按照以前的讲解和分享路数,宏哥今天就应该从外观上来讲解WireShark的界面功能了。
由上到下依次是标题栏、主菜单栏、主菜单工具栏、显示过滤文本框、打开区、最近捕获并保存的文件、捕获区、捕获过滤文本框、本机所有网络接口、学习区及用户指南等。
首次打开启动 Wireshark 时,会出现以下启动界面,如下图所示:
宏哥将整个界面分为四个部分:
主菜单:它位于主窗口的顶部,有 11 个项目,宏哥这里不打算详细描述每个项目,而是挑几个重要方面进行介绍。如下图所示:
“文件”栏的英文名为“File”,该菜单中包含了打开和合并捕获数据文件项、部分或全部保存/打印/导出捕获数据文件项以及退出应用程序选项等。文件菜单包含基本的 IO 操作集,您可以打开和关闭文件、导入和导出操作,当然也可以从这里退出 Wireshark。
主要是对抓包文件的操作:
①文件打开,保存。
②导出特定分组:可以选择导出全部包,主界面显示的包,主界面选择的包,marked的包,第一个到最后一个marked的包之间的包,设置包序号段的包,保存时不保存忽略的包。
③导出特定格式(pcap,csv,文本txt,XML,json等)导出CSV格式可以excel打开做进一步统计分析。如下图所示:
文件菜单项说明:
菜单项 | 快捷键 | 描述 |
---|---|---|
Open…(打开) |
Ctrl +O |
这将显示 “文件打开” 对话框,您可以通过该对话框加载捕获文件以进行查看。 |
Open Recent(打开最近文件) |
这使您可以打开最近打开的捕获文件。单击子菜单项之一将直接打开相应的捕获文件。 | |
Merge…(合并) |
此菜单项使您可以将捕获文件合并到当前加载的文件中。 | |
Import from Hex Dump…(从Hex转储导入) |
此菜单项将打开 “导入文件” 对话框,该对话框使您可以将包含十六进制转储的文本文件导入到新的临时捕获中。 | |
Close(关闭) |
Ctrl +W |
该菜单项关闭当前捕获。如果尚未保存捕获,将首先要求您保存(可以通过首选项设置禁用)。 |
Save(保存) |
Ctrl +S |
此菜单项保存当前捕获。如果您尚未设置默认捕获文件名(也许使用 -w <capfile> 选项),则 Wireshark 会弹出 “将捕获文件另存为” 对话框。如果您已经保存了当前捕获的图像,则该菜单项将显示为灰色。正在进行捕获时,您无法保存实时捕获。您必须停止捕获才能保存。 |
Save As…(另存为) |
Shift +Ctrl +S |
此菜单项允许您将当前捕获文件保存到所需的任何文件中。它会弹出 “将捕获文件另存为” 对话框。 |
File Set → List Files(列出文件) |
此菜单项允许您显示文件集中的文件列表。它会弹出 “Wireshark 列表文件集” 对话框。 | |
File Set → Next Files(下一文件) |
如果当前加载的文件是文件集的一部分,请跳到该集中的下一个文件。如果它不是文件集的一部分或不是该文件集中的最后一个文件,则该项目为灰色。 | |
File Set → Previous Files(上一文件) |
如果当前加载的文件是文件集的一部分,请跳到文件集中的前一个文件。如果它不是文件集的一部分或不是该文件集中的第一个文件,则该项目为灰色。 | |
Export Specified Packets…(导出特定分组) |
此菜单项允许您将捕获文件中的所有(或部分)数据包导出到文件中。它将弹出 Wireshark 导出对话框。 | |
Export Packet Dissections…(导出分组解析结果) |
Ctrl +H |
这些菜单项使您可以将数据包字节窗格中当前选择的字节以多种格式导出到文本文件,包括纯格式,CSV 和 XML。 |
(导出分组字节流) |
||
(导出PDU到文件) |
||
Strip Headers |
||
导出TSL会话密钥 |
||
Export Objects(导出对象) |
这些菜单项允许您将捕获的 DICOM,HTTP,IMF,SMB 或 TFTP 对象导出到本地文件中。它弹出一个相应的对象列表 | |
