表 3.10. 主工具栏选项 工具栏图标 工具栏项 对应菜单项 描述 接口 选项。。。 Start STOP Restar Open... Capture/Interfaces... Capture/Options Capture/Start Capture/Stop Caputer/Rstart File/Open 打开接口列表对话框,见第 4.3 节 “开始捕捉” 打开捕捉选项对话框,见第 4.4 节 “捕捉接口对话框” 使用最后一次的捕捉设置立即开始捕捉 停止当前的捕捉,见第 4.3 节 “开始捕捉” 停止当前捕捉,并立即重新开始 启动打开文件对话框,用于载入文件,详见第 5.2.1 节 “打开捕捉文件对话框” 保存当前文件为任意其他的文件,它将会弹出一个对话框,(见第 5.3.1 节 “\\对话框” 注意 如果当前文件是临时未保存文件,图标将会显示为 Save As... File/Save As... Close Reload Print File/Close View/Reload File/Print 关闭当前文件。如果未保存,将会提示是否保存 重新载入当前文件 打印捕捉文件的全部或部分,将会弹出一个打印对话框(见第 5.7 节 “打印包”) 打开一个对话框,查找包。见第 6.7 节 “查找包” 返回历史记录中的上一个 跳转到历史记录中的下一个包 弹出一个设置跳转到指定的包的对话框 跳转到第一包 跳转到最后一个包 切换是否以彩色方式显示包列表 Find packet... Edit/Find Packet... Go Back Go Forward Go/Go Back Go/Go Forward Go to Packet... Go/Go to Packet... Go To First Packet Go/First Packet Go To Last Packet Go/Last Packet Colorize View/Coloreze Auto Scroll in View/Auto Scrool in Live 开启/关闭实时捕捉时自动滚动包列表 Live Capture Zoom in zoom out Normal Size View/Zoom In View/Zoom Out View/Normal Size 增大字体 缩小字体 设置缩放大小为100% 重置列宽,使内容适合列宽(使包列表内的文字可以完全显示) Resize Columns View/Resize Columns Capture Filters..
打开对话框,用于创建、编辑过滤器。详见第 6.6 节 “定Capture/Capture Filters... 义,保存过滤器” 26
工具栏图标 工具栏项 对应菜单项 描述 打开对话框,用于创建、编辑过滤器。详见第 6.6 节 “定义,保存过滤器” 定义以色彩方式显示数据包的规则详见第 9.3 节 “包色彩显示设置” 打开首选项对话框,详见第 9.5 节 “首选项” 打开帮助对话框 Display Filters.. Coloring Rules... Analyze/ Filters... View/Coloring Rules... Preferences... Edit/Preferences Help Help/Contents 3.14. \工具栏
过滤工具栏用于编辑或显示过滤器,更多详情见第 6.3 节 “浏览时过滤包” 图 3.12. 过滤工具栏
表 3.11. 工具工具栏栏图项 标 过滤 说明 打开构建过滤器对话框,见第 6.7 节 “查找包”[a] 在此区域输入或修改显示的过滤字符,见第 6.4 节 “建立显示过滤表达式”,在输入过程中会进行语法检查。如果您输入的格式不正确,或者未输入完成,则背景显示为红色。直到您输入合法的表达式,背景会变为绿色。你可以点击下拉列表选择您先前键入的过滤字符。列表会一直保留,即使您重新启动程序。 过滤输入框 注意 做完修改之后,记得点击右边的Apply(应用)按钮,或者回车,以使过滤生效。 注意 输入框的内容同时也是当前过滤器的内容(当前过滤器的内容会反映在输入框) 表达标签为表达式的按钮打开一个对话框用以从协议字段列表中编辑过滤器,详见第 6.5 节 ““Filter 式... Expression/过滤表达式”对话框” 清除 重置当前过滤器,清除输入框 应用当前输入框的表达式为过滤器进行过滤 应用 注意 在大文件里应用显示过滤可能要很长时间 [a] 我看到的Filter按钮貌似没有图标,可能只出现在0.99.4版中 3.15. \面板
Packet list/包列表面板显示所有当前捕捉的包 图 3.13. \包列表\面板
27
列表中的每行显示捕捉文件的一个包。如果您选择其中一行,该包得更多情况会显示在\包详情\,\包字节\面板
在分析(解剖)包时,Wireshark会将协议信息放到各个列。因为高层协议通常会覆盖底层协议,您通常在包列表面板看到的都是每个包的最高层协议描述。
例如:让我们看看一个包括TCP包,IP包,和一个以太网包。在以太网(链路层?)包中解析的数据(比如以太网地址),在IP分析中会覆盖为它自己的内容(比如IP地址),在TCP分析中会覆盖IP信息。
包列表面板有很多列可供选择。需要显示哪些列可以在首选项中进行设置,见第 9.5 节 “首选项” 默认的列如下
? ? ? ? ? ?
