Wireshark（前稱Ethereal）是一款功能強大的網(wǎng)絡(luò)抓包分析工具，在我的工作中是不可或缺的一部分工具，往往在網(wǎng)絡(luò)出現(xiàn)異常時，查看網(wǎng)絡(luò)中的數(shù)據(jù)包，會豁然開朗。
1.菜單欄



主菜單包括以下幾個項目:

File——包括打開、合并捕捉文件，save/保存,Print/打印,Export/導(dǎo)出捕捉文件的全部或部分。以及退出Wireshark項.



File菜單介紹

菜單項	快捷鍵	描述
Open…	Ctr+O	顯示打開文件對話框，讓您載入捕捉文件用以瀏覽。
Open Recent		彈出一個子菜單顯示最近打開過的文件供選擇。
Merg		顯示合并捕捉文件的對話框。讓您選擇一個文件和當(dāng)前打開的文件合并。
Close	Ctrl+W	關(guān)閉當(dāng)前捕捉文件，如果您未保存，系統(tǒng)將提示您是否保存（如果您預(yù)設(shè)了禁止提示保存，將不會提示）
Save	Crl+S	保存當(dāng)前捕捉文件，如果您沒有設(shè)置默認的保存文件名，Wireshark出現(xiàn)提示您保存文件的對話框。
Save As	Shift+Ctrl+S	讓您將當(dāng)前文件保存為另外一個文件面，將會出現(xiàn)一個另存為的對話框
File Set>List Files		允許您顯示文件集合的列表。將會彈出一個對話框顯示已打開文件的列表。
File Set>Next File		如果當(dāng)前載入文件是文件集合的一部分，將會跳轉(zhuǎn)到下一個文件。如果不是，將會跳轉(zhuǎn)到最后一個文件。這個文件選項將會是灰色。
File set>Previous Files		如果當(dāng)前文件是文件集合 的一部分，將會調(diào)到它所在位置的前一個文件。如果不是則跳到文件集合的第一個文件，同時變成灰色。
Export> as “Plain Text” File…		這個菜單允許您將捕捉文件中所有的或者部分的包導(dǎo)出為plain ASCII text格式。它將會彈出一個Wireshark導(dǎo)出對話框。
Export >as “PostScript” Files		將捕捉文件的全部或部分導(dǎo)出為PostScrit文件。
Export > as “CVS” (Comma Separated Values Packet Summary)File…		導(dǎo)出文件全部或部分摘要為.cvs格式（可用在電子表格中）。。
Export > as “PSML” File…		導(dǎo)出文件的全部或部分為PSML格式（包摘要標記語言）XML文件。將會彈出導(dǎo)出文件對話框。
Export as “PDML” File…		導(dǎo)出文件的全部或部分為PDML(包摘要標記語言)格式的XML文件。
Export > Selected Packet Bytes…		導(dǎo)出當(dāng)前在Packet byte面版選擇的字節(jié)為二進制文件。
Print	Ctr+P	打印捕捉包的全部或部分，將會彈出打印對話框。
Quit	Ctrl+Q	退出Wireshark,如果未保存文件，Wireshark會提示是否保存。

Edit——包括如下項目：查找包，時間參考，標記一個多個包，設(shè)置預(yù)設(shè)參數(shù)。（剪切，拷貝，粘貼不能立即執(zhí)行。）



Edit菜單項

菜單項	快捷鍵	描述
Copy>As Filter	Shift+Ctrl+C	使用詳情面版選擇的數(shù)據(jù)作為顯示過濾。顯示過濾將會拷貝到剪貼板。
Find Packet…	Ctr+F	打開一個對話框用來通過限制來查找包
Find Next	Ctrl+N	在使用Find packet以后，使用該菜單會查找匹配規(guī)則的下一個包
Find Previous	Ctr+B	查找匹配規(guī)則的前一個包。
Mark Packet(toggle)	Ctrl+M	標記當(dāng)前選擇的包。
Find Next Mark	Shift+Ctrl+N	查找下一個被標記的包
Find Previous Mark	Ctrl+Shift+B	查找前一個被標記的包
Mark ALL Packets		標記所有包
Unmark All Packet		取消所有標記
Set Time Reference(toggle)	Ctrl+T	以當(dāng)前包時間作為參考
Find Next Reference		找到下一個時間參考包
Find Previous Refrence…		找到前一個時間參考包
Preferences…	Shift+Ctrl+P	打開首選項對話框，個性化設(shè)置Wireshark的各項參數(shù)，設(shè)置后的參數(shù)將會在每次打開時發(fā)揮作用。

