另外一个常见问题是很多用户抱怨最后编译、链接过程需要等待太长时间。这通常是因为使用老式的sed命令(比如solaris下传输)。自从libtool脚本使用sed命令建立最终链接命令,常常会导致不可知的错误。您可以通过下载最新版本的sed解决该问题http://directory.fsf.org/GNU/sed.html.
如果您无法检测出错误原因。发送邮件到wireshark-dev说明您的问题。当然,邮件里要附上config.log以及其他您认为对解决问题有帮助的东西,例如make过程的追踪。
2.7. 在Windows下编译源
在Windows平台下,我们建议最好是使用二进制包直接安装,除非您是从事Wireshark开发的。 如果想了解关于Windows下编译安装Wireshark,请查看我们的开发WIKI网站http://wiki.wireshark.org/Development来了解最新的开发方面的文档。
2.8. 在Windows下安装Wireshark
本节将探讨在Windows下安装Wireshark二进制包。
2.8.1. 安装Wireshark
您获得的Wireshark二进制安装包可能名称类似Wireshark-setup-x.y.z.exe. Wireshark安装包包含WinPcap,所以您不需要单独下载安装它。
您只需要在http://www.wireshark.org/download.html#releases下载Wireshark安装包并执行它即可。除了普通的安装之外,还有几个组件供挑选安装。
提示:尽量保持默认设置
如果您不了解设置的作用的话。
选择组件[11]
Wireshark(包括GTK1和GTK2接口无法同时安装):
如果您使用GTK2的GUI界面遇到问题可以尝试GTK1,在Windows下256色(8bit)显示模式无法运行GTK2.但是某些高级分析统计功能在GTK1下可能无法实现。
Wireshark GTK1-Wireshark 是一个GUI网络分析工具
? Wireshark GTK2-Wireshark 是一个GUI网络分析工具(建议使用GTK2 GUI模组工具) ? GTK-Wimp-GTKWimp是诗歌GTK2窗口模拟(看起来感觉像原生windows32程序,推荐使用) ? TSshark-TShark 是一个命令行的网络分析工具
?
插件/扩展(Wireshark,TShark分析引擎):
Dissector Plugins-分析插件:带有扩展分析的插件
? Tree Statistics Plugins-树状统计插件:统计工具扩展
? Mate - Meta Analysis and Tracing Engine (experimental):可配置的显示过滤引擎,参考http://wiki.wireshark.org/Mate. ? SNMP MIBs: SNMP,MIBS的详细分析。
?
Tools/工具(处理捕捉文件的附加命令行工具
User’s Guide-用户手册-本地安装的用户手册。如果不安装用户手册,帮助菜单的大部分按钮的结果可能就是访问internet.
? ?
Editcap - Editcap is a program that reads a capture file and writes some or all of the packets into another capture file. /Editcap是一个读取捕捉文件的程序,还可以将一个捕捉文件力的部分或所有信息写入另一个捕捉文件。(文件合并or插入?)
Text2Pcap - Text2pcap is a program that reads in an ASCII hex dump and writes the data into a libpcap-style capture file./Tex2pcap是一个读取ASCII hex,写入数据到libpcap个文件的程序。
? Mergecap - Mergecap is a program that combines multiple saved capture files into a single output file. / Mergecap是一个可以将多个播捉文件合并为一个的程序。
? Capinfos - Capinfos is a program that provides information on capture files. /Capinfos是一个显示捕捉文件信息的程序。
11
“Additional Tasks”页
Start Menu Shortcuts-开始菜单快捷方式-增加一些快捷方式到开始菜单 ? Desktop Icon-桌面图标-增加Wireshark图标到桌面
? Quick Launch Icon-快速启动图标-增加一个Wireshark图标到快速启动工具栏
? Associate file extensions to Wireshark-Wireshark文件关联-将捕捉包默认打开方式关联到Wireshark
?
Install WinPcap?”页
Wireshark安装包里包含了最新版的WinPcap安装包。
如果您没有安装WinPcap 。您将无法捕捉网络流量。但是您还是可以打开以保存的捕捉包文件。
Currently installed WinPcap version-当前安装的WinPcap版本
? Install WinPcap x.x -如果当前安装的版本低于Wireshark自带的,该选项将会是默认值。
? Start WinPcap service \ -将WinPcap的服务NPF在启动时运行-这样其它非管理员用户就同样可以捕捉包了。
?
