我們必須的一些wireshark附帶的工具;通常使用到的有:wireshark主程序(圖形界面、TSshark(

5、基于命令行的、plugins/extensions (wireshark以及TSshark的一些擴(kuò)展插件等.在此我們選擇安裝全部組件程序后點(diǎn)擊“Next”進(jìn)入到下一步安裝; 圖2-1-3如圖2-1-3所示在此界面wireshark安裝程序會(huì)詢問(wèn)我們是否要在開(kāi)始菜單(Start Menu Item、桌面快捷方式(Desktop Icon、快速啟動(dòng)欄(Quick Launch Icon以及是否關(guān)聯(lián)所列出的后綴名文件。在此我們選擇建立桌面快捷方式并且關(guān)聯(lián)到列出后綴名文件后點(diǎn)擊“Next”進(jìn)入到下一步安裝; 圖2-1-4如圖2-1-4所示wireshark詢問(wèn)我們的安裝位臵。我們選擇F盤(pán)點(diǎn)擊“Next

6、”; 圖2-1-5圖2-1-5所示,wireshark安裝程序詢問(wèn)我們是否安裝依賴軟件WinPcap 3.0(該軟件主要用于捕獲網(wǎng)絡(luò)底層數(shù)據(jù)包,假如您的電腦上已經(jīng)安裝了該軟件,那么我們可以取消掉該軟甲的安裝。在此處由于我們沒(méi)有安裝過(guò)該軟件我們勾選該復(fù)選框后點(diǎn)擊“Install”執(zhí)行安裝; 圖2-1-6 圖2-1-7如圖2-1-7所示我們進(jìn)入到WinPcap的安裝界面點(diǎn)擊“Next”進(jìn)入到下一步安裝; 圖2-1-8如圖2-1-8點(diǎn)擊“Next”進(jìn)行到WinPcap的下一步安裝操作; 圖2-1-9圖2-1-9所示,WinPcap詢問(wèn)我們是否開(kāi)機(jī)自動(dòng)啟動(dòng)WinPcap驅(qū)動(dòng)程序。我們采取默認(rèn)選項(xiàng)后點(diǎn)擊

7、“Install”; 圖2-1-10假如出現(xiàn)圖2-1-10的提示,那么就是您的電腦已經(jīng)安裝了該類軟件,WinPcap詢問(wèn)我們是否卸載以前所安裝的WinPcap。在此我們選擇“是”后WinPcap開(kāi)始自動(dòng)安裝; 圖2-1-11到了如圖2-1-11所示的界面后說(shuō)名wireshark已經(jīng)安裝成功了,點(diǎn)擊“Finish”后在桌面我們可以看到wireshark的快捷方式;2.2、linux平臺(tái)上的安裝首先安裝tcpdump需要先安裝libpcap,把我們下載到的tcpdump以及l(fā)ibpcap安裝包放在linux一個(gè)目錄下面,然后我們使用cd進(jìn)入該目錄后執(zhí)行l(wèi)ibpcap的解壓操作。如下圖2-2-1,2

8、-2-2所示: 圖2-2-1 圖2-2-2 解壓完畢后的;libpca目錄如下圖2-2-3所示: 圖2-2-3我們進(jìn)入到該目錄,然后執(zhí)行./configure然后執(zhí)行make&make install就開(kāi)始安裝了;安裝完畢后的正常狀態(tài)如下圖2-2-4所示: 圖2-2-4然后我們進(jìn)入到tcpdump文件的存放目錄,再次執(zhí)行解壓操作;如下圖2-2-5,2-2-6所示: 圖2-2-5 圖2-2-6 進(jìn)入到tcpdump目錄下后我們一樣執(zhí)行./configure,完畢后我們?cè)俅螆?zhí)行:make&make install;安裝完畢后我們就可以使用該軟件了;如下圖2-2-7,2-2-8所示:

9、 圖2-2-7 圖2-2-8Tcpdum軟件很早之前就有,在此只為了讓大家比較一下wireshark以及tcpdump的一些不同之處。如果大家對(duì)于tcpdump有興趣也可以自己去百度一下;我們?cè)谶@里就不多做贅述了。首先輸入yum install wireshark-gnome,啟動(dòng)wireshark以及依賴軟件包的下載;如圖2-2-9,2-2-10所示: 圖2-2-9 圖2-2-10如上圖2-2-10,我們輸入y回車后wireshark開(kāi)始自動(dòng)下載wireshark以及依賴軟件;下載完后系統(tǒng)會(huì)提示是否執(zhí)行wireshark以及一些相關(guān)軟件的安裝;如下圖2-2-11,2-2-12所示: 圖2-2

10、-11 圖2-2-12我們輸入y回車后系統(tǒng)將自動(dòng)執(zhí)行一系列的軟件安裝;如下圖2-2-13,2-2-14所示: 圖2-2-13 圖2-2-14如上圖2-2-14,系統(tǒng)自動(dòng)完成了wireshark以及相關(guān)依賴軟件的安裝;這時(shí)候我們輸入wireshark這條命令回車后發(fā)下報(bào)錯(cuò)!如下圖2-2-15: 圖2-2-15ethereal和wireshark都是基于圖形的程序,所以我們使用ssh的遠(yuǎn)程終端是無(wú)法運(yùn)行的。比如說(shuō),使用ethereal命令就可以啟動(dòng)它了,但是遠(yuǎn)程終端會(huì)提示 Gtk-WARNING *: cannot open display:;遇到該問(wèn)題怎么辦呢?我們可以使用對(duì)應(yīng)的命令行程序 te

11、thereal;這條命令來(lái)啟動(dòng)wireshark 進(jìn)行數(shù)據(jù)包捕捉。如下圖:2-2-16所示: 圖2-2-16關(guān)于linux下的wireshark的安裝我們就講這么多,但是wireshark并不止這一種安裝方式,還有其他的一些更為可選的安裝方式。這些需要大家自己去慢慢的摸索發(fā)現(xiàn)了,我們?cè)诖藢?duì)于wireshark在命令行界面的使用以及其他安裝方式就不做過(guò)多的解釋了。2.3、Ubuntu apt-get安裝方式首先打開(kāi)Ubuntu終端,然后輸入apt-get install wireshark。系統(tǒng)會(huì)自動(dòng)從軟件中心下載以及安裝wireshark,如下圖2-2-17所示: 圖2-2-17輸入Y回車后我

12、們繼續(xù)安裝過(guò)程;如下圖2-2-18,2-2-19所示: 圖2-2-18 圖2-2-19 自動(dòng)處理依賴關(guān)系;如下圖2-2-20示: 圖2-2-20安裝完成后我們輸入:wireshark來(lái)啟動(dòng)圖形化的界面程序;如下圖2-2-21,2-2-22所示: 圖2-2-21 圖2-2-22至此wireshark在Ubuntu系統(tǒng)上面的apt-get安裝方式就完成了,我們可以和在windows上一樣來(lái)使用wireshark來(lái)進(jìn)行數(shù)據(jù)包捕捉操作了! 界面概括 圖3-1從圖3-1所示為wireshark的一個(gè)主界面概括信息,從圖中的紅色矩形框以及標(biāo)注可看出wireshark 一共分為8塊。以下我們一一介紹各個(gè)板塊

13、的功能選項(xiàng); 圖3-1-1如圖3-1-1所示帶顏色矩形框內(nèi),主菜單欄又分為6個(gè)子功能選項(xiàng)欄。從左至右依次為:抓包工具欄、文件工具欄、包定位工具欄、顏色以及滾動(dòng)界面工具欄、數(shù)據(jù)包列表字體定義工具欄以及首選項(xiàng)工具欄;下面我們從左至右分別介紹各個(gè)工具欄的功能。如圖3-1-1紅色矩形框內(nèi)所示,抓包工具欄顯示共有5個(gè)功能圖標(biāo)。從左至右依次為: 列出計(jì)算機(jī)可以抓包的接口(與菜單-Capture-Interfaces功能相同; 定義抓包參數(shù)選項(xiàng)(與菜單-Capture-Options功能相同; 開(kāi)始一個(gè)新的抓包操作(與菜單-Capture-Start功能相同; 停止抓包操作(與菜單-Capture-Stop

