Wireshark的学习总结.pdfVIP

WireShark 的学习总结 一． 用户界面 1. 主界面 2. 菜单 • File （文件）打开或保存捕获的信息。 • Edit （编辑）查找或标记封包。进行全局设置。 • View （查看）设置Wireshark 的视图。 • Go （转到）跳转到捕获的数据。 • Capture （捕获）设置捕捉过滤器并开始捕捉。 • Analyze （分析）设置分析选项。 • Statistics （统计）查看Wireshark 的统计信息。 • Help （帮助）查看本地或者在线支持。 Capture 菜单项 Analyze 菜单项： Statistics 菜单项： Main 工具栏 3. 面板  Pcaket List面板 • 列表中的每行显示捕捉文件的一个包。如果您选择其中一行，该包得更多情况会显示 在 • Packet Detail/包详情，Packet Byte/ 包字节面板 • 在分析(解剖) 包时，Wireshark 会将协议信息放到各个列。因为高层协议通常会覆盖底 层协议， • 您通常在包列表面板看到的都是每个包的最高层协议描述。 • 默认的列如下 • No. 包的编号，编号不会发生改变，即使进行了过滤也同样如此。 • Time 包的时间戳。包时间戳的格式可以自行设置。 • Source 显示包的源地址。 • Destination 显示包的目标地址。 • Protocal 显示包的协议类型的简写。 • Info 包内容的附加信息。 • 右击包，可以显示对包进行相关操作的上下文菜单。  Packet Details面板 wireshark 与对应的OSI 七层模型 Frame: 物理层的数据帧概况 Ethernet II: 数据链路层以太网帧头部信息 Internet Protocol Version 4: 互联网层IP 包头部信息 Transmission Control Protocol: 传输层T 的数据段头部信息，此处是TCP Hypertext Transfer Protocol: 应用层的信息，此处是HTTP 协议 4. 捕捉过滤器 捕捉过滤器：用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。 设置捕捉过滤器的步骤是： 1) 选择capture-options 或点击 按钮弹出Capture Options 面板。 2) 双击Capture Options 面板 Capture 档目中的网络接口（对应每一个网卡）项，弹出Edit Interface Setings 面板。 3) 在Capture Filter :填入过虑规则，也可点击Compile BPF 选择已存在的规则文件然后点 击 OK （回到）Capture Options 面板。 4) 在 Capture Options 面板的 Capture File 栏中给一个文件名用以保存刚才写入的规则 （如果不想保存就可不写） 过虑器规则 （在Capture Filter 里填的内容）： Protocol （协议）: 可能的值:ether,fddi,ip,arp,rarp,decnet,lat,sca,moprc,mopdl,tcpandudp. 如果没有特别指明是什么协议，则默认使用所有支持的协议。 Direction （方向）: 可能的值:src,dst,srcanddst,srcordst 如果没有特别指明来源或目的地，则默认使用srcordst作为关键字。 例如，host与srcordsthost是一样的。 Host(s): 可能的值：net,port,host,portrange. 如果没有指定此值，则默认使用host关键字。 例如，src与srchost相同。 LogicalOperations （逻辑运算）: 可能的值：not,and,or. 否(not)具有最高的优先级。或(or)和与(and)具有相同的优先级，运算时从 左至