wireshark主界面操作菜單.doc

Wireshark 主界面的操作菜單File 打開(kāi)文件Open 打開(kāi)文件Open Recent 打開(kāi)近期訪問(wèn)過(guò)的文件Merge 將幾個(gè)文件合并為一個(gè)文件Close 關(guān)閉此文件Save As 保存為File Set 文件屬性Export 文件輸出Print 打印輸出Quit 關(guān)閉Edit 編輯Find Packet 搜索數(shù)據(jù)包Find Next 搜索下一個(gè)Find Previous 搜索前一個(gè)Mark Packet (toggle) 對(duì)數(shù)據(jù)包做標(biāo)記（標(biāo)定）Find Next Mark 搜索下一個(gè)標(biāo)記的包Find Previous Mark 搜索前一個(gè)標(biāo)記的包Mark All Packets 對(duì)所有包做標(biāo)記Unmark All Packets 去除所有包的標(biāo)記Set Time Reference (toggle) 設(shè)置參考時(shí)間 （標(biāo)定）Find Next Reference 搜索下一個(gè)參考點(diǎn)Find Previous Reference 搜索前一個(gè)參考點(diǎn)Preferences 參數(shù)選擇View 視圖Main Toolbar 主工具欄Filter Toolbar 過(guò)濾器工具欄Wireless Toolbar 無(wú)線工具欄Statusbar 運(yùn)行狀況工具欄Packet List 數(shù)據(jù)包列表Packet Details 數(shù)據(jù)包細(xì)節(jié)Packet Bytes 數(shù)據(jù)包字節(jié)Time Display Format 時(shí)間顯示格式Name resolution 名字解析（轉(zhuǎn)換：域名/IP地址，廠商名/MAC地址，端口號(hào)/端口名）Colorize Packet List 顏色標(biāo)識(shí)的數(shù)據(jù)包列表Auto Scroll in Live Capture 現(xiàn)場(chǎng)捕獲時(shí)實(shí)時(shí)滾動(dòng)Zoom In 放大顯示Zoom Out 縮小顯示Normal Size 正常大小Resize All Columns 改變所有列大小Expand Sub trees 擴(kuò)展開(kāi)數(shù)據(jù)包內(nèi)封裝協(xié)議的子樹(shù)結(jié)構(gòu)Expand All 全部擴(kuò)展開(kāi)Collapse All 全部折疊收縮Coloring Rules 對(duì)不同類型的數(shù)據(jù)包用不同顏色標(biāo)識(shí)的規(guī)則Show Packet in New Window 將數(shù)據(jù)包顯示在一個(gè)新的窗口Reload 將數(shù)據(jù)文件重新加Go 運(yùn)行Back 向后運(yùn)行Forward 向前運(yùn)行Go to packet 轉(zhuǎn)移到某數(shù)據(jù)包Go to Corresponding Packet 轉(zhuǎn)到相應(yīng)的數(shù)據(jù)包Previous Packet 前一個(gè)數(shù)據(jù)包Next Packet 下一個(gè)數(shù)據(jù)包First Packet 第一個(gè)數(shù)據(jù)包Last Packet 最后一個(gè)數(shù)據(jù)包Capture 捕獲網(wǎng)絡(luò)數(shù)據(jù)Interfaces 選擇本機(jī)的網(wǎng)絡(luò)接口進(jìn)行數(shù)據(jù)捕獲Options 捕獲參數(shù)選擇Start 開(kāi)始捕獲網(wǎng)絡(luò)數(shù)據(jù)Stop 停止捕獲網(wǎng)絡(luò)數(shù)據(jù)Restart 重新開(kāi)始捕獲Capture Filters 選擇捕獲過(guò)濾器Analyze 對(duì)已捕獲的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析Display Filters 選擇顯示過(guò)濾器Apply as Filter 將其應(yīng)用為過(guò)濾器Prepare a Filter 設(shè)計(jì)一個(gè)過(guò)濾器Firewall