14、功能相同; 重新開(kāi)始一個(gè)新的抓包操作(與菜單-Capture-Restart功能相同; 點(diǎn)擊圖標(biāo)后,wireshark會(huì)自動(dòng)彈出一個(gè)對(duì)話框,該對(duì)話框列出了我們計(jì)算機(jī)所安裝的網(wǎng)卡信息。從上面我們可以看出網(wǎng)卡的IP地址以及網(wǎng)卡的型號(hào),在有數(shù)據(jù)包收發(fā)時(shí)候“Packets”字段會(huì)有數(shù)字滾動(dòng)。如果計(jì)算機(jī)安裝了多塊網(wǎng)卡并且每個(gè)網(wǎng)卡配臵了多個(gè)IP地址的情況下,想針對(duì)某一塊網(wǎng)卡開(kāi)始一個(gè)抓包操作可以根據(jù)IP地址或者M(jìn)AC地址來(lái)區(qū)分不同的網(wǎng)卡。然后可直接點(diǎn)擊與網(wǎng)卡相對(duì)應(yīng)的“Start”按鈕;如圖3-1-2,; 圖3-1-2 如果我們想對(duì)抓包動(dòng)作做相應(yīng)的設(shè)臵的話,我們可以點(diǎn)擊該圖標(biāo)或者使用圖3-1-2所示的“Opt

15、ions”按鈕。在中文版界面該圖標(biāo)被翻譯為“抓包參數(shù)選項(xiàng)”。點(diǎn)擊圖標(biāo)后彈出一個(gè)對(duì)話框,該對(duì)話框主要如圖3-1-3所示分為以下5大塊:Capture(捕獲、Capture Files(抓包文件、Stop Capture(停止抓包、Display Options(查看設(shè)臵以及Name Resolution(名字映射。首先Capture列出了可以抓包的網(wǎng)卡,從圖3-1-4可以看出列出了我本機(jī)的一塊網(wǎng)卡,假如你主機(jī)裝了多塊網(wǎng)卡的話wireshark會(huì)一一列出來(lái)。你可以選擇特定的網(wǎng)卡捕捉進(jìn)出該網(wǎng)卡的數(shù)據(jù)包;Capture on all interfaces(捕捉所有接口選擇該復(fù)選框后本機(jī)安裝的所有顯示到

16、網(wǎng)卡列表的網(wǎng)卡都會(huì)執(zhí)行數(shù)據(jù)包捕捉操作;Capture all in promiscuous mode (設(shè)臵網(wǎng)卡為雜合模式如果不選擇該復(fù)選框那么wireshark將只會(huì)捕捉本機(jī)網(wǎng)卡所發(fā)收的數(shù)據(jù)包而不會(huì)捕捉局域網(wǎng)其他主機(jī)所發(fā)出的數(shù)據(jù)包;在這里我們選擇默認(rèn)操作。 Capture Files(捕捉數(shù)據(jù)包為文件這一欄如圖3-1-3所示有以下幾個(gè)選項(xiàng):Use multiple files(使用多個(gè)文件、Use pcap-ng format (該功能Wireshark暫未正式支持、Next file every n megabyte(s (到達(dá)指定文件大小、Next file every n minute

17、s(s (到達(dá)指定時(shí)間、Ring buffer with n files (到達(dá)緩沖區(qū)指定文件數(shù)目以及Stop caputure after n file(s (到達(dá)指定文件數(shù)目;以上幾個(gè)選項(xiàng)有效前提是選擇了第一個(gè)即:Use multiple files(使用多個(gè)文件復(fù)選框時(shí)生效。 圖3-1-3如上圖3-1-3所示我們選擇了Use multiple files(使用多個(gè)文件、Next file every n megabyte(s (到達(dá)指定文件大小以及Stop caputure after n file(s (到達(dá)指定文件數(shù)目復(fù)選框后指定到達(dá)1024KB 時(shí)自動(dòng)換一個(gè)新的文件進(jìn)行存儲(chǔ),存儲(chǔ)文

