Wireshark学习:Wireshark 用户界面详解
当你的才华
还撑不起你的野心时
那你就应该静下心来学习
目录
前言
0x01 Wireshark 用户主界面窗口
Wireshark 主窗口由如下部分组成
设置Wireshark 显示的语言
0x02 主菜单
0x03 "File"菜单
0x04 "Edit"菜单
0x05 Edit菜单选项
0x06 "View"菜单
0x07 "Go"菜单
0x08 "Go"菜单
0x09 "Capture"菜单
0x10 "Analyze"菜单
0x11 "Statistics"菜单
0x12 "Help"菜单
0x13 "Telephony"菜单
0x14 "Tools"菜单
0x15 "Wireless"菜单
0x16 "Main"工具栏
0x17 "Filter"工具栏
0x18 "Pcaket List"面板
0x19 "Packet Details"面板
0x20 "Packet Byte"面板
0x21 带选项的"Paket Bytes/包字节"面板
0x22 状态栏
前言
现在您已经安装好了Wireshark 3.0.3 64-bit版本,大家各自按照自己的需求安装不同操作系统的版本,安装成功后设置要监听的网段,就可以马上捕捉您的一个包。
接下来我们将介绍以下内容:
- Wireshark的用户界面如何使用
- 如何捕捉包
- 如何查看包
- 如何过滤包
- 其他内容
0x01 Wireshark 用户主界面窗口
Wireshark 主窗口由如下部分组成:
• 菜单,用于开始操作。
• 主工具栏,提供快速访问菜单中经常用到的项目的功能。
• Fiter toolbar/过滤工具栏,提供处理当前显示过滤得方法。(见6.3:”浏览时进行过滤”)
• Packet List 面板,显示打开文件的每个包的摘要。点击面板中的单独条目,包的其他情况将会显示在另外两个面板中。
• Packet detail 面板,显示您在Packet list面板中选择的包德更多详情。
• Packet bytes 面板,显示您在Packet list面板选择的包的数据,以及在Packet details 面板高亮显示的字段。
• 状态栏,显示当前程序状态以及捕捉数据的更多详情。
Packet list和Detail 面版控制可以通过快捷键进行:
| 快捷键 |
描述 |
| Tab,Shift+Tab |
在两个项目间移动,例如从一个包列表移动到下一个 |
| Down |
移动到下一个包或者下一个详情 |
| Up |
移动到上一个包或者上一个详情 |
| Ctrl-Down,F8 |
移动到下一个包,即使焦点不在Packet list面版 |
| Ctrl-UP,F7 |
移动到前一个包,即使焦点不在Packet list面版 |
| Left |
在Pactect Detail面版,关闭被选择的详情树状分支。如果以关闭,则返回到父分支。 |
| Right |
在Packet Detail面版,打开被选择的树状分支. |
| Backspace |
Packet Detail面版,返回到被选择的节点的父节点 |
| Return,Enter |
Packet Detail面版,固定被选择树项目。 |
菜单栏介绍
| File(文件) | 打开或保存捕获的信息 |
| Edit(编辑) | 查找或标记封包。进行全局设置 |
| View(查看) | 设置Wireshark的视图 |
| Go(转到) | 跳转到捕获的数据 |
| Capture(捕获) | 设置捕捉过滤器并开始捕捉 |
| Analyze(分析) | 设置分析选项 |
| Statistics(统计) | 查看W ireshark的统计信息 |
| Telephony(电话) | 设置需要的通讯模块 |
| Wireless(无线) | 设置抓取无线网卡 |
| Tools(工具) | 设置防火墙ACL规则和Lua 模块 |
| Help(帮助) | 查看本地或者在线支持 |
另外,在主窗口键入任何字符都会填充到filter里面。
设置Wireshark 显示的语言
点击【编辑】——>【首选项设置】——>【Appearance】——>【语言】进行设置
点击【Edit】——>【Preferences...】——>【Appearance】——>【Language】进行设置
0x02 主菜单
Wireshark主菜单位于Wireshark窗口的最上方。
0x03 "File"菜单
File菜单介绍
| 菜单项 |
快捷键 |
描述 |
||||||
| Open |
Ctr+O |
显示打开文件对话框,让您載入捕捉文件用以浏览。(打开) |
||||||
| Open Recent |
|
弹出一个子菜单显示最近打开过的文件供选择。(打开最近打开的文件) |
||||||
| Merg |
|
显示合并捕捉文件的对话框。让您选择一个文件和当前打开的文件合并。(将某个文件跟另外一个文件合并) |
||||||
| Close |
Ctrl+W |
关闭当前捕捉文件,如果您未保存,系统将提示您是否保存(如果您预设了禁止提示保存,将不会提示)。(关闭) |
||||||
| Save |
Crl+S |
保存当前捕捉文件,如果您没有设置默认的保存文件名,Wireshark出现提示您保存文件的对话框。(保存)
|
||||||
| Save As |
Shift+Ctrl+S |
让您将当前文件保存为另外一个文件面,将会出现一个另存为的对话框。(另存为) |
||||||
