wireshark学习系列————3、用户界面
前言
现在您已经安装好了Wireshark,几乎可以马上捕捉您的一个包。接下来我们将介绍以下内容:
- Wireshark的用户界面如何使用
- 如何捕捉包
- 如何查看包
- 如何过滤包
- 其他内容
主窗口界面
和大多数图形界面程序一样,Wireshark主窗口由如下部分组成:
- 菜单,用于开始操作。
- 主工具栏,提供快速访问菜单中经常用到的项目的功能。
- Fiter toolbar/过滤工具栏,提供处理当前显示过滤得方法。(见6.3:”浏览时进行过滤”)
- Packet List面板,显示打开文件的每个包的摘要。点击面板中的单独条目,包的其他情况将会显示在另外两个面板中。
- Packet detail面板,显示您在Packet list面板中选择的包德更多详情。
- Packet bytes面板,显示您在Packet list面板选择的包的数据,以及在Packet details面板高亮显示的字段。
- 状态栏,显示当前程序状态以及捕捉数据的更多详情。
快捷键 | 描述 |
Tab,Shift+Tab | 在两个项目间移动,例如从一个包列表移动到下一个 |
Down | 移动到下一个包或者下一个详情 |
Up | 移动到上一个包或者上一个详情 |
Ctrl-Down,F8 | 移动到下一个包,即使焦点不在Packet list面版 |
Ctrl-UP,F7 | 移动到前一个包,即使焦点不在Packet list面版 |
Left | 在Pactect Detail面版,关闭被选择的详情树状分支。如果以关闭,则返回到父分支。 |
Right | 在Packet Detail面版,打开被选择的树状分支. |
Backspace | Packet Detail面版,返回到被选择的节点的父节点 |
Return,Enter | Packet Detail面版,固定被选择树项目。 |
另外,在主窗口键入任何字符都会填充到filter里面。
主菜单
Wireshark主菜单位于Wireshark窗口的最上方。
"File"菜单
File菜单介绍
菜单项 | 快捷键 | 描述 | ||||||
Open... | Ctr+O | 显示打开文件对话框,让您載入捕捉文件用以浏览。 | ||||||
Open Recent |
| 弹出一个子菜单显示最近打开过的文件供选择。 | ||||||
Merg |
| 显示合并捕捉文件的对话框。让您选择一个文件和当前打开的文件合并。 | ||||||
Close | Ctrl+W | 关闭当前捕捉文件,如果您未保存,系统将提示您是否保存(如果您预设了禁止提示保存,将不会提示) | ||||||
Save | Crl+S |
保存当前捕捉文件,如果您没有设置默认的保存文件名,Wireshark出现提示您保存文件的对话框。
| ||||||
Save As | Shift+Ctrl+S | 让您将当前文件保存为另外一个文件面,将会出现一个另存为的对话框 | ||||||
File Set>List Files |
| 允许您显示文件集合的列表。将会弹出一个对话框显示已打开文件的列表 | ||||||
File Set>Next File |
| 如果当前載入文件是文件集合的一部分,将会跳转到下一个文件。如果不是,将会跳转到最后一个文件。这个文件选项将会是灰色。 | ||||||
File set>Previous Files |
| 如果当前文件是文件集合 的一部分,将会调到它所在位置的前一个文件。如果不是则跳到文件集合的第一个文件,同时变成灰色。 | ||||||
Export> as “Plain Text” File… |
| 这个菜单允许您将捕捉文件中所有的或者部分的包导出为plain ASCII text格式。它将会弹出一个Wireshark导出对话框 | ||||||
Export >as "PostScript" Files |
| 将捕捉文件的全部或部分导出为PostScrit文件。将会出现导出文件对话框。 | ||||||
Export > as "CVS" (Comma Separated Values Packet Summary)File... |
| 导出文件全部或部分摘要为.cvs格式(可用在电子表格中)。将会弹出导出对话框, | ||||||
Export > as “PSML” File… |
| 导出文件的全部或部分为PSML格式(包摘要标记语言)XML文件。将会弹出导出文件对话框。 | ||||||
Export as "PDML" File... |
| 导出文件的全部或部分为PDML(包摘要标记语言)格式的XML文件。将会弹出一个导出文件对话框 | ||||||
Export > Selected Packet Bytes… |
| 导出当前在Packet byte面版选择的字节为二进制文件。将会弹出一个导出对话框。 | ||||||
Ctr+P | 打印捕捉包的全部或部分,将会弹出打印对话框。 | |||||||
Quit | Ctrl+Q | 退出Wireshark,如果未保存文件,Wireshark会提示是否保存。 | ||||||
"Edit"菜单
Edit菜单选项
菜单项 | 快捷键 | 描述 |