Print…(打印) |
Ctrl +P |
此菜单项允许您打印捕获文件中的所有(或某些)数据包。它会弹出 Wireshark 打印对话框。 |
Quit(退出) |
Ctrl +Q |
此菜单项允许您从 Wireshark 退出。如果您以前没有保存过,Wireshark 会要求您保存捕获文件(可以通过首选项设置将其禁用)。 |
“编辑”栏的英文名为“Edit”,该菜单中包含了查找数据包、设置时间参考、标记数据包、设置配置文件、设置首选项等。需要注意的是,在“编辑”栏中,没有剪切、复制和粘贴等选项。编辑里最常用的就是首选项了,其他基本都是快捷方式,一看即明白,不再多介绍。如下图所示:
编辑菜单项说明:
“视图”栏的英文是“View”,该菜单主要用来控制捕获数据的显示方式。“视图”栏包括了数据包着色选项、缩放字体选项、在新窗口显示数据包选项、展开/折叠数据包细节选项等。此菜单处理主屏幕上工具的显示、要使用的时间格式、数据包着色选项、缩放选项等。主要是对显示的设置,用的最多的是时间格式设置,其他好多有快捷方式。
例如,您可以用 UTC 来显示时间,而不是以秒为单位显示时间。我们可以对数据包进行着色和脱色,甚至可以更改着色规则。如下图所示:
视图菜单项说明:
“跳转”栏的英文是“Go”,该菜单主要用来跳转到指定数据包。很少用到,一般都是快捷方式。这实际上是一个数据包管理菜单。您可以使用它来遍历捕获数据包。“下一个数据包”和“上一个数据包”按钮可用于导航屏幕上的显示数据,当然,您可以简单地使用“Ctrl + 上/下”按钮或鼠标滚动来更轻松地进行遍历。如下图所示:
跳转菜单项说明:
菜单项 | 快捷键 | 描述 |
---|---|---|
scanf() 背部 |
scanf() Alt 键 +scanf() ← |
跳转到数据包历史记录中最近访问的数据包,就像在 Web 浏览器中的页面历史记录一样。 |
scanf() 前锋 |
scanf() Alt 键 +scanf() → |
跳到数据包历史记录中的下一个访问数据包,就像在 Web 浏览器中的页面历史记录一样。 |
scanf() 转到数据包… |
scanf() Ctrl+scanf() G |
调出一个窗口框架,使您可以指定数据包编号,然后转到该数据包。有关详细信息。 |
scanf() 转到相应的数据包 |
转到当前选定协议字段的相应数据包。如果所选字段不对应于数据包,则该项目为灰色。 | |
scanf() 上一个数据包 |
scanf() Ctrl+scanf() ↑ |
移至列表中的上一个数据包。即使数据包列表没有键盘焦点,也可以使用它移动到上一个数据包。 |
scanf() 下一个数据包 |
scanf() Ctrl+scanf() ↓ |
移至列表中的下一个数据包。即使数据包列表没有键盘焦点,也可以使用它移动到上一个数据包。 |
scanf() 第一包 |
scanf() Ctrl+scanf() 家 |
跳转到捕获文件的第一个数据包。 |
scanf() 最后一包 |
scanf() Ctrl+scanf() 结束 |
跳转到捕获文件的最后一个数据包。 |
scanf() 会话中的上一个数据包 |
scanf() Ctrl+scanf() , |
移至当前对话中的上一个数据包。即使数据包列表没有键盘焦点,也可以使用它移动到上一个数据包。 |
scanf() 会话中的下一个数据包 |
scanf() Ctrl+scanf() 。 |
移至当前对话中的下一个数据包。即使数据包列表没有键盘焦点,也可以使用它移动到上一个数据包。 |
“捕获”栏的英文是“Capture”,该菜单中包含了开始/停止捕获选项以及编辑包过滤条件选项等。使用它来控制 Capture 的开始和停止位置以及编辑和添加捕获过滤器。主要是对抓包的控制。如下图所示:
捕获菜单项说明:
菜单项 | 快捷键 | 描述 |
---|---|---|
Options… |
Ctrl +K |
显示 “捕获选项” 对话框,该对话框允许您配置界面和捕获选项。 |
Start |
Ctrl +E |
立即开始使用与上次相同的设置捕获数据包。 |
Stop |
Ctrl +E |
停止当前正在运行的捕获。 |
Restart |