| File Set | 文件设置(文件集合) | |||||||
| File Set>List Files |
|
允许您显示文件集合的列表。将会弹出一个对话框显示已打开文件的列表(列出文件) |
||||||
| File Set>Next File |
|
如果当前載入文件是文件集合的一部分,将会跳转到下一个文件。如果不是,将会跳转到最后一个文件。这个文件选项将会是灰色。(下一文件) |
||||||
| File set>Previous Files |
|
如果当前文件是文件集合的一部分,将会调到它所在位置的前一个文件。如果不是则跳到文件集合的第一个文件,同时变成灰色。(上一文件) |
||||||
| Export Specified Packets | 指定导出的数据格式(导出特定分组) | |||||||
| Export Packet Dissections(导出分组解析结果)>As Plain text | 这个菜单允许您将捕捉文件中所有的或者部分的包导出为plain ASCII text格式。它将会弹出一个Wireshark导出对话框 | |||||||
| Export Packet Dissections>AS CSV (Coma Separated Values sumary) | 导出文件全部或部分摘要为.cvs格式(可用在电子表格中)。将会弹出导出对话框。 | |||||||
| Export Packet Dissections>AS C Arrays (packet bytes) | 导出为C数组(包字节)文件对话框 | |||||||
| Export Packet Dissections>AS PSML (XML packet summary) | 导出文件的全部或部分为PSML格式(包摘要标记语言)XML文件。将会弹出导出文件对话框。 | |||||||
| Export Packet Dissections>AS PDML (XML packet detail) | 导出文件的全部或部分为PDML(包摘要标记语言)格式的XML文件。将会弹出一个导出文件对话框 | |||||||
| Export Packet Dissections>JSON | 导出为JSON格式文件对话框 | |||||||
| Export Packet Bytes… |
Ctrl+Shift+X |
导出当前在Packet byte面版选择的字节为二进制文件。将会弹出一个导出对话框。(导出分组字节流) |
||||||
| Export PDUs to File... | 导出PDUs 到文件... | |||||||
| Export TLS Session Keys... | 导出TLS 会话密钥… | |||||||
| Export Objects | 导出对象可选择HTTP、DICOM、IMF、SMB、TFTP | |||||||
| |
Ctr+P |
打印捕捉包的全部或部分,将会弹出打印对话框。 |
||||||
| Quit |
Ctrl+Q |
退出Wireshark,如果未保存文件,Wireshark会提示是否保存。 |
||||||
0x04 "Edit"菜单
是
0x05 Edit菜单选项
| 菜单项 |
快捷键 |
描述 |
| Copy>As Filter |
Shift+Ctrl+C |
使用详情面版选择的数据作为显示过滤。显示过滤将会拷贝到剪贴板。 |
| Find Packet... |
Ctr+F |
打开一个对话框用来通过限制来查找包(查找分组) |
| Find Next |
Ctrl+N |
在使用Find packet以后,使用该菜单会查找匹配规则的下一个包(查找下一个) |
| Find Previous |
Ctr+B |
查找匹配规则的前一个包。(查找上一个) |
| Mark/Unmark Packet |
Ctrl+M |
标记当前选择的包。(标记/取消标记 分组) |
| Mark All Displayed | Ctrl+Shift+M | 标记所有显示的分组 |
| Unmark All Displayed | Ctrl+Alt+M | 取消所有显示的标记 |
| Next Mark |
Shift+Ctrl+N |
查找下一个被标记的包(下一个标记) |
| Previous Mark |
Ctrl+Shift+B |
查找前一个被标记的包(前一个标记) |
| lgnore/Unignore Packet | Ctrl+D | 忽略/取消忽略 分组 |
| lgnore All Displayed | Ctrl+Shift+D | 忽略所有显示的分组 |
| Unignore All Displayed | Ctrl+Alt+D | 取消忽略所有显示的分组 |
| Set Time Reference(toggle) |
Ctrl+T |
以当前包时间作为参考(设置/取消设置 时间参考) |
| Unset All Time References | Ctrl+Alt+T | 取消设置所有时间参考 |
| Next Time Reference | Ctrl+Alt+N | 下一时间参考 |
| Previous Time Reference | Ctrl+Alt+B | 前一时间参考 |
| Time Shift... | Ctrl+Shift+T | 时间平移... |
| Packet Comment... | Ctrl+Alt+C | 分组注释... |
| Delete All Packet Comments | 删除所有分组注释 | |