Copy>As Filter | Shift+Ctrl+C | 使用详情面版选择的数据作为显示过滤。显示过滤将会拷贝到剪贴板。 |
Find Packet... | Ctr+F | 打开一个对话框用来通过限制来查找包, |
Find Next | Ctrl+N | 在使用Find packet以后,使用该菜单会查找匹配规则的下一个包 |
Find Previous | Ctr+B | 查找匹配规则的前一个包。 |
Mark Packet(toggle) | Ctrl+M | 标记当前选择的包。 |
Find Next Mark | Shift+Ctrl+N | 查找下一个被标记的包 |
Find Previous Mark | Ctrl+Shift+B | 查找前一个被标记的包 |
Mark ALL Packets |
| 标记所有包 |
Unmark All Packet |
| 取消所有标记 |
Set Time Reference(toggle) | Ctrl+T | 以当前包时间作为参考 |
Find Next Reference |
| 找到下一个时间参考包 |
Find Previous Refrence... |
| 找到前一个时间参考包 |
Preferences... | Shift+Ctrl+P | 打开首选项对话框,个性化设置Wireshark的各项参数,设置后的参数将会在每次打开时发挥作用。 |
"View"菜单
菜单项 | 快捷键 | 描述 | ||
Main Toolbar |
| 显示隐藏Main toolbar(主工具栏) | ||
Filter Toolbar |
| 显示或隐藏Filter Toolbar(过滤工具栏) | ||
Statusbar |
| 显示或隐藏状态栏 | ||
Packet List |
| 显示或隐藏Packet List pane(包列表面板) | ||
Packet Details |
| 显示或隐藏Packet details pane(包详情面板) | ||
Packet Bytes |
| 显示或隐藏 packet Bytes pane(包字节面板) | ||
Time Display Fromat>Date and Time of Day: 1970-01-01 01:02:03.123456 |
|
选择这里告诉Wireshark将时间戳设置为绝对日期-时间格式(年月日,时分秒)
| ||
Time Display Format>Time of Day: 01:02:03.123456 |
| 将时间设置为绝对时间-日期格式(时分秒格式) | ||
Time Display Format > Seconds Since Beginning of Capture: 123.123456 |
| 将时间戳设置为秒格式,从捕捉开始计时 | ||
Time Display Format > Seconds Since Previous Captured Packet: 1.123456 |
| 将时间戳设置为秒格式,从上次捕捉开始计时 | ||
Time Display Format > Seconds Since Previous Displayed Packet: 1.123456 |
| 将时间戳设置为秒格式,从上次显示的包开始计时 | ||
Time Display Format > ------ |
|
| ||
Time Display Format > Automatic (File Format Precision) |
|
根据指定的精度选择数据包中时间戳的显示方式
| ||
Time Display Format > Seconds: 0 |
| 设置精度为1秒 | ||
Time Display Format > ...seconds: 0.... |
| 设置精度为1秒,0.1秒,0.01秒,百万分之一秒等等 | ||
Name Resolution > Resolve Name |
| 仅对当前选定包进行解析 | ||
Name Resolution > Enable for MAC Layer |
| 是否解析Mac地址 | ||
Name Resolution > Enable for Network Layer |
| 是否解析网络层地址(ip地址) | ||
Name Resolution > Enable for Transport Layer |
| 是否解析传输层地址 | ||
|
|
| ||
Colorize Packet List |
| 是否以彩色显示包 | ||
Auto Scrooll in Live Capture |
|
控制在实时捕捉时是否自动滚屏,如果选择了该项,在有新数据进入时, 面板会项上滚动。 您始终能看到最后的数据。反之,您无法看到满屏以后的数据,除非您手动滚屏 | ||
Zoom In | Ctrl++ | 增大字体 | ||
Zoom Out | Ctrl+- | 缩小字体 | ||
Normal Size | Ctrl+= | 恢复正常大小 | ||
Resiz All Columnus |
|
恢复所有列宽
| ||
Expend Subtrees |
| 展开子分支 | ||
Expand All |
| 看开所有分支,该选项会展开您选择的包的所有分支。 | ||
Collapse All |
