搜索
第3章用户界面.须知现在您已经安装好了Wireshark,几乎可以马上捕捉您的一个包。紧接着的这一节我们将会介绍:Wireshark的用户界面如何使用如何捕捉包如何查看包如何过滤包……以及其他的一些工作。.启动Wireshark你可以使用Shell命令行或者资源管理器启动Wireshark.提示开始Wireshark时您可以指定适当的参数。参见第节“从命令行启动Wireshark”注意在后面的章节中,将会出现大量的截图,因为Wireshark运行在多个平台,并且支持多个GUIToolkit2x),您的屏幕上显示的界面可能与截图不尽吻合。但在功能上不会有实质性区别。尽管有这些区别,也不会导致理解上的困难。.主窗口先来看看图“主窗口界面”,大多数打开捕捉包以后的界面都是这样子(如何捕捉/打开包文件随后提到)。图.主窗口界面和大多数图形界面程序一样,Wireshark主窗口由如下部分组成:1.菜单(见第节“主菜单”)用于开始操作。2.主工具栏(见第节“Main工具栏”)提供快速访问菜单中经常用到的项目的功能。3.Fitertoolbar/过滤工具栏(见第节“Filter工具栏”)提供处理当前显示过滤得方法。(见:”浏览时进行过滤”)4.PacketList面板(见第节“PcaketList面板”)显示打开文件的每个包的摘要。点击面板中的单独条目,包的其他情况将会显示在另外两个面板中。5.Packetdetail面板(见第节“PacketDetails面板”)显示您在Packetlist面板中选择的包德更多详情。6.Packetbytes面板(见第节“PacketByte面板”)显示您在Packetlist面板选择的包的数据,以及在Packetdetails面板高亮显示的字段。7.状态栏(见第节“状态栏”)显示当前程序状态以及捕捉数据的更多详情。注意主界面的三个面版以及各组成部分可以自定义组织方式。见第节“首选项”3.3.1.主窗口概述Packetlist和Detail面版控制可以通过快捷键进行。表“导航快捷键”显示了相关的快捷键列表。表“GO菜单项”有关于快捷键的更多介绍表.导航快捷键快捷键描述Tab,Shift+Tab在两个项目间移动,例如从一个包列表移动到下一个Down移动到下一个包或者下一个详情Up移动到上一个包或者上一个详情Ctrl-Down,F8移动到下一个包,即使焦点不在Packetlist面版Ctrl-UP,F7移动到前一个报,即使焦点不在Packetlist面版Left在PactectDetail面版,关闭被选择的详情树状分支。如果以关闭,则返回到父分支。Right在PacketDetail面版,打开被选择的树状分支.BackspacePacketDetail面版,返回到被选择的节点的父节点Return,EnterPacketDetail面版,固定被选择树项目。另外,在主窗口键入任何字符都会填充到filter里面。.主菜单Wireshark主菜单位于Wireshark窗口的最上方。图“主菜单”提供了菜单的基本界面。图.主菜单主菜单包括以下几个项目:File包括打开、合并捕捉文件,save/保存,Print/打印,Export/导出捕捉文件的全部或部分。以及退出Wireshark项.见第节“File菜单”Edit包括如下项目:查找包,时间参考,标记一个多个包,设置预设参数。(剪切,拷贝,粘贴不能立即执行。)见第节“Edit菜单”View控制捕捉数据的显示方式,包括颜色,字体缩放,将包显示在分离的窗口,展开或收缩详情面版的地树状节点,……见第节“View菜单”GO包含到指定包的功能。见第节“Go菜单”Capture允许您开始或停止捕捉、编辑过滤器。见第节“Capture菜单”Analyze包含处理显示过滤,允许或禁止分析协议,配置用户指定解码和追踪TCP流等功能。见第节“Analyze菜单”Statistics包括的菜单项用户显示多个统计窗口,包括关于捕捉包的摘要,协议层次统计等等。见第节“Statistics菜单”Help包含一些辅助用户的参考内容。如访问一些基本的帮助文件,支持的协议列表,用户手册。在线访问一些网站,“关于”等等。见第节“Help菜单”本章链接介绍菜单的一般情况,更详细的介绍会出现在后续章节。提示你可以直接点击访问菜单项,也可以使用热键,热键显示在菜单文字描述部分。例如:您可以使用CTR+K打开捕捉对话框。.File菜单WireSharkFile菜单包含的项目如表表“File菜单介绍”所示图.File菜单表.File菜单介绍菜单项快捷键描述Open...Ctr+O显示打开文件对话框,让您載入捕捉文件用以浏览。见第节“打开捕捉文件对话框”OpenRecent弹出一个子菜单显示最近打开过的文件供选择。Merg显示合并捕捉文件的对话框。让您选择一个文件和当前打开的文件合菜单项快捷键描述并。见第节“合并捕捉文件”CloseCtrl+W关闭当前捕捉文件,如果您未保存,系统将提示您是否保存(如果您预设了禁止提示保存,将不会提示)SaveCrl+S保存当前捕捉文件,如果您没有设置默认的保存文件名,Wireshark出现提示您保存文件的对话框。详情第节“saveCaptureFileAs/保存文件为对话框”注意如果您已经保存文件,该选项会是灰色不可选的。注意您不能保存动态捕捉的文件。您必须结束捕捉以后才能进行保存SaveAsShift+Ctrl+S让您将当前文件保存为另外一个文件面,将会出现一个另存为的对话框(参见第节“saveCaptureFileAs/保存文件为对话框”)FileSetListFiles允许您显示文件集合的列表。将会弹出一个对话框显示已打开文件的列表,参见第节“文件集合”FileSetNextFile如果当前載入文件是文件集合的一部分,将会跳转到下一个文件。如果不是,将会跳转到最后一个文件。这个文件选项将会是灰色。