18、件到達(dá)2個(gè)時(shí)自動(dòng)停止抓包進(jìn)程。然后我們選擇“Browse”瀏覽到我們新建的.cap后綴名的文件(使用以上功能時(shí)候要新建一個(gè)后綴名為.cap的空文件,假如沒(méi)有指定 文件wireshark將找不到所要根據(jù)的文件名來(lái)自動(dòng)創(chuàng)建文件,將會(huì)彈出如圖3-1-4所示錯(cuò)誤信息。然后點(diǎn)擊“Start”按鈕執(zhí)行抓包操作。Wireshark會(huì)根據(jù)我們要求在抓取大小到1024KB(下拉菜單有多個(gè)存儲(chǔ)單位選項(xiàng)數(shù)據(jù)包后自動(dòng)創(chuàng)建2個(gè)1M大小的.cap文件來(lái)對(duì)數(shù)據(jù)包進(jìn)行存儲(chǔ)并且存儲(chǔ)文件數(shù)目達(dá)到2個(gè)時(shí)自動(dòng)停止抓包。如圖3-1-5所示; 圖3-1-4 圖3-1-5除了上述根據(jù)抓取數(shù)據(jù)包大小變換文件外,我們還可以使用Next fil

19、e every n minutes(s (到達(dá)指定時(shí)間指定一個(gè)抓包時(shí)間來(lái)進(jìn)行數(shù)據(jù)包抓取操作。如下圖3-1-6所示,我們選擇抓包時(shí)間為30秒(下拉菜單具有多個(gè)時(shí)間選項(xiàng)。點(diǎn)擊“Start”后wireshark執(zhí)行抓包操作; 圖3-1-6如上圖3-1-6所示,我們假如沒(méi)有選擇Stop caputure after n file(s (到達(dá)指定文件數(shù)目復(fù)選框,那么wireshark將每30秒創(chuàng)建一個(gè)新的.cap文件,并且會(huì)一直持續(xù)抓包除非人工手動(dòng)停止。所以建議和Stop caputure after n file(s (到達(dá)指定文件數(shù)目該復(fù)選框聯(lián)合使用;Ring buffer with n files

20、(到達(dá)緩沖區(qū)指定文件數(shù)目該復(fù)選框是規(guī)定所抓取的數(shù)據(jù)包到達(dá)指定文件大小后覆蓋文件內(nèi)容循環(huán)進(jìn)行抓包。相應(yīng)的操作如圖3-1-7所示: 圖3-1-7按上圖3-1-7配臵抓包操作,wireshark將會(huì)在抓包數(shù)量到達(dá)1M時(shí)自動(dòng)創(chuàng)建第2個(gè)文件,當(dāng)?shù)?個(gè)文件所存儲(chǔ)數(shù)據(jù)包數(shù)量也到達(dá)指定的1M時(shí)wireshark將會(huì)覆蓋之前第一個(gè)文件的內(nèi)容。繼而繼續(xù)存儲(chǔ)新的數(shù)據(jù)包;Stop Capture(停止抓包:該欄具有與上面Capture fils 一欄類似的功能,也是限制抓取數(shù)據(jù)包數(shù)量,唯一不同的是該欄是先抓取后存儲(chǔ)即不用預(yù)先指定參照文件名。在此欄我們可以定義在抓取多少數(shù)據(jù)包之后停止抓包,抓取數(shù)據(jù)包到達(dá)多大存儲(chǔ)大小以及

21、抓包多長(zhǎng)時(shí)間后停止抓包。假如我們選擇了如圖3-1-8所示配臵,那么wireshark將會(huì)在抓取了10個(gè)數(shù)據(jù)包之后停止抓包動(dòng)作; 圖3-1-8如圖3-1-9所示,wireshark在抓取了10個(gè)數(shù)據(jù)包之后停止了抓包進(jìn)程; 圖3-1-9除了按包數(shù)量捕捉外,我們還可以指定捕捉數(shù)據(jù)包到達(dá)指定大小以及捕捉動(dòng)作執(zhí)行多長(zhǎng)時(shí)間后停止抓包動(dòng)作,方法是勾選相應(yīng)的復(fù)選框后制定一個(gè)數(shù)值。在這里我們不在做過(guò)多贅述;Display Options(顯示設(shè)臵:顧名思義該選項(xiàng)與顯示有關(guān),如下圖3-1-10所示,從上至下第一個(gè)復(fù)選框Update list of packets in real time (實(shí)時(shí)更新數(shù)據(jù)包列表此選

