wireshark详细的使用说明.docVIP

Wireshark使用说明 一、安装wireshark： 1、在windows下安装： Wireshark的安装需要WinPcap，但是在Wireshark的安装包里一般含有WinPcap，所以不需要单独下载安装它。 除了普通的安装之外，还有几个组件供挑选安装。 选择组件(注意：GTK1和GTK2无法同时安装)： Wireshark GTK1-Wireshark：一个GUI网络分析工具 Wireshark GTK2-Wireshark：一个GUI网络分析工具（建议使用GTK2 GUI模组工具） GTK-Wimp：GTK2窗口模拟(看起来感觉像原生windows32程序，推荐使用) TSshark：一个命令行的网络分析工具 注意：如果使用GTK2的GUI界面遇到问题可以尝试GTK1，在Windows下256色（8bit）显示模式无法运行GTK2.但是某些高级分析统计功能在GTK1下可能无法实现。 插件/扩展(Wireshark,TShark分析引擎)： Dissector Plugins：带有扩展分析的插件 Tree Statistics Plugins-树状统计插件：统计工具扩展 Mate - Meta Analysis and Tracing Engine (experimental):可配置的显示过滤引擎，参考/Mate. SNMP MIBs: SNMP，MIBS的详细分析。 2、在LINUX下安装： （1）在编译或者安装二进制发行版之前，您必须确定已经安装如下包： GTK+：The GIMP Tool Kit. Glib：可以从获得。 Libpcap：Wireshark用来捕捉包的工具，您可以从获得。 根据您操作系统的不同，您或许能够安装二进制包，如RPMs.或许您需要获得源文件并编译它。 如果您已经下载了GTK+源文件，例?1 “从源文件编译GTK+”提供的指令对您编译有所帮助。 例?1.?从源文件编译GTK+ #gunzip -dc gtk+-1.2.10.tar.gz | tar xvf – #./configure #make install 注意您可能需要修改例1 中提供的版本号成对应您下载的GTK+版本。如果GTK的目录发生变更，您同样需要修改它。tar xvf 显示您需要修改的目录。如果您使用Linux,或者安装了GUN tar，您可以使用tar zxvfgtk+-1.2.10.tar.gz命令。同样也可能使用gunzip –c或者gzcat如果您在windows中下载了gtk+ 或者其他文件。您的文件可能名称为：gtk+-1_2_8_tar.gz– #cd libpcap-0.9.4 #./configure #make #make install 注意Libpcap的目录需要根据您的版本进行修改。tar xvf命令显示您解压缩的目录。注意如果您使用RedHat 6.2之后的版本，需要的RMPs包可能已经变化。您需要使用正确的RMPs包。注意使用管道命令行 gzip –dc Wireshark-0.99.5-tar.gz|tar xvf 同样可以如果您在Windows下下载了Wireshark,你会发现文件名中的那些点变成了下划线。 常见需要注意的地方： A. 必须拥有root/Administrator特权才能开始捕捉 B. 必须选择正确的网络接口捕捉数据。 2、开始捕捉 可以使用以下任一方式开始捕捉包 方式一：使用打开捕捉接口对话框，浏览可用的本地网络接口，选择需要进行捕捉的接口并启动捕捉 方式二：使用捕捉选项按钮启动对话框开始捕捉，如下图 如果前次捕捉时的设置和现在的要求一样，可以直接点击开始捕捉按钮或者是菜单项立即开始本次捕捉。 方式三：如果已经知道捕捉接口的名称，可以使用如下命令从命令行开始捕捉： wireshark -i eth0 -k 上述命令会从eht0接口开始捕捉。 捕捉时，会出现下面的捕捉信息对话框： 上述对话框会向你显示捕捉到包的数目，以及捕捉持续时间。捕获前选定了要统计的协议，在捕获过程中无法对其作出更改（增加或取消某些要统计的协议）。 提示这个对话框可以被隐藏，在的捕捉选项对话框设置Hide capture info dialog box即可。 3、停止捕捉 运行中的捕捉线程可以用下列方法停止： 方法一：使用捕捉信息对话框上的stop按钮停止。 注意捕捉信息对话框有可能被隐藏，如果你选择了Hide capture info dialog Stop 方法三：使用工具栏项 Stop 方法四：使用快捷键:Ctrl+E 注意：如果设置了触发停止的条件，捕捉达到条件时会自动停止。 4、重新启动捕捉 运行中的捕捉进程可以被重新启动。这将会移出上次捕捉的所有包。如果你捕捉到一些你不感兴