Ctrl +R |
停止当前运行的捕获,然后使用相同的选项重新启动。 |
Capture Filters… |
显示一个对话框,允许您创建和编辑捕获过滤器。您可以命名过滤器并保存以备将来使用。 | |
Refresh Interfaces |
F5 |
清除并重新创建接口列表。 |
捕获选项
配置抓包接口,抓包过滤器,抓包输出分割文件条件,自动停止抓包条件等。
“分析”栏的英文是“Analyze”,该菜单中包含了显示包过滤宏、启用协议、配置用户指定的解码方式以及追踪TCP流等选项。这是一个重要工具集,主要是包分析的工具,能大大提个wireshark的分析效率,需重点学习内容。在这里可以添加和编辑显示过滤器以及显示过滤器宏,将数据包解码为特定协议,遵循 TCP 或 UDP 流等,可以选择一个数据包,然后从数据包详细信息窗格中使用“分析”->“应用为”应用过滤器筛选'。如下图所示:
分析菜单项说明:
菜单项 | 快捷键 | 描述 |
---|---|---|
Display Filters… |
显示一个对话框,允许您创建和编辑显示过滤器。您可以命名过滤器,也可以将其保存以备将来使用。 | |
Display Filter Macros… |
显示一个对话框,允许您创建和编辑显示过滤器宏。您可以命名过滤器宏,也可以保存它们以备将来使用。 | |
Apply as Column |
Shift +Ctrl +I |
将数据包详细信息窗格中的所选协议项作为一列添加到数据包列表中。 |
Apply as Filter |
更改当前的显示过滤器并立即应用。根据所选菜单项的不同,当前的显示过滤器字符串将由 “数据包详细信息” 窗格中的选定协议字段替换或附加。 | |
Prepare a Filter |
更改当前的显示过滤器,但不会应用它。根据所选菜单项的不同,当前的显示过滤器字符串将由 “数据包详细信息” 窗格中的选定协议字段替换或附加。 | |
Conversation Filter |
为各种协议应用对话过滤器。 | |
Enabled Protocols… |
Shift +Ctrl +E |
启用或禁用各种协议解剖器。 |
Decode As… |
将某些数据包解码为特定协议。 | |
Follow →TCP Stream |
打开一个窗口,显示与所选数据包处于同一 TCP 连接上的所有捕获的 TCP 段。 | |
Follow → UDP Stream |
与 “跟随 TCP 流” 相同的功能,但与 UDP “流” 相同。 | |
Follow → TLS Stream |
与 “跟随 TCP 流” 相同的功能,但适用于 TLS 或 SSL 流。有关提供 TLS 密钥的说明,请参阅 TLS 上的 Wiki 页面。 | |
Follow → HTTP Stream |
与 “跟随 TCP 流” 相同的功能,但适用于 HTTP 流。 | |
Expert Info |
打开一个窗口,显示在捕获中找到的专家信息。某些协议解剖器会为显着或异常行为(例如,无效的校验和或重新传输)添加数据包详细信息。这些项目显示在这里。有关更多信息。信息量将取决于协议 |
作为过滤条件,将包里字段内容作为直接过滤条件,点击可以选择和已有过滤条件关系(布尔运算关系),然后立即会进行过滤。
准备作为过滤条件,功能与上面基本相同,只是不会立即进行过滤,只是准备过滤语法,后面点击执行过滤才会执行
解码为,将包配置用什么协议进行解析
追踪流,鼠标放到的包上,可以进行对应流追踪过滤
专家信息,分析整个包的信息,可以看里面有没异常信息
“统计”栏的英文是“Statistics”,可以显示各种统计窗口,这些统计窗口包括捕获文件的属性选项、协议分级选项以及显示流量图选项等。对信令可以做各种统计,属于重点要学习的工具集,里面工具都非常实用,后续再展开分享。它就像一个报告工具。我们可以统计地分解整个数据包捕获,例如,我们可以查看捕获的哪一部分是 IPv6 或 UDP。因此,这将显示各种统计信息,例如捕获文件的属性、流程图、协议层次结构、IPv4 和 IPv6 统计信息等。如下图所示:
统计菜单项说明:
菜单项 | 快捷键 | 描述 |
---|---|---|