更多关于WinPcap的信息:
Wireshark 相关http://wiki.wireshark.org/WinPcap ? WinPcap官方网站:http://www.winpcap.org
?
安装命令选项
您可以直接在命令行运行安装包,不加任何参数,这样会显示常用的参数以供交互安装。 在个别应用中,可以选择一些参数定制安装:
? ? ? ? ?
/NCRC 禁止CRC校检
/S 静默模式安装或卸载Wireshark.注意:静默模式安装时不会安装WinPcap!
/desktopicon 安装桌面图标,/desktopicon=yes表示安装图标,反之则不是,适合静默模式。
/quicklaunchicon 将图标安装到快速启动工具栏,=yes-安装到工具栏,=no-不安装,不填按默认设置。 /D 设置默认安装目录($INSTDIR),首选安装目录和安装目录注册表键值,该选项必须设置到最后。即使路径包含空格
例 2.5.
wireshark-setup-0.99.5.exe /NCRC /S /desktopicon=yes /quicklaunchicon=no /D=C:\\Program Files\\Foo
2.8.2. 手动安装WinPcap
注意
事先声明,Wireshark安装时会谨慎对待WinPcap的安装,所以您通常不必担心WinPcap。
下面的WinPcap仅适合您需要尝试未包括在Wireshark内的不同版本WinPcap。例如一个新版本的WinPcap发布了,您需要安装它。
单独的WinPcap版本(包括alpha or beta版)可以在下面地址下载到
WinPcap官方网站:http://www.winpcap.org
? Wiretapped.net 镜像站点: http://www.mirrors.wiretapped.net/security/packet-capture/winpcap
?
在下载页面您将会发现WinPcap的安装包名称通常类似于”auto-installer”。它们可以在NT4.0/2000/XP/vista下安装。
2.8.3. 更新Wireshark
有时候您可能想将您的WinPcap更新到最新版本,如果您订阅了Wireshark通知邮件,您将会获得Wireshark新版本发布的通知,见第 1.6.4 节 “邮件列表”
。
新版诞生通常需要8-12周。更新Wireshark就是安装一下新版本。下载并安装它就可以。更新通常不需要重新启动,也不会更改过去的默认设置
12
2.8.4. 更新WinPcap
WinPcap的更新不是十分频繁,通常一年左右。新版本出现的时候您会收到WinPcap的通知。更新WinPcap后需要重新启动。
警告
在安装新版WinPcap之前,如果您已经安装了旧版WinPcap,您必须先卸载它。最近版本的WinPcap安装时会自己卸载旧版。
2.8.5. 卸载Wireshark
你可以用常见方式卸载Wireshark,使用添加/删除程序,选择”Wireshark”选项开始卸载即可。
Wireshark卸载过程中会提供一些选项供您选择卸载哪些部分,默认是卸载核心组件,但保留个人设置和WinPcap. WinPcap默认不会被卸载,因为其他类似Wireshark的程序有可能同样适用WinPcap
2.8.6. 卸载WinPcap
你可以单独卸载WinPcap,在添加/删除程序选择”WinPcap”卸载它。
注意
卸载WinPcap之后您将不能使用Wireshark捕捉包。
在卸载完成之后最好重新启动计算机。
[9]
译者注:看到别人翻译Pipelin之类的,似乎就是叫管道,不知道是否准确
[10]
译者注:本人不熟悉UNIX/LINUX,这一段翻译的有点云里雾里,可能大家通过这部分想安装Wireshark会适得其反,那就对不住了。下面个人说一下UNIX/LINUX下安装方法。 UNIX/LINUX下安装时,有两种安装方式,1是下载源码包自己编译,这种方式的好处是因为下载源码包是单一的,可以自行加以修改,编译就是适合自己平台的了。 2、是利用已经做好的发行包直接安装,这种方法的好处是只要下载到跟自己平台对应的就可以,但缺点也在这里,不是每个平台都能找到合适的。不管是编译安装,还是使用发行包安装,都需要有一些有些基本基本支持。比如Linux下的GTK+支持,捕捉包时需要用的libpcap. 这一点可以参考第 2.3 节 “在UNIX下安装之前 ”。编译的一般步骤是解压,编译,安装(tar zxvf Wireshark-0.99.5-tar.gz;make;make install).直接安装则是根据各自平台安装的特点。
[11]
涉及到过多的名次,软件又没有中文版,这里及以后尽量不翻译名称
13
第 3 章 用户界面
3.1. 须知
现在您已经安装好了Wireshark,几乎可以马上捕捉您的一个包。紧接着的这一节我们将会介绍:
? ? ? ? ?