No. 包的编号,编号不会发生改变,即使进行了过滤也同样如此
Time 包的时间戳。包时间戳的格式可以自行设置,见第 6.10 节 “时间显示格式及参考时间” Source 显示包的源地址。
Destination 显示包的目标地址。 Protocal 显示包的协议类型的简写 Info 包内容的附加信息
右击包,可以显示对包进行相关操作的上下文菜单。见第 6.3 节 “浏览时过滤包”
3.16. \面板
\包详情\面板显示当前包(在包列表面板被选中的包)的详情列表。 图 3.14. \包详情\面板
该面板显示包列表面板选中包的协议及协议字段,协议及字段以树状方式组织。你可以展开或折叠它们。 右击它们会获得相关的上下文菜单。见第 6.4 节 “建立显示过滤表达式” 某些协议字段会以特殊方式显示
Generated fields/衍生字段 Wireshark会将自己生成附加协议字段加上括号。衍生字段是通过该包的相关的其他包结合生成的。例如:Wireshark 在对TCP流应答序列进行分析时。将会在TCP协议中添加[SEQ/ACK analysis]字段
? Links/链接 如果Wireshark检测到当前包与其它包的关系,将会产生一个到其它包的链接。链接字段显示为蓝色字体,并加有下划线。双击它会跳转到对应的包。
?
3.17. \面板
Packet Byte/包字节 面板以16进制转储方式显示当前选择包的数据 图 3.15. Packet Byte/包字节面板
28
通常在16进制转储形式中,左侧显示包数据偏移量,中间栏以16进制表示,右侧显示为对应的ASCII字符 根据包数据的不同,有时候包字节面板可能会有多个页面,例如:有时候Wireshark会将多个分片重组为一个,见第 7.5 节 “合并包”.这时会在面板底部出现一个附加按钮供你选择查看 图 3.16. 带选项的\包字节\面板
注意
附加页面的内容可能来自多个包。
右击选项按钮会显示一个上下文菜单显示所有可用的页的清单。如果您的面板尺寸过小,这项功能或许有所帮助
3.18. 状态栏
状态栏用于显示信息
通常状态栏的左侧会显示相关上下文信息,右侧会显示当前包数目 图 3.17. 初始状态栏
该状态栏显示的是没有文件载入时的状态,如:刚启动Wireshark时 图 3.18. 载入文件后的状态栏
左侧显示当前捕捉文件信息,包括名称,大小,捕捉持续时间等。 右侧显示当前包在文件中的数量,会显示如下值 P:捕捉包的数目 ? D:被显示的包的数目 ? M: 被标记的包的数目.
?
图 3.19. 已选择协议字段的状态栏
如果你已经在\包详情\面板选择了一个协议字段,将会显示上图
提示
括号内的值(如上图的app.opcode)可以作为显示过滤使用。它表示选择的协议字段。
29
第 4 章 实时捕捉数据包
4.1. 介绍
实时捕捉数据包时Wireshar的特色之一 Wiershark捕捉引擎具备以下特点
? ? ? ? ?
支持多种网络接口的捕捉(以太网,令牌环网,ATM...)
支持多种机制触发停止捕捉,例如:捕捉文件的大小,捕捉持续时间,捕捉到包的数量... 捕捉时同时显示包解码详情
设置过滤,减少捕捉到包的容量。见第 4.8 节 “捕捉时过滤”
长时间捕捉时,可以设置生成多个文件。对于特别长时间的捕捉,可以设置捕捉文件大小罚值,设置仅保留最后的N个文件等手段。见第 4.6 节 “捕捉文件格式、模式设置”
Wireshark捕捉引擎在以下几个方面尚有不足
从多个网络接口同时实时捕捉,(但是您可以开始多个应用程序实体,捕捉后进行文件合并) ? 根据捕捉到的数据停止捕捉(或其他操作)
?
4.2. 准备工作
第一次设置Wireshark捕捉包可能会遇到一些小麻烦
提示
关于如何进行捕捉设置的较为全面的向导可以在:http://wiki.wireshark.org/CaptureSetup.
这里有一些常见需要注意的地方
你必须拥有root/Administrator特权以开始捕捉 ? 必须选择正确的网络接口捕捉数据
? 如果您想捕捉某处的通信,你必须作出决定:在什么地方可以捕捉到 ? ??以及许多
?
[12]
如果你碰到设置问题,建议看看前面的那个向导,或许会有所帮助
4.3. 开始捕捉
可以使用下任一方式开始捕捉包
使用
打开捕捉接口对话框,浏览可用的本地网络接口,见图 4.1 “\Interfaces\捕捉接口对话框”,
?
选择您需要进行捕捉的接口启动捕捉 你也可以使用\
捕捉选项\按钮启动对话框开始捕捉,见图 4.2 “\捕捉选项\对话框”
开始捕捉\按钮或者是菜单项立即开始本次捕捉。
? ? ?
如果您前次捕捉时的设置和现在的要求一样,您可以点击\
如果你已经知道捕捉接口的名称,可以使用如下命令从命令行开始捕捉: wireshark -i eth0 -k
上述命令会从eht0接口开始捕捉,有关命令行的介绍参见第 9.2 节 “从命令行启动Wireshark”
4.4. 捕捉接口对话框
如果您从捕捉菜单选择\,将会弹出如图 4.1 “\Interfaces\捕捉接口对话框”所示的对话框
警告
打开\捕捉对话框时 同时正在显示捕捉的数据,这将会大量消耗您的系统资源。尽快
选择您需要的接口以结束该对话框。避免影响系统性能
30