ACL Rules 防火墻ACL規(guī)則Enabled Protocols 已可以分析的協(xié)議列表Decode As 將網(wǎng)絡(luò)數(shù)據(jù)按某協(xié)議規(guī)則解碼User Specified Decodes 用戶自定義的解碼規(guī)則Follow TCP Stream 跟蹤TCP傳輸控制協(xié)議的通信數(shù)據(jù)段，將分散傳輸?shù)臄?shù)據(jù)組裝還原Follow SSL stream 跟蹤SSL 安全套接層協(xié)議的通信數(shù)據(jù)流Expert Info 專家分析信息Expert Info Composite 構(gòu)造專家分析信息Statistics對(duì)已捕獲的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析Summary 已捕獲數(shù)據(jù)文件的總統(tǒng)計(jì)概況Protocol Hierarchy 數(shù)據(jù)中的協(xié)議類型和層次結(jié)構(gòu)Conversations 會(huì)話Endpoints 定義統(tǒng)計(jì)分析的結(jié)束點(diǎn)IO Graphs 輸入/輸出數(shù)據(jù)流量圖Conversation List 會(huì)話列表Endpoint List 統(tǒng)計(jì)分析結(jié)束點(diǎn)的列表Service Response Time 從客戶端發(fā)出請(qǐng)求至收到服務(wù)器響應(yīng)的時(shí)間間隔ANSI 按照美國(guó)國(guó)家標(biāo)準(zhǔn)協(xié)會(huì)的ANSI協(xié)議分析Fax T38 Analysis. 按照T38傳真規(guī)范進(jìn)行分析GSM 全球移動(dòng)通信系統(tǒng)GSM的數(shù)據(jù)H.225 H.225協(xié)議的數(shù)據(jù)MTP3 MTP3協(xié)議的數(shù)據(jù)RTP 實(shí)時(shí)傳輸協(xié)議RTP的數(shù)據(jù)SCTP 數(shù)據(jù)流控制傳輸協(xié)議SCTP的數(shù)據(jù)SIP. 會(huì)話初始化協(xié)議SIP的數(shù)據(jù)VoIP Calls 互聯(lián)網(wǎng)IP電話的數(shù)據(jù)WAP-WSP 無(wú)線應(yīng)用協(xié)議WAP和WSP的數(shù)據(jù)BOOTP-DHCP 引導(dǎo)協(xié)議和動(dòng)態(tài)主機(jī)配置協(xié)議的數(shù)據(jù)Destinations 通信目的端Flow Graph 網(wǎng)絡(luò)通信流向圖HTTP 超文本傳輸協(xié)議的數(shù)據(jù)IP address 互聯(lián)網(wǎng)IP地址ISUP Messages ISUP協(xié)議的報(bào)文Multicast Streams 多播數(shù)據(jù)流ONC-RPC Programs Packet Length 數(shù)據(jù)包的長(zhǎng)度Port Type 傳輸層通信端口類型TCP Stream Graph 傳輸控制協(xié)議TCP數(shù)據(jù)流波形圖Help 幫助Contents Wireshark 使用手冊(cè)Supported Protocols Wireshark支持的協(xié)議清單Manual Pages 使用手冊(cè)（HTML網(wǎng)頁(yè)）Wireshark Online Wireshark 在線About Wireshark 關(guān)于WiresharkCaption菜單的Options項(xiàng)： Interface:選擇采集數(shù)據(jù)包的網(wǎng)卡 ! |u, p3 w9 t, g F; BIP address:選擇的網(wǎng)卡所對(duì)應(yīng)的IP地址 Link-layer header type:數(shù)據(jù)鏈路層的協(xié)議，在以太網(wǎng)中一般是Ethernet II 4 % _+ R- : kaBuffer size:數(shù)據(jù)緩存大小設(shè)定，默認(rèn)是1M字節(jié) Capture packets in promiscuous mode:設(shè)定在混雜模式下捕獲數(shù)據(jù)，如果不選中，將只能捕獲本機(jī)的數(shù)據(jù)通訊，默認(rèn)情況下選中該項(xiàng) / M2 ! - c$ b! I9 s0 z; ULimit each packet to:設(shè)定只捕獲數(shù)據(jù)包的前多少個(gè)字節(jié)（從以太網(wǎng)頭開(kāi)始計(jì)算），默認(rèn)是68 Capture Filter:設(shè)定當(dāng)前的數(shù)據(jù)包采集過(guò)濾器 # S! A7 k) Y% W ) FCapture File File:設(shè)定數(shù)據(jù)包文件的保存位置和保存文件名，默認(rèn)不保存 ) w0 4 W! s, EUse multiple files:啟用多文件保存，默認(rèn)不啟用 Next file every:設(shè)定每個(gè)數(shù)據(jù)包文件的大小(單位是M，默認(rèn)1M)，只有啟用Use multiple files后此項(xiàng)才可用 Next file every: 設(shè)定每個(gè)數(shù)據(jù)包文件的大小(單位是分鐘，默認(rèn)1分鐘)，只有啟用Use multiple files后此項(xiàng)才可用 - R! + J+ d2 p6 , k: a: |Ring buffer with:當(dāng)保存多少個(gè)數(shù)據(jù)包文件后循環(huán)緩存，默認(rèn)是2個(gè)文件，即保存2個(gè)數(shù)據(jù)包文件后丟棄緩存中的數(shù)據(jù)包，再添加新采集到的數(shù)據(jù)包 Stop capture after: 當(dāng)保存多少個(gè)數(shù)據(jù)包文件后停止捕獲，默認(rèn)是1個(gè)文件Stop Capture after:捕獲到多少個(gè)數(shù)據(jù)包后停止捕獲，默認(rèn)不啟用，如啟用，默認(rèn)值是1 $ L n0 g5 h& o after:捕獲到多少M(fèi)字節(jié)的數(shù)據(jù)包后停止捕獲，默認(rèn)不啟用，如啟用，默認(rèn)值是1 ; K7 i x% K- g; D: t5 K after:捕獲多少分鐘后停止捕獲，默認(rèn)不啟用，如啟用，默認(rèn)值是1 0 W$ B7 o2 d/ j9 G9 m6 ! Display Options 2 J) H4 x. Q/ m t5 Z* f# PUpdate list of packets in real time:實(shí)時(shí)更新捕獲到的數(shù)據(jù)包列表信息 Automatic scrolling in live capture:對(duì)捕獲到的數(shù)據(jù)包信息進(jìn)行自動(dòng)滾屏顯示 % d9 g; G3 k% Y3 S $ plHide capture info dialog:隱藏捕獲信息對(duì)話框 B/ 7 z0 N8 m7 r) s+ O7 nName Resolution Enable MAC name resolution:把MAC地址前3位解析為相應(yīng)的生產(chǎn)廠商 Enable network name resolution:啟用網(wǎng)絡(luò)地址解析，解析IP,IPX地址對(duì)應(yīng)的主機(jī)名 3 b# u) |6 k% P1 HEnable transport name resolution:啟用端口名解析，解析端口號(hào)對(duì)應(yīng)的端口名. H5 K& c5 F, A/ I7 v/ T7 j4 y& O附：Wireshark 可以將從網(wǎng)絡(luò)捕獲到的二進(jìn)制數(shù)據(jù)按照不同的協(xié)議包結(jié)構(gòu)規(guī)范，翻譯解釋為人們可以讀懂的英文信息，并顯示在主界面的中部窗格中。為了幫助大家在網(wǎng)絡(luò)安全與管 理的數(shù)據(jù)分析中，迅速理解Wireshark顯示的捕獲數(shù)據(jù)幀內(nèi)的英文信息，特做如下中文的翻譯解釋。Wireshark顯示的下面這些數(shù)據(jù)信息的順序與 各數(shù)據(jù)包內(nèi)各字段的順序相同，其他幀的內(nèi)容展開(kāi)與此類似。 