Capture File Properties |
显示有关捕获文件的信息。 | |
Resolved Addresses |
|
|
Protocol Hierarchy |
显示协议统计信息的层次结构树。 | |
Conversations |
显示对话列表(两个端点之间的流量)。 | |
Endpoints |
显示端点列表(往返于地址的流量)。 | |
Packet Lengths |
封包长度 | |
I/O Graphs |
显示用户指定的图形(例如,一段时间内的数据包数量)。 | |
Service Response Time 服务响应时间 |
显示请求和相应响应之间的时间,。 | |
DHCP (BOOTP) |
||
ONC-RPC Programs |
||
29West |
||
ANCP |
||
BACnet |
||
Collectd |
||
DNS |
||
Flow Graph |
||
HART-IP |
||
HPFEEDS |
||
HTTP |
HTTP 请求 / 响应统计信息 | |
HTTP2 |
||
Sametime |
||
TCP Stream Graphs |
||
UDP Multicast Streams |
||
F5 |
||
IPv4 Statistics |
||
IPv6 Statistics |
“电话”栏的英文是“Telephony”,可以显示与电话相关的统计窗口,这些统计窗口包括媒介分析、VoIP通话统计选项以及SIP流统计选项等。在这里,您将找到显示几个与电话相关的统计窗口的选项,如流程图、显示协议层次统计等。如下图所示:
“无线”栏的英文是“Wireless”,该栏用来显示蓝牙和无线网络的统计数据。这处理与蓝牙和 IEEE 802.11 标准相关的统计数据的显示。如下图所示:
“工具”栏的英文是“Tools”,该栏中包含了Wireshark中能够使用的工具。它包含几个 Wireshark 的工具,例如创建防火墙 ACL 规则。如下图所示:
工具菜单项说明:
菜单项 | 加速器 | 描述 |
---|---|---|
Firewall ACL Rules |
这使您可以为许多不同的防火墙产品创建命令行 ACL 规则,包括 Cisco IOS,Linux Netfilter(iptables),OpenBSD pf 和 Windows 防火墙(通过 netsh)。支持 MAC 地址,IPv4 地址,TCP 和 UDP 端口以及 IPv4 + 端口组合的规则。假定规则将应用于外部接口。 | |
Lua |
这些选项使您可以选择使用 Lua 解释器来构建 Wireshark。 | |
Credentials |
这使您可以从当前捕获文件中提取凭证。已经对某些解剖器进行了工具化,以为模块提供用户名和密码,并且将来还会对更多的解剖器进行工具化。窗口对话框为您提供找到凭证的数据包编号,提供凭证的协议,用户名和密码。 |
“帮助”栏的英文是“Help”,该栏用于为用户提供一些基本的帮助,包括了说明文档选项、网页在线帮助选项以及常见问题选项等。它基本上提供了与帮助相关的方面,如帮助内容的链接、手册页、常见问题解答、Wireshark 的 Wiki 以及指向示例捕获的链接等。这里可以查看wireshark版本和帮助文档信息,也可以在这里最wireshark版本进行升级。如下图所示:
帮助菜单项说明:
菜单项 | 加速器 | 描述 |
---|---|---|
Contents |
F1 |
该菜单项调出基本的帮助系统。 |
Manual Pages → … |
该菜单项启动 Web 浏览器,显示本地安装的 html 手册页之一。 | |
Website |
该菜单项启动一个 Web 浏览器,该 Web 浏览器显示来自 https://www.wireshark.org/ 的网页。 | |
FAQs |
此菜单项启动显示各种常见问题的 Web 浏览器。 | |
Downloads |
该菜单项启动一个 Web 浏览器,显示从以下位置进行的下载:https : //www.wireshark.org/download.html。 | |
Wiki |