| 收缩所有包的所有分支 | ||
Coloring Rulues... |
|
打开一个对话框,让您可以通过过滤表达来用不同的颜色显示包。 这项功能对定位特定类型的包非常有用 | ||
Show Packet in New Window |
| 在新窗口显示当前包,(新窗口仅包含View,Byte View两个面板) |
"Go"菜单
菜单项 | 快捷键 | 描述 |
Back | Alt+Left | 跳到最近浏览的包,类似于浏览器中的页面历史纪录 |
ForWard | Alt+Right | 跳到下一个最近浏览的包,跟浏览器类似 |
Go to Packet | Ctrl+G | 打开一个对话框,输入指定的包序号,然后跳转到对应的包 |
Go to Corresponding Packet |
| 跳转到当前包的应答包,如果不存在,该选项为灰色 |
Previous Packet | Ctrl+UP | 移动到包列表中的前一个包,即使包列表面板不是当前焦点,也是可用的 |
Next Packet | Ctrl+Down | 移动到包列表中的后一个包 |
First Packet |
| 移动到列表中的第一个包 |
Last Packet |
| 移动到列表中的最后一个包 |
"Capture"菜单
菜单项 | 快捷键 | 说明 |
Interface... |
| 在弹出对话框选择您要进行捕捉的网络接口 |
Options... | Ctrl+K | 打开设置捕捉选项的对话框,并可以在此开始捕捉 |
Start |
| 立即开始捕捉,设置都是参照最后一次设置。 |
Stop | Ctrl+E | 停止正在进行的捕捉 |
Restart |
| 正在进行捕捉时,停止捕捉,并按同样的设置重新开始捕捉.仅在您认为有必要时 |
Capture Filters... |
| 打开对话框,编辑捕捉过滤设置,可以命名过滤器,保存为其他捕捉时使用 |
"Analyze"菜单
菜单项 | 快捷键 | 说明 |
Display Filters... |
| 打开过滤器对话框编辑过滤设置,可以命名过滤设置,保存为其他地方使用 |
Apply as Filter>... |
|
更改当前过滤显示并立即应用。根据选择的项,当前显示字段会被替换成选择在Detail 面板的协议字段 |
Prepare a Filter>... |
|
更改当前显示过滤设置,当不会立即应用。同样根据当前选择项,过滤字符会被替换成 Detail面板选择的协议字段 |
Firewall ACL Rules |
|
为多种不同的防火墙创建命令行ACL规则(访问控制列表),支持Cisco IOS Linux Netfilter (iptables), OpenBSD pf and Windows Firewall (via netsh). Rules for MAC addresses IPv4 addresses, TCP and UDP ports, 以及 IPv4+混合端口 以上假定规则用于外部接口 |
Enable Protocols... | Shift+Ctrl+R | 是否允许协议分析 |
"Statistics"菜单
菜单项 | 快捷键 | 描述 |
Summary |
| 显示捕捉数据摘要 |
Protocol Hierarchy |
| 显示协议统计分层信息 |
Conversations/ |
| 显示会话列表(两个终端之间的通信),见??? |
EndPoints |
| 显示端点列表(通信发起,结束地址) |
IO Graphs |
| 显示用户指定图表,(如包数量-时间表) |
Conversation List |
| 通过一个组合窗口,显示会话列表 |
Endpoint List |
| 通过一个组合窗口显示终端列表 |
Service Response Time |
| 显示一个请求及其相应之间的间隔时间 |
ANSI |
| |
GSM |
|
|
H.225... |
| |
ISUP Message |
| |
Types |
| |
MTP3 |
|
|
RTP |
|
|
GSM |
|
|
SIP |
|
|
VOIP Calls... |
|
|
WAP-WSP... |
| |
HTTP |
|
|
ISUP Messages |
| |
ONC-RPC Programs |
|
|
TCP Stream Graph | |
"Help"菜单
菜单项 | 快捷键 | 描述 |
Contents | F1 | 打开一个基本的帮助系统 |
Supported Protocols |
| 打开一个对话框显示支持的协议或工具 |
Manaul Pages>... |
| 打开浏览器,显示安装在本地的手册 |
Wireshark Online> |
| 按照选择显示在线资源 |
About Wireshark |
| 弹出信息窗口显示Wireshark的一些相关信息,如插件,目录等。 |
"Main"工具栏
主工具栏提供了快速访问常见项目的功能,它是不可以自定义的,但如果您觉得屏幕屏幕过于狭小,需要更多空间来显示数据。您可以使用浏览菜单隐藏它。
在主工具栏里面的项目只有在可以使用的时候才能被选择,如果不是可用则显示为灰色,不可选(例如:在未载入文件时,保存文件按钮就不可用.)