幀號(hào) 時(shí)間 源地址 目的地址 高層協(xié)議 包內(nèi)信息概況No. Time Source Destination Protocol Info1 0.000000 25 2 TCP 2764 http SYN Seq=0 Len=0 MSS=1460 源端口目的端口請(qǐng)求建立TCP鏈接以下為物理層的數(shù)據(jù)幀概況Frame 1 (62 bytes on wire, 62 bytes captured)1號(hào)幀，線路62字節(jié)，實(shí)際捕獲62字節(jié)Arrival Time: Jan 21, 2008 15:17:33.910261000 捕獲日期和時(shí)間Time delta from previous packet:0.00000 seconds此包與前一包的時(shí)間間隔Time since reference or first frame: 0.00 seconds此包與第1幀的間隔時(shí)間Frame Number: 1 幀序號(hào)Packet Length: 62 bytes 幀長(zhǎng)度Capture Length: 62 bytes 捕獲長(zhǎng)度Frame is marked: False 此幀是否做了標(biāo)記：否Protocols in frame: eth:ip:tcp 幀內(nèi)封裝的協(xié)議層次結(jié)構(gòu)Coloring Rule Name: HTTP 用不同顏色染色標(biāo)記的協(xié)議名稱：HTTPColoring Rule String: http | tcp.port = 80染色顯示規(guī)則的字符串：以下為數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息Ethernet II, Src: AcerTech_5b:d4:61 (00:00:e2:5b:d4:61), Dst: Jetcell_e5:1d:0a (00:d0:2b:e5:1d:0a)以太網(wǎng)協(xié)議版本II，源地址：廠名_序號(hào)（網(wǎng)卡地址），目的：廠名_序號(hào)（網(wǎng)卡地址）Destination: Jetcell_e5:1d:0a (00:d0:2b:e5:1d:0a) 目的：廠名_序號(hào)（網(wǎng)卡地址）Source: AcerTech_5b:d4:61 (00:00:e2:5b:d4:61) 源：廠名_序號(hào)（網(wǎng)卡地址）Type: IP (0x0800)幀內(nèi)封裝的上層協(xié)議類型為IP（十六進(jìn)制碼0800）看教材以下為互聯(lián)網(wǎng)層IP包頭部信息Internet Protocol, Src: 25 (25), Dst: 2 (2) 互聯(lián)網(wǎng)協(xié)議，源IP地址，目的IP地址Version: 4互聯(lián)網(wǎng)協(xié)議IPv4（此部分參看教材Pv4數(shù)據(jù)報(bào)字段結(jié)構(gòu)）Header length: 20 bytes IP包頭部長(zhǎng)度Differentiated Services Field:0x00(DSCP 0x00:Default;ECN:0x00)差分服務(wù)字段Total Length: 48IP包的總長(zhǎng)度Identification:0x8360 (33632) 標(biāo)志字段Flags: 標(biāo)記字段（在路由傳輸時(shí)，是否允許將此IP包分段，教材125頁(yè)）Fragment offset: 0分段偏移量（將一個(gè)IP包分段后傳輸時(shí)，本段的標(biāo)識(shí)）Time to live: 128 生存期TTLProtocol: TCP (0x06) 此包內(nèi)封裝的上層協(xié)議為T(mén)CPHeader checksum: 0xe4ce correct 頭部數(shù)據(jù)的校驗(yàn)和Source: 25 (25) 源IP地址Destination: 2 (2)目的IP地址以下為傳輸層TCP數(shù)據(jù)段頭部信息Transmission Control Protocol, Src Port: 2764 (2764), Dst Port: http (80), Seq: 0, Len: 0 傳輸控制協(xié)議TCP的內(nèi)容Source port: 2764 (2764）源端口名稱（端口號(hào)）（此部分參看教材）Destination port: http (80) 目的端口名http（端口號(hào)80）Sequence number: 0 (relative sequence number) 序列號(hào)（相對(duì)序列號(hào)）Header length: 28 bytes 頭部長(zhǎng)度Flags: 0x02 (SYN) TCP標(biāo)記字段（本字段是SYN，是請(qǐng)