此菜单项启动 Web 浏览器,该 Web 浏览器显示来自 https://wiki.wireshark.org/ 的首页。 | |
Sample Captures |
该菜单项将启动一个 Web 浏览器,其中显示了以下示例的示例捕获:https : //wiki.wireshark.org/SampleCaptures。 | |
About Wireshark |
该菜单项打开一个信息窗口,该窗口提供有关 Wireshark 的各种详细信息,例如其构建方式,加载的插件,使用的文件夹等。 |
主菜单工具栏提供从菜单快速访问常用项目的功能。该工具栏不能由用户自定义,但是如果需要屏幕上的空间来显示更多数据包数据,则可以使用 “查看” 菜单将其隐藏。
主菜单工具栏:简单来说,Toolbar 实际上是一组最常用的主菜单项的快捷方式。熟悉 Wireshark 后,您会很快记住哪个图标用于什么用途。工具栏中的项目被启用前或禁用显示为灰色,类似于其相应的菜单项。例如,下图中显示了打开文件后的主窗口工具栏,启用了各种与文件相关的按钮,但是由于未进行捕获,因此禁用了 “停止捕获” 按钮。如下图所示:
工具栏图标 | 工具栏项 | 菜单项 | 描述 |
---|---|---|---|
Start |
Capture → Start |
使用与上次捕获相同的选项开始捕获数据包,如果未设置默认选项,则使用默认选项开始捕获数据包(5.1.2 开始捕捉)。 | |
Stop |
Capture → Stop |
停止当前正在运行的捕获(5.1.2 开始捕捉)。 | |
Restart |
Capture → Restart |
重新启动当前捕获会话。 | |
Options… |
Capture → Options… |
打开 “捕获选项” 对话框。有关详细信息,请参见 5.1.2 开始捕捉。 | |
Open… |
File → Open… |
打开文件打开对话框,使用该对话框可以加载捕获文件以进行查看。在 5.2.1.1 “打开捕获文件” 对话框中将对其进行详细讨论。 | |
Save As… |
File → Save As… |
将当前捕获文件保存到所需的任何文件中。有关详细信息,请参见 5.2.2.1 “将捕获文件另存为” 对话框。如果您当前有一个临时捕获文件,则将显示 “保存” 图标。 | |
Close |
File → Close |
关闭当前捕获。如果尚未保存捕获,将要求您先保存。 | |
Reload |
View → Reload |
重新加载当前的捕获文件。 | |
Find Packet… |
Edit → Find Packet… |
根据不同的条件查找数据包。有关详细信息,请参见 5.3.8 查找数据包。 | |
Go Back |
Go → Go Back |
跳回数据包历史记录。按住 Alt 键 键(选项 在 macOS 上)返回到选择历史记录。 | |
Go Forward |
Go → Go Forward |
在数据包历史记录中向前跳转。按住 Alt 键 键(选项 在 macOS 上)以继续进行选择历史记录。 | |
Go to Packet… |
Go → Go to Packet… |
转到特定的数据包。 | |
Go To First Packet |
Go → Go To First Packet |
跳转到捕获文件的第一个数据包。 | |
Go To Last Packet |
Go → Go To Last Packet |
跳转到捕获文件的最后一个数据包。 | |
Auto Scroll in Live Capture |
View → Auto Scroll in Live Capture |
在进行实时捕获时自动滚动数据包列表(或不捕获)。 | |
Colorize |
View → Colorize |
着色数据包列表(或不着色)。 | |
Zoom In |
View → Zoom In |
放大数据包数据(增大字体大小)。 | |
Zoom Out |
View → Zoom Out |
缩小数据包数据(减小字体大小)。 | |
Normal Size |
View → Normal Size |