"Filter"工具栏
"Pcaket List"面板
Packet list/包列表面板显示所有当前捕捉的包
列表中的每行显示捕捉文件的一个包。如果您选择其中一行,该包得更多情况会显示在"Packet Detail/包详情","Packet Byte/包字节"面板
在分析(解剖)包时,Wireshark会将协议信息放到各个列。因为高层协议通常会覆盖底层协议,您通常在包列表面板看到的都是每个包的最高层协议描述。
例如:让我们看看一个包括TCP包,IP包,和一个以太网包。在以太网(链路层?)包中解析的数据(比如以太网地址),在IP分析中会覆盖为它自己的内容(比如IP地址),在TCP分析中会覆盖IP信息。
包列表面板有很多列可供选择。需要显示哪些列可以在首选项中进行设置
默认的列如下
- No. 包的编号,编号不会发生改变,即使进行了过滤也同样如此
- Time 包的时间戳。包时间戳的格式可以自行设置
- Source 显示包的源地址。
- Destination 显示包的目标地址。
- Protocal 显示包的协议类型的简写
- Info 包内容的附加信息
右击包,可以显示对包进行相关操作的上下文菜单。
"Packet Details"面板
"Packet Details/包详情"面板显示当前包(在包列表面板被选中的包)的详情列表。
该面板显示包列表面板选中包的协议及协议字段,协议及字段以树状方式组织。你可以展开或折叠它们。
右击它们会获得相关的上下文菜单。
某些协议字段会以特殊方式显示
- Generated fields/衍生字段 Wireshark会将自己生成附加协议字段加上括号。衍生字段是通过该包的相关的其他包结合生成的。例如:Wireshark 在对TCP流应答序列进行分析时。将会在TCP协议中添加[SEQ/ACK analysis]字段
- Links/链接 如果Wireshark检测到当前包与其它包的关系,将会产生一个到其它包的链接。链接字段显示为蓝色字体,并加有下划线。双击它会跳转到对应的包。
"Packet Byte"面板
Packet Byte/包字节 面板以16进制转储方式显示当前选择包的数据
通常在16进制转储形式中,左侧显示包数据偏移量,中间栏以16进制表示,右侧显示为对应的ASCII字符
根据包数据的不同,有时候包字节面板可能会有多个页面,例如:有时候Wireshark会将多个分片重组为一个,这时会在面板底部出现一个附加按钮供你选择查看
带选项的"Paket Bytes/包字节"面板
状态栏
状态栏用于显示信息
通常状态栏的左侧会显示相关上下文信息,右侧会显示当前包数目
初始状态栏
载入文件后的状态栏
左侧显示当前捕捉文件信息,包括名称,大小,捕捉持续时间等。
右侧显示当前包在文件中的数量,会显示如下值
- P:捕捉包的数目
- D:被显示的包的数目
- M: 被标记的包的数目.
已选择协议字段的状态栏
如果你已经在"Packet Detail/包详情"面板选择了一个协议字段,将会显示上图