Wireshark的用户界面如何使用 如何捕捉包 如何查看包 如何过滤包
??以及其他的一些工作。
3.2. 启动Wireshark
你可以使用Shell命令行或者资源管理器启动Wireshark.
提示
开始Wireshark时您可以指定适当的参数。参见第 9.2 节 “从命令行启动Wireshark” 注意
在后面的章节中,将会出现大量的截图,因为Wireshark运行在多个平台 ,并且支持多个GUI Toolkit(GTK1.x/2x),您的屏幕上显示的界面可能与截图不尽吻合。但在功能上不会有实质性区别。尽管有这些区别,也不会导致理解上的困难。
3.3. 主窗口
先来看看图 3.1 “主窗口界面”,大多数打开捕捉包以后的界面都是这样子(如何捕捉/打开包文件随后提到)。 图 3.1. 主窗口界面
和大多数图形界面程序一样,Wireshark主窗口由如下部分组成:
14
1. 菜单(见第 3.4 节 “主菜单”)用于开始操作。
2. 主工具栏(见第 3.13 节 “\工具栏”)提供快速访问菜单中经常用到的项目的功能。 3. Fiter toolbar/过滤工具栏(见第 3.14 节 “\工具栏”)提供处理当前显示过滤得方法。(见6.3:”浏览时进行过滤”)
4. Packet List面板(见第 3.15 节 “\面板”)显示打开文件的每个包的摘要。点击面板中的单独条目,包的其他情况将会显示在另外两个面板中。
5. Packet detail面板(见第 3.16 节 “\面板”)显示您在Packet list面板中选择的包德更多详情。
6. Packet bytes面板(见第 3.17 节 “\面板”)显示您在Packet list面板选择的包的数据,以及在Packet details面板高亮显示的字段。
7. 状态栏(见第 3.18 节 “状态栏”)显示当前程序状态以及捕捉数据的更多详情。
注意
主界面的三个面版以及各组成部分可以自定义组织方式。见第 9.5 节 “首选项”
3.3.1. 主窗口概述
Packet list和Detail 面版控制可以通过快捷键进行。表 3.1 “导航快捷键”显示了相关的快捷键列表。表 3.5 “\菜单项”有关于快捷键的更多介绍 表 3.1. 导航快捷键
快捷键 Down Up Ctrl-UP,F7 Left Right Backspace 另外,在主窗口键入任何字符都会填充到filter里面。
移动到下一个包或者下一个详情 移动到上一个包或者上一个详情 移动到前一个报,即使焦点不在Packet list面版 在Pactect Detail面版,关闭被选择的详情树状分支。如果以关闭,则返回到父分支。 在Packet Detail面版,打开被选择的树状分支. Packet Detail面版,返回到被选择的节点的父节点 描述 Tab,Shift+Tab 在两个项目间移动,例如从一个包列表移动到下一个 Ctrl-Down,F8 移动到下一个包,即使焦点不在Packet list面版 Return,Enter Packet Detail面版,固定被选择树项目。 3.4. 主菜单
Wireshark主菜单位于Wireshark窗口的最上方。图 3.2 “主菜单”提供了菜单的基本界面。 图 3.2. 主菜单
主菜单包括以下几个项目: File
包括打开、合并捕捉文件,save/保存,Print/打印,Export/导出捕捉文件的全部或部分。以及退出Wireshark项.见第 3.5 节 “\菜单” Edit
包括如下项目:查找包,时间参考,标记一个多个包,设置预设参数。(剪切,拷贝,粘贴不能立即执行。)见第 3.6 节 “\菜单” View
控制捕捉数据的显示方式,包括颜色,字体缩放,将包显示在分离的窗口,展开或收缩详情面版的地树状节点,??见第 3.7 节 “\菜单” GO
15