22、項(xiàng)相當(dāng)于主菜單欄-顏色設(shè)臵欄- 圖標(biāo)。勾選此選項(xiàng)wireshark在捕捉數(shù)據(jù)包時(shí)我們可以實(shí)時(shí)看到數(shù)據(jù)包被捕獲到,反之捕獲進(jìn)行時(shí)的界面將會(huì)是如圖3-1-11所示,直到我們手動(dòng)或者自動(dòng)停止捕捉進(jìn)程wireshark才會(huì)列出所捕捉到的數(shù)據(jù)包; 圖3-1-10 圖3-1-11從上圖3-1-11所示底部狀態(tài)欄紅色矩形框內(nèi),我們可以看到數(shù)據(jù)包一直在增加,說(shuō)明wireshark在工作;依賴于Update list of packets in real time (實(shí)時(shí)更新數(shù)據(jù)包列表該選項(xiàng)工作的是Automatic scrolling in live capture (捕捉進(jìn)行時(shí)自動(dòng)滾動(dòng)。Wireshark在

23、有數(shù)據(jù)進(jìn)入時(shí)實(shí)時(shí)滾動(dòng)包列表面板,這樣您將一直能看到最近的包。反之,則最新數(shù)據(jù)包會(huì)被放臵在行末,但不會(huì)自動(dòng)滾動(dòng)面板。假如我們不選擇Update list of packets in real time (實(shí)時(shí)更新數(shù)據(jù)包列表該選項(xiàng)的話,那么Automatic scrolling in live capture (捕捉進(jìn)行時(shí)自動(dòng)滾動(dòng)選項(xiàng)將是灰色不可用狀態(tài)。Hide capture info dialog (隱藏捕捉信息對(duì)話框如果我們?nèi)∠x擇該復(fù)選框,那么在wireshark 執(zhí)行捕捉進(jìn)程時(shí)我們將看到一個(gè)數(shù)據(jù)包統(tǒng)計(jì)對(duì)話框。如圖3-1-12所示: 圖3-1-12依照數(shù)據(jù)包統(tǒng)計(jì)對(duì)話框我們可以看到在所有捕獲

24、到的數(shù)據(jù)包當(dāng)中,哪種協(xié)議的數(shù)據(jù)包數(shù)量最多;可以根據(jù)實(shí)際應(yīng)用情況選擇以上三項(xiàng)功能;最后要介紹的一項(xiàng)功能如圖3-1-10所示,Name Resolution (名稱解析:該欄有三個(gè)選項(xiàng)可選,依次為Enable MAC name resolution (開(kāi)啟MAC地址名字解析、Enable network name resolution (開(kāi)啟網(wǎng)絡(luò)地址名稱解析以及Enable transport name resolution (開(kāi)啟傳輸協(xié)議解析。codes(ethers file 如果ARP解析錯(cuò)誤,Wireshark會(huì)嘗試將以太網(wǎng)地址解析為已知設(shè)備名。這種解析需要用戶指定一個(gè)ethers文件為m

25、ac地址分配名稱。(e.g. 00:09:5b:01:02:03 -> homerouter.Ethernet manufacturer codes (manuf file 如果ARP解析和ethers文件都無(wú)法成功解析,Wireshark 會(huì)嘗試轉(zhuǎn)換mac地址的前三個(gè)字節(jié)為廠商名的縮寫(xiě)。mac地址的前三個(gè)字節(jié)是IEEE為各廠商分配的獨(dú)立地址(通過(guò)前三個(gè)字節(jié)可以得出每個(gè)網(wǎng)絡(luò)設(shè)備的供應(yīng)商,當(dāng)然這些也是可以被篡改的。,(e.g.00:09:5b:01:02:03 -> Netgear_01:02:03.Enable network name resolution (開(kāi)啟網(wǎng)絡(luò)地址名稱解析