| Configuration Profie... | Ctrl+Shift+A | 配置配置文件 |
| Preferences... | Ctrl+Shift+P | 打开首选项对话框,个性化设置Wireshark的各项参数,设置后的参数将会在每次打开时发挥作用。(首选项设置) |
0x06 "View"菜单
参数选项
| 菜单项 |
快捷键 |
描述 |
||
| Main Toolbar |
|
显示隐藏Main toolbar(主工具栏) |
||
| Filter Toolbar |
|
显示或隐藏Filter Toolbar(过滤工具栏) |
||
| Status Bar |
|
显示或隐藏状态栏 |
||
| Full Screen | 全屏 | |||
| Packet List |
|
显示或隐藏Packet List pane(包列表面板)。(分组列表) |
||
| Packet Details |
|
显示或隐藏Packet details pane(包详情面板)。(分组想去) |
||
| Packet Bytes |
|
显示或隐藏 packet Bytes pane(包字节面板)。(分组字节流) |
||
| Time Display Fromat(时间显示格式)>Date and Time of Day: 1970-01-01 01:02:03.123456 |
|
选择这里告诉Wireshark将时间戳设置为绝对日期-时间格式(年月日,时分秒)
|
||
| Time Display Format>Time of Day: 01:02:03.123456 |
|
将时间设置为绝对时间-日期格式(时分秒格式) |
||
| Time Display Format > Seconds Since Beginning of Capture: 123.123456 |
|
将时间戳设置为秒格式,从捕捉开始计时 |
||
| Time Display Format > Seconds Since Previous Captured Packet: 1.123456 |
|
将时间戳设置为秒格式,从上次捕捉开始计时 |
||
| Time Display Format > Seconds Since Previous Displayed Packet: 1.123456 |
|
将时间戳设置为秒格式,从上次显示的包开始计时 |
||
| Time Display Format > ------ |
|
|
||
| Time Display Format > Automatic (File Format Precision) |
|
根据指定的精度选择数据包中时间戳的显示方式
|
||
| Time Display Format > Seconds: 0 |
|
设置精度为1秒 |
||
| Time Display Format > ...seconds: 0.... |
|
设置精度为1秒,0.1秒,0.01秒,百万分之一秒等等 |
||
| Name Resolution(解析名称) > Resolve Name |
|
仅对当前选定包进行解析 |
||
| Name Resolution > Enable for MAC Layer |
|
是否解析Mac地址 |
||
| Name Resolution > Enable for Network Layer |
|
是否解析网络层地址(ip地址) |
||
| Name Resolution > Enable for Transport Layer |
|
是否解析传输层地址 |
||
| Zoom |
|
缩放 |
||
| Zoom In |
Ctrl++ |
增大字体 |
||
| Zoom Out |
Ctrl+- |
缩小字体 |
||
| Normal Size |
Ctrl+0 |
恢复正常大小 |
||
| Expand Subtrees | Shift+ Right | 展开子树 | ||
| Collapse Subtrees | Shift+Left | 折叠子树 | ||
| Expand All | Ctrl+ Right | 展开全部 | ||
| Collapse All | Ctrl+Left | 收起全部 | ||
| Colorize Packet List |
|
是否以彩色显示包(着色分组列表) |
||
| Coloring Rules.. | 着色规则 | |||
| Colorize Conversation | 对话着色 | |||
| Reset Layout | Ctrl+ Shift +W | 重置布局 | ||
| Resize Columns | Ctrl+ Shift+R | 调整列宽 | ||
| Internals | 内部 | |||
| Show Packet in New Window | 在新窗口显示当前包,(新窗口仅包含View,Byte View两个面板) | |||
| Reload as File Format/Capture | Ctrl+ Shift+F | 重新载入为文件格式/捕获 | ||
| Reload | Ctrl+R | 重新加载 |
0x07 "Go"菜单
翻译
以下是直接复制其它博主的文章,前面几个差不多会经常使用的,后面的话,菜单选项,有新增的模块但也不会相差特别大,大家自己摸索一哈也能明白的。
0x08 "Go"菜单
旧版本参数选项
| 菜单项 |
