Wireshark使用教程：[2]用户界面

1、安装完成后，即可运行wireshark。打开wireshark 后的抓包主界面如下图所

示。Wireshark 主窗口由如下部分组成：

 1.菜单——用于开始操作。

 2.主工具栏——提供快速访问菜单中经常用到的项目的功能。

 3.Fiter toolbar/过滤工具栏——提供处理当前显示过滤得方法。

 4.Packet List 面板——显示打开文件的每个包的摘要。点击面板中的单独条目，包的其他情况将会显示在另外两个面板中。

 5.Packet detail 面板——显示您在Packet list 面板中选择的包的更多详情。

 6.Packet bytes 面板——显示您在Packet list 面板选择的包的数据，以及在Packet details 面板高亮显示的字段。

7.状态栏——显示当前程序状态以及捕捉数据的更多详情。

2、菜单栏

主菜单包括以下几个项目:

 1.File ——包括打开、合并捕捉文件，save/保存,Print/打印,Export/导出捕捉文

件的全部或部分。以及退出Wireshark 项.

2. Edit ——包括如下项目：查找包，时间参考，标记一个多个包，设置预设参

数。（剪切，拷贝，粘贴不能立即执行。）

3. View ——控制捕捉数据的显示方式，包括颜色，字体缩放，将包显示在分

离的窗口，展开或收缩详情面版的地树状节点

 4.GO ——包含到指定包的功能。

 5.Capture——控制抓包的对话框，包括接口，选项，开始/停止/重新开始和过

滤器。

 6.Analyze ——包含处理显示过滤，允许或禁止分析协议，配置用户指定解码

和追踪TCP 流等功能。

 7.Statistics ——包括的菜单项用户显示多个统计窗口，包括关于捕捉包的摘

要，协议层次统计等等。

   8.Help ——包含一些辅助用户的参考内容。如访问一些基本的帮助文件，支持

的协议列表，用户手册。

3、工具栏

——打开接口列表对话框

——打开捕捉选项对话框

——使用最后一次的捕捉设置立即开始捕捉

——停止当前捕捉

——停止当前捕捉并立即重新开始

——启动打开文件对话框，用于载入文件

——保存当前文件为任意其他的文件，它将会弹出一个保存对话框

注：如果当前文件是临时未保存文件，图标将会显示为

——关闭当前文件。如果未保存，将会提示是否保存

——重新载入当前文件

——打印捕捉文件的全部或部分，将会弹出一个打印对话框

——打开一个对话框，查找包

——返回历史记录的上一个

——跳转到历史记录中的下一个包

——弹出一个设置跳转到指定的包的对话框

——跳转到第一个包

——跳转到最后一个包

——切换是否以彩色方式显示包列表

——开启/关闭实时捕捉时自动滚动包列表

——增大字体

——缩小字体

——设置缩放大小为100%

——重置列宽，是内容适合列宽（使包列表内的文字可以显示）

——打开对话框，用于创建、编辑捕捉过滤器

——打开对话框，用于创建、编辑显示过滤器

——定义以彩色方式显示数据包的规则

——打开首选项对话框

——打开帮助对话框

4、过滤工具栏

点击Filter 按钮会弹出display filter 对话框

这个和在工具栏上输入协议来查找包的结果是一样的，只是它方便点

 New——增加一个新的过滤器到列表中。当前输入的Fiter name，Filter

string 将会被使用并被保存，如果这些都为空，将会设置为―new‖。

 Delete——删除选中的过滤器。如果没有过滤器被选中则为灰色

 Filter name——修改当前选择的过滤器的名称。注：过滤器名称仅用在

此处为了区分方便而已，没有其他用处。可以将多个过滤器使用同一个

名称，但这样很不方便。

 Filter string——修改当前选中过滤器的内容。仅适用显示过滤：在输入

时进行语法检查。

 Add expression——仅适用显示过滤：打开增加表达式对话框，辅助创

建过滤表达式。

 OK——仅适用显示过滤：应用当前显示选择的过滤器，关闭当前对话框。

 Apply——仅适用显示过滤：应用当前显示选择的过滤器。

 Cancel——放弃当前设置，关闭当前对话框。

点击Expression 按钮，会出现Filter Expression 对话框

Field name——从协议字段书中选择协议字段。每个可过滤协议都放在

第一级。点击―+‖展开列表，可以获得关于那些协议的可过滤字段。

 Relation——从可以关系列表中选择关系。Is present 是一元关系，如果

选择的字段存在，表达式为真值。其它关系为二元关系，需附加数据来

完成。如果从字段名列表选择一个字段，并选择一个二元关系，你可能

需要输入值，也有可能是范围信息。

 Value——在此输入合适的配置值，输入的值同样要符合你选择的field

name 的属性值类型。

 Predefined values——有些协议字段包含预设值可用，这点和C 语言中

的枚举变量类似。如果选择的协议有这样的值定义，你可以再次选择。

在工具栏上输：tcp

点击在此区域输入或修改显示的过滤字符，在输入过程中会进行语法检查。

如果您输入的格式不正确，或者未输入完成，则背景显示为红色。直到您输入合

法的表达式，背景会变为绿色。你可以点击下拉列表选择您先前键入的过滤字符。

列表会一直保留，即使您重新启动程序。

5、封包列表

封包列表中显示所有已经捕获的封包。在这里您可以看到发送或接收方的

MAC/IP 地址，TCP/UDP 端口号，协议或者封包的内容。如果捕获的是一个OSI

layer 2 的封包，您在Source（来源）和Destination（目的地）列中看到的将是

MAC 地址，当然，此时Port（端口）列将会为空。

如果捕获的是一个OSI layer 3 或者更高层的封包，您在Source（来源）和

Destination（目的地）列中看到的将是IP 地址。Port（端口）列仅会在这个封

包属于第4 或者更高层时才会显示。

您可以在这里添加/删除列或者改变各列的颜色：Edit menu -> Preferences。

6、封包列表信息

这里显示的是在封包列表中被选中项目的详细信息。信息按照不同的OSI

layer 进行了分组，您可以展开每个项目查看。

7、16 进制数据

―解析器‖在Wireshark 中也被叫做―16 进制数据查看面板‖。这里显示的内容

与―封包详细信息‖中相同，只是改为以16 进制的格式表述。