26、:該功能開(kāi)啟和不開(kāi)啟基本無(wú)區(qū)別,建 議不要開(kāi)啟;Enable transport name resolution (開(kāi)啟傳輸協(xié)議解析:開(kāi)啟該功能后,wireshark會(huì)對(duì)所抓取的TCP、UDP協(xié)議的數(shù)據(jù)包發(fā)送接收的端口自動(dòng)解析為相對(duì)應(yīng)的服務(wù)。例如我們?cè)摴δ芎體ireshark會(huì)自動(dòng)將發(fā)送至TCP端口80的數(shù)據(jù)包解析為相對(duì)應(yīng)的HTTP服務(wù)。如圖3-1-13所示: 圖3-1-13如果我們不開(kāi)啟此功能的話那么wireshark將只會(huì)顯示出所發(fā)送或接收數(shù)據(jù)包的端口號(hào),而不會(huì)顯示該端口用于什么服務(wù);在這里我們不在做過(guò)多的演示操作; 該圖標(biāo)用于開(kāi)始一個(gè)新的抓包操作,點(diǎn)擊后wireshark將會(huì)開(kāi)始一個(gè)新的

27、抓包進(jìn)程,如果您已經(jīng)抓取了數(shù)據(jù)包(數(shù)據(jù)包列表存在數(shù)據(jù)包那么wireshark將會(huì)問(wèn)您是不是對(duì)當(dāng)前的數(shù)據(jù)包保存;如圖3-1-14所示: 3-1-14選擇“Continue without Saving”(繼續(xù)操作不做保存后wireshark將會(huì)開(kāi)始一個(gè)新的抓包進(jìn)程; 該圖標(biāo)用于停止一個(gè)抓包進(jìn)程。當(dāng)我們捕捉到合適數(shù)量的數(shù)據(jù)包后,我們點(diǎn)擊該按鈕wireshark 將會(huì)停止抓包操作。這時(shí)我們即可對(duì)所抓取的數(shù)據(jù)包進(jìn)行觀察; 重新開(kāi)始一個(gè)新的抓包進(jìn)程,如果我們沒(méi)有抓取到我們需要的數(shù)據(jù)包,那么可以點(diǎn)擊該按鈕重新開(kāi)始抓包;類似于。在這里不再過(guò)多描述;如圖3-1-1黃色矩形框內(nèi)所示,文件工具欄有六個(gè)圖標(biāo)。他們分

28、別代表: 打開(kāi)一個(gè)新的數(shù)據(jù)包文件;(與菜單欄-file-open相同 保存當(dāng)前所抓取的數(shù)據(jù)包為文件;(與菜單欄-file-Save相同 關(guān)閉當(dāng)前抓取的數(shù)據(jù)包列表顯示界面;(與菜單欄-file-Close相同 重新載入當(dāng)前的抓取的數(shù)據(jù)包;(與菜單欄-View-Reload相同 打印當(dāng)前捕捉的數(shù)據(jù)包;(與菜單欄-file-Print相同從以上介紹大家也可以看出,該工具欄主要用于數(shù)據(jù)包問(wèn)價(jià)的操作。由于有些操作簡(jiǎn)單在這里就不一 沒(méi)有任何反應(yīng),這時(shí)候我們點(diǎn)擊后可以看到HTTP傳輸?shù)哪康亩丝谟?0變成了HTTP。如圖3-1-16: (沒(méi)有做修改刷新前圖3-1-15 (修改刷新后圖3-1-16從以上兩幅圖紅色矩形框內(nèi)可以看到wireshark把80端口解析為常用的HTTP協(xié)議。當(dāng)然在此我們只是舉一個(gè)小小的示例,刷新功能還有其他的用法。這就需要大家實(shí)際操作中慢慢的來(lái)進(jìn)行發(fā)現(xiàn)了;如圖3-1-1黃色矩形框內(nèi)所示,該工具欄主用于數(shù)據(jù)包的定位操作。各圖標(biāo)的功能如下: 該功能我們會(huì)在后續(xù)與抓包過(guò)濾器一起介紹; 在數(shù)據(jù)包列表向后顯示鼠標(biāo)所點(diǎn)擊過(guò)的數(shù)據(jù)包; 在數(shù)據(jù)包列表向前顯示鼠標(biāo)所點(diǎn)擊過(guò)的數(shù)據(jù)包; 定位到特定數(shù)據(jù)包序號(hào);(點(diǎn)擊該按鈕會(huì)彈出對(duì)話框,指定