快捷键 |
描述 |
| Back |
Alt+Left |
跳到最近浏览的包,类似于浏览器中的页面历史纪录 |
| ForWard |
Alt+Right |
跳到下一个最近浏览的包,跟浏览器类似 |
| Go to Packet |
Ctrl+G |
打开一个对话框,输入指定的包序号,然后跳转到对应的包 |
| Go to Corresponding Packet |
|
跳转到当前包的应答包,如果不存在,该选项为灰色 |
| Previous Packet |
Ctrl+UP |
移动到包列表中的前一个包,即使包列表面板不是当前焦点,也是可用的 |
| Next Packet |
Ctrl+Down |
移动到包列表中的后一个包 |
| First Packet |
|
移动到列表中的第一个包 |
| Last Packet |
|
移动到列表中的最后一个包 |
新版本"Go"菜单截图
0x09 "Capture"菜单
旧版本参数选项
| 菜单项 |
快捷键 |
说明 |
| Interface... |
|
在弹出对话框选择您要进行捕捉的网络接口 |
| Options... |
Ctrl+K |
打开设置捕捉选项的对话框,并可以在此开始捕捉 |
| Start |
|
立即开始捕捉,设置都是参照最后一次设置。 |
| Stop |
Ctrl+E |
停止正在进行的捕捉 |
| Restart |
|
正在进行捕捉时,停止捕捉,并按同样的设置重新开始捕捉.仅在您认为有必要时 |
| Capture Filters... |
|
打开对话框,编辑捕捉过滤设置,可以命名过滤器,保存为其他捕捉时使用 |
新版本"Capture"菜单截图
0x10 "Analyze"菜单
旧版本参数选项
| 菜单项 |
快捷键 |
说明 |
| Display Filters... |
|
打开过滤器对话框编辑过滤设置,可以命名过滤设置,保存为其他地方使用 |
| Apply as Filter>... |
|
更改当前过滤显示并立即应用。根据选择的项,当前显示字段会被替换成选择在Detail 面板的协议字段 |
| Prepare a Filter>... |
|
更改当前显示过滤设置,当不会立即应用。同样根据当前选择项,过滤字符会被替换成 Detail面板选择的协议字段 |
| Firewall ACL Rules |
|
为多种不同的防火墙创建命令行ACL规则(访问控制列表),支持Cisco IOS Linux Netfilter (iptables), OpenBSD pf and Windows Firewall (via netsh). Rules for MAC addresses IPv4 addresses, TCP and UDP ports, 以及 IPv4+混合端口 以上假定规则用于外部接口 |
| Enable Protocols... |
Shift+Ctrl+R |
是否允许协议分析 |
新版本"Analyze"菜单截图
0x11 "Statistics"菜单
旧版本参数选项
| 菜单项 |
快捷键 |
描述 |
| Summary |
|
显示捕捉数据摘要 |
| Protocol Hierarchy |
|
显示协议统计分层信息 |
| Conversations/ |
|
显示会话列表(两个终端之间的通信),见??? |
| EndPoints |
|
显示端点列表(通信发起,结束地址) |
| IO Graphs |
|
显示用户指定图表,(如包数量-时间表) |
| Conversation List |
|
通过一个组合窗口,显示会话列表 |
| Endpoint List |
|
通过一个组合窗口显示终端列表 |
| Service Response Time |
|
显示一个请求及其相应之间的间隔时间 |
| ANSI |
|
|
| GSM |
|
|
| H.225... |
|
|
| ISUP Message |
|
|
| Types |
|
|
| MTP3 |
|
|
| RTP |
|
|
| GSM |
|
|
| SIP |
|
|
| VOIP Calls... |
|
|
| WAP-WSP... |
|
|
| HTTP |
|
|
| ISUP Messages |
|
|
| ONC-RPC Programs |
|
|
| TCP Stream Graph |
|
新版本图"Statistics"菜单截图
0x12 "Help"菜单
| 菜单项 |
快捷键 |
描述 |
| Contents |
F1 |
打开一个基本的帮助系统 |
| Supported Protocols |
|
打开一个对话框显示支持的协议或工具 |
| Manaul Pages>... |
|
打开浏览器,显示安装在本地的手册 |
| Wireshark Online> |
|
按照选择显示在线资源 |
| About Wireshark |
|
弹出信息窗口显示Wireshark的一些相关信息,如插件,目录等。 |
新版本"Help"菜单截图
0x13 "Telephony"菜单
0x14 "Tools"菜单
0x15 "Wireless"菜单
0x16 "Main"工具栏
主工具栏提供了快速访问常见项目的功能,它是不可以自定义的,但如果您觉得屏幕屏幕过于狭小,需要更多空间来显示数据。您可以使用浏览菜单隐藏它。
在主工具栏里面的项目只有在可以使用的时候才能被选择,如果不是可用则显示为灰色,不可选(例如:在未载入文件时,保存文件按钮就不可用.)