将缩放级别设置回 100%。 | |
Resize Columns |
View → Resize Columns |
调整列的大小,使内容适合它们。 |
过滤工具: 有两个过滤器工具栏:显示过滤器和捕获过滤器。两者之间有区别,但是两者都用于简化您的数据包搜索。如下图所示:
1.显示过滤,在这里输入过滤表达式,对已经抓到的包进行过滤,如果不输入表达式,所有抓取的包都会显示在这里。
2.捕获过滤,这里输入过滤表达式,可以只抓取特定的包,如果没有表达式,所有监听到的包都抓到下来。
工具栏图标 | 名称 | 描述 |
---|---|---|
Bookmarks | 管理或选择保存的过滤器。 | |
Filter Input | 输入或编辑显示过滤器字符串的区域。键入时对过滤器字符串进行语法检查。如果输入不完整或无效的字符串,背景将变为红色,而输入有效的字符串时,背景将变为绿色。在该字段中进行了某些更改之后,请不要忘记按 Apply(应用)按钮(或 Enter / Return 键),以将此过滤字符串应用于显示。此字段也是显示当前应用的过滤器的位置。 | |
Clear | 重置当前的显示过滤器并清除编辑区域。 | |
Apply | 在编辑区域中应用当前值作为新的显示过滤器。在大型捕获文件上应用显示过滤器可能会花费很长时间。 | |
Recent | 从最近应用的过滤器列表中选择。 | |
Add Button | 添加一个新的过滤器表达式按钮。 |
接口列表:Wireshark 的起始页列出了设备上所有可用的接口以供捕获,如果您在此处没有看到您的界面,请转到“捕获 > 刷新界面”或按“F5”键刷新界面列表。您还可以管理起始页上的界面列表。为此,请选择捕获过滤器搜索框右侧的下拉菜单。如下图所示:
当前电脑上的网卡及其流量状态。
我们可以通过选中要捕获数据的网卡,填写过滤规则,按快捷键“Ctrl + E”,开始捕获。如果不需要填写捕获过滤规则,直接双击要捕获数据的网卡就可以了。
状态工具栏则显示软件当前状态与已捕获&显示的分组数量。状态栏显示参考消息。如下图所示:
通常,左侧将显示与上下文相关的信息,中间部分将显示有关当前捕获文件的信息,而右侧将显示所选的配置文件。在文本区域之间拖动手柄以更改大小。
初始状态栏,如下图所示:
未加载捕获文件时(例如,启动 Wireshark 时),将显示此状态栏。
状态栏带有已加载的捕获文件,如下图所示:
The colorized bullet…
左侧显示在当前加载的捕获文件中找到的最高专家信息级别。将鼠标悬停在此图标上将显示专家信息级别的描述,单击该图标将弹出专家信息对话框。有关此对话框和每个专家级别的详细说明,请参见 6.1.3 专家资讯。
The edit icon…
使用左侧的 “ 捕获文件属性” 对话框,可以向捕获文件添加注释。
The left side…
默认情况下显示捕获文件名。当将鼠标悬停并在数据包详细信息和数据包字节窗格中选择项目时,它还会显示字段信息,以及常规通知。
The middle…
显示捕获文件中的当前数据包数量。显示以下值:
Packets
捕获的数据包数。
Displayed
当前显示的包数。
Marked
标记的数据包数。仅当您标记了任何数据包时才显示。
Dropped
丢弃的数据包数量仅在 Wireshark 无法捕获所有数据包时显示。
Ignored
忽略的数据包数仅在您忽略任何数据包时才显示。
The right side…
显示所选的配置文件。单击状态栏的此部分将弹出一个菜单,其中包含所有可用的配置文件,从该列表中进行选择将更改配置文件。
带配置配置文件菜单的状态栏
有关配置文件的详细说明。
具有选定协议字段的状态栏
如果您在 “数据包详细信息” 窗格中选择了协议字段,则会显示此信息。
TIP
括号之间的值(在此示例中为 “ipv6.src”)是所选项目的显示过滤器字段。通过选择不同的数据包详细信息项,您可以更加熟悉显示过滤器字段。
带显示过滤器消息的状态栏
如果您尝试使用可能会导致意外结果的显示过滤器,则会显示该信息。
好了,到此宏哥就将WireShark常用界面功能的基本上全都讲解和分享完了,今天时间也不早了,就到这里!感谢您耐心的阅读~~