Wireshark使用教程（中文版）.pdfVIP

Wireshark使用手册 编写：工程平台组 1. 软件介绍 wireshark 的原名是Ethereal，新名字是2006年起用的。当时Ethereal 的主要开发者决定离开他原来供职的公司，并继续开发这个软件。但由 于Ethereal这个名称的使用权已经被原来那个公司注册，Wireshark这个 新名字也就应运而生了。 目前我们在工程现场可以利用Wireshark进行103、104 、61850站控 层、61850过程层报文的捕获和分析。 2. 软件界面简介 2.1. MENUS （菜单） 程序上方的菜单项用于对Wireshark进行配置： - File （文件） 打开或保存捕获的信息。 - Edit （编辑） 查找或标记封包。进行全局设置。 - View （查看） 设置Wireshark 的视图。 - Go （转到） 跳转到捕获的数据。 - Capture （捕获） 设置捕捉过滤器并开始捕捉。 - Analyze （分析） 设置分析选项。 - Statistics （统计）查看Wireshark 的统计信息。 - Help （帮助） 查看本地或者在线支持。 工具栏可进行基本的抓包操作 可获取的网卡列表 捕获选项 开始捕获(需要先选定一个网卡) 停止捕获 重新开始捕获 2.2. DISPLAY FILTER （显示过滤器） 显示过滤器用于查找捕捉记录中的内容。请不要将捕捉过滤器和显 示过滤器的概念相混淆。请参考Wireshark过滤器中的详细内容。 显示过滤器将是我们在分析报文的过程中经常会使用到的一个工 具，通过“显示过滤器”我们可以筛选指定的封包报文，例如在捕获的 61850过程层报文中我们可以通过“显示过滤器”筛选指定发送源MAC地 址的封包数据。 2.3. PACKET LIST PANE （封包列表） 封包列表中显示所有已经捕获的封包。在这里您可以看到发送或接 收方的MAC/IP地址，TCP/UDP端口号，协议或者封包的内容。如果捕 获的是一个OSI layer 2 的封包，您在Source （来源）和Destination （目的 地）列中看到的将是MAC地址，当然，此时Port （端口）列将会为空。 如果捕获的是一个OSI layer 3或者更高层的封包，您在Source （来源） 和Destination （目的地）列中看到的将是IP地址。Port （端口）列仅会在 这个封包属于第4或者更高层时才会显示。 我们可以在这里添加/删除列或者改变各列的颜色：Edit menu - Preferences 2.4. PACKET DETAILS PANE （封包详细信 息） 这里显示的是在封包列表中被选中项目的详细信息。信息按照不同 的OSI layer进行了分组，您可以展开每个项目查看。下面截图中展开的 是HTTP信息 2.5. DISSECTOR PANE （16进制数据） “解析器”在Wireshark 中也被叫做“ 16进制数据查看面板” 。这里显示 的内容与“封包详细信息” 中相同，只是改为以16进制的格式表述。 在上面的例子里，我们在“封包详细信息” 中选择查看TCP端口 （80 ），其对应的16进制数据将自动显示在下面的面板中 （0050 ）。 2.6. MISCELLANOUS （杂项） 在程序的最下端，您可以获得如下信息： - 正在进行捕捉的网络设备。 - 捕捉是否已经开始或已经停止。 - 捕捉结果的保存位置。 - 已捕捉的数据量。 - 已捕捉封包的数量。(P) - 显示的封包数量。(D) (经过显示过滤器过滤