FilesetPreviousFiles如果当前文件是文件集合的一部分,将会调到它所在位置的前一个文件。如果不是则跳到文件集合的第一个文件,同时变成灰色。Exportas“PlainText”File…这个菜单允许您将捕捉文件中所有的或者部分的包导出为plainASCIItext格式。它将会弹出一个Wireshark导出对话框,见第节“ExportasPlainTextFile对话框”ExportasPostScriptFiles将捕捉文件的全部或部分导出为PostScrit文件。将会出现导出文件对话框。参见第节“ExportasPostScriptFile对话框”ExportasCVS(CommaSeparatedValuesPacketSummary)File...导出文件全部或部分摘要为.cvs格式(可用在电子表格中)。将会弹出导出对话框,见第节“ExportasCSV(CommaSeparatedValues)File对话框”。Exportas“PSML”File…导出文件的全部或部分为PSML格式(包摘要标记语言)XML文件。将会弹出导出文件对话框。见第节“ExportasPSMLFile对话框”ExportasPDMLFile...导出文件的全部或部分为PDML(包摘要标记语言)格式的XML文件。将会弹出一个导出文件对话框,见第节“ExportasPDMLFile对话框”ExportSelectedPacketBytes…导出当前在Packetbyte面版选择的字节为二进制文件。将会弹出一个导出对话框。见第节“Exportselectedpacketbytes对话框”PrintCtr+P打印捕捉包的全部或部分,将会弹出打印对话框。见第节“打印包”QuitCtrl+Q退出Wireshark,如果未保存文件,Wireshark会提示是否保存。.Edit菜单Wireshark的Edit菜单包含的项目见表“Edit菜单项”图.Edit菜单表.Edit菜单项菜单项快捷键描述CopyAsFilterShift+Ctrl+C使用详情面版选择的数据作为显示过滤。显示过滤将会拷贝到剪贴板。FindPacket...Ctr+F打开一个对话框用来通过限制来查找包,见FindNextCtrl+N在使用Findpacket以后,使用该菜单会查找匹配规则的下一个包FindPreviousCtr+B查找匹配规则的前一个包。MarkPacket(toggle)Ctrl+M标记当前选择的包。见第节“标记包”FindNextMarkShift+Ctrl+N查找下一个被标记的包FindPreviousMarkCtrl+Shift+B查找前一个被标记的包MarkALLPackets标记所有包UnmarkAllPacket取消所有标记SetTimeReference(toggle)Ctrl+T以当前包时间作为参考,见第节“包参考时间”FindNextReference找到下一个时间参考包FindPreviousRefrence...找到前一个时间参考包Preferences...Shift+Ctrl+P打开首选项对话框,个性化设置Wireshark的各项参数,设置后的参数将会在每次打开时发挥作用。详见第节“首选项”.View菜单表“View菜单项”显示了WiresharView菜单的选项图.View菜单表.View菜单项菜单项快捷键描述MainToolbar显示隐藏Maintoolbar(主工具栏),见第节“Main工具栏”FilterToolbar显示或隐藏FilterToolbar(过滤工具栏)见第节“Filter工具栏”Statusbar显示或隐藏状态栏,见第节“状态栏”PacketList显示或隐藏PacketListpane(包列表面板),见第节“PcaketList面板”PacketDetails显示或隐藏Packetdetailspane(包详情面板).见第节“PacketDetails面板”PacketBytes显示或隐藏packetBytespane(包字节面板),见第节“PacketByte面板”TimeDisplayFromatDateandTimeofDay:1970-01-0101:02:选择这里告诉Wireshark将时间戳设置为绝对日期-时间格式(年月日,时分秒),见第节“时间显示格式及参考时间”注意这里的字段TimeofDay,DateandTimeofDay,SecondsSinceBeginningofCapture,SecondsSincePreviousCapturedPacket和SecondsSincePreviousDisplayedPacket几个选项是互斥的,换句话说,一次同时有一个被选中。TimeDisplayFormatTimeofDay:01:02:将时间设置为绝对时间-日期格式(时分秒格式),见第节“时间显示格式及参考时间”TimeDisplayFormatSecondsSinceBeginningofCapture:将时间戳设置为秒格式,从捕捉开始计时,见第节“时间显示格式及参考时间”TimeDisplayFormatSecondsSincePreviousCapturedPacket:将时间戳设置为秒格式,从上次捕捉开始计时,见第节“时间显示格式及参考时间”TimeDisplayFormatSecondsSincePreviousDisplayedPacket:将时间戳设置为秒格式,从上次显示的包开始计时,见第节“时间显示格式及参考时间”TimeDisplayFormat------TimeDisplayFormatAutomatic(FileFormat根据指定的精度选择数据包中时间戳的显示方式,见第节“时间显示格式及参菜单项快捷键描述Precision)考时间”注意Automatic,Seconds和...seconds是互斥的TimeDisplayFormatSeconds:0设置精度为1秒,见第节