0x17 "Filter"工具栏
过滤工具栏用于编辑或显示过滤器
0x18 "Pcaket List"面板
Packet list/包列表面板显示所有当前捕捉的包
列表中的每行显示捕捉文件的一个包。如果您选择其中一行,该包得更多情况会显示在"Packet Detail/包详情","Packet Byte/包 字节"面板
在分析(解剖)包时,Wireshark会将协议信息放到各个列。因为高层协议通常会覆盖底层协议,您通常在包列表面板看到的都是每个包的最高层协议描述。
例如:让我们看看一个包括TCP包,IP包,和一个以太网包。在以太网(链路层?)包中解析的数据(比如以太网地址),在IP分析中会覆盖为它自己的内容(比如IP地址),在TCP分析中会覆盖IP信息。
包列表面板有很多列可供选择。需要显示哪些列可以在首选项中进行设置
默认的列如下
- No. 包的编号,编号不会发生改变,即使进行了过滤也同样如此
- Time 包的时间戳。包时间戳的格式可以自行设置
- Source 显示包的源地址。
- Destination 显示包的目标地址。
- Protocal 显示包的协议类型的简写
- Info 包内容的附加信息
右击包,可以显示对包进行相关操作的上下文菜单。
0x19 "Packet Details"面板
"Packet Details/包详情"面板显示当前包(在包列表面板被选中的包)的详情列表。
该面板显示包列表面板选中包的协议及协议字段,协议及字段以树状方式组织。你可以展开或折叠它们。
右击它们会获得相关的上下文菜单。
某些协议字段会以特殊方式显示
- Generated fields/衍生字段 Wireshark会将自己生成附加协议字段加上括号。衍生字段是通过该包的相关的其他包结合生成的。例如:Wireshark 在对TCP流应答序列进行分析时。将会在TCP协议中添加[SEQ/ACK analysis]字段
- Links/链接 如果Wireshark检测到当前包与其它包的关系,将会产生一个到其它包的链接。链接字段显示为蓝色字体,并加有下划线。双击它会跳转到对应的包。
0x20 "Packet Byte"面板
Packet Byte/包字节 面板以16进制转储方式显示当前选择包的数据
通常在16进制转储形式中,左侧显示包数据偏移量,中间栏以16进制表示,右侧显示为对应的ASCII字符
根据包数据的不同,有时候包字节面板可能会有多个页面,例如:有时候Wireshark会将多个分片重组为一个,这时会在面板底部出现一个附加按钮供你选择查看
0x21 带选项的"Paket Bytes/包字节"面板
0x22 状态栏
状态栏用于显示信息
通常状态栏的左侧会显示相关上下文信息,右侧会显示当前包数目
初始状态栏
载入文件后的状态栏
左侧显示当前捕捉文件信息,包括名称,大小,捕捉持续时间等。
右侧显示当前包在文件中的数量,会显示如下值
- P:捕捉包的数目
- D:被显示的包的数目
- M: 被标记的包的数目.
已选择协议字段的状态栏
如果你已经在"Packet Detail/包详情"面板选择了一个协议字段,将会显示上图
参考链接:
https://blog.csdn.net/Fly_hps/article/details/79780187
我不需要自由,只想背着她的梦
一步步向前走,她给的永远不重