View——控制捕捉數(shù)據(jù)的顯示方式，包括顏色，字體縮放，將包顯示在分離的窗口，展開或收縮詳情面版的地樹狀節(jié)點



“View”菜單項

菜單項	快捷鍵	描述
Main Toolbar		顯示隱藏Main toolbar(主工具欄)
Filter Toolbar		顯示或隱藏Filter Toolbar(過濾工具欄)
Statusbar		顯示或隱藏狀態(tài)欄
Packet List		顯示或隱藏Packet List pane(包列表面板)
Packet Details		顯示或隱藏Packet details pane(包詳情面板)
Packet Bytes		顯示或隱藏packet Bytes pane(包字節(jié)面板)
Time Display Fromat>Date and Time of Day: 1970-01-01 01:02:03.123456		選擇這里告訴Wireshark將時間戳設(shè)置為絕對日期-時間格式(年月日，時分秒)
Time Display Format>Time of Day: 01:02:03.123456		將時間設(shè)置為絕對時間-日期格式(時分秒格式)
Time Display Format > Seconds Since Beginning of Capture: 123.123456		將時間戳設(shè)置為秒格式，從捕捉開始計時，見
Time Display Format > Seconds Since Previous Captured Packet: 1.123456		將時間戳設(shè)置為秒格式，從上次捕捉開始計時
Time Display Format > Seconds Since Previous Displayed Packet: 1.123456		將時間戳設(shè)置為秒格式，從上次顯示的包開始計時
Time Display Format > ——
Time Display Format > Automatic (File Format Precision)		根據(jù)指定的精度選擇數(shù)據(jù)包中時間戳的顯示方式
Time Display Format > Seconds: 0		設(shè)置精度為1秒
Time Display Format > …seconds: 0….		設(shè)置精度為1秒，0.1秒，0.01秒，百萬分之一秒等等。
Name Resolution > Resolve Name		僅對當(dāng)前選定包進行解析
Name Resolution > Enable for MAC Layer		是否解析Mac地址
Name Resolution > Enable for Network Layer		是否解析網(wǎng)絡(luò)層地址(ip地址)
Name Resolution > Enable for Transport Layer		是否解析傳輸層地址
Colorize Packet List		是否以彩色顯示包
Auto Scrooll in Live Capture		控制在實時捕捉時是否自動滾屏，如果選擇了該項，在有新數(shù)據(jù)進入時， 面板會項上滾動。您始終能看到最后的數(shù)據(jù)。反之，您無法看到滿屏以后的數(shù)據(jù)，除非您手動滾屏
Zoom In	Ctrl++	增大字體
Zoom Out	Ctrl+-	縮小字體
Normal Size	Ctrl+=	恢復(fù)正常大小
Resiz All Columnus		恢復(fù)所有列寬 注意 除非數(shù)據(jù)包非常大，一般會立刻更改
Expend Subtrees		展開子分支
Expand All		看開所有分支，該選項會展開您選擇的包的所有分支。
Collapse All		收縮所有包的所有分支
Coloring Rulues…		打開一個對話框，讓您可以通過過濾表達來用不同的顏色顯示包。這項功能對定位特定類型的包非常有用
Show Packet in New Window		在新窗口顯示當(dāng)前包，(新窗口僅包含View,Byte View兩個面板)
Reload	Ctrl+R	重新再如當(dāng)前捕捉文件

GO——包含到指定包的功能。



“GO”菜單項

菜單項	快捷鍵	描述
Back	Alt+Left	跳到最近瀏覽的包，類似于瀏覽器中的頁面歷史紀錄
ForWard	Alt+Right	跳到下一個最近瀏覽的包，跟瀏覽器類似
Go to Packet	Ctrl+G	打開一個對話框，輸入指定的包序號，然后跳轉(zhuǎn)到對應(yīng)的包。
Go to Corresponding Packet		跳轉(zhuǎn)到當(dāng)前包的應(yīng)答包，如果不存在，該選項為灰色
Previous Packet	Ctrl+UP	移動到包列表中的前一個包，即使包列表面板不是當(dāng)前焦點，也是可用的
Next Packet	Ctrl+Down	移動到包列表中的后一個包，同上
First Packet		移動到列表中的第一個包
Last Packet		移動到列表中的最后一個包

Capture——捕捉數(shù)據(jù)包

“Capture”菜單項

菜單項	快捷鍵	說明
Interface…		在彈出對話框選擇您要進行捕捉的網(wǎng)絡(luò)接口
Options…	Ctrl+K	打開設(shè)置捕捉選項的對話框并可以在此開始捕捉
Start		立即開始捕捉，設(shè)置都是參照最后一次設(shè)置。
Stop	Ctrl+E	停止正在進行的捕捉
Restart		正在進行捕捉時，停止捕捉，并按同樣的設(shè)置重新開始捕捉.僅在您認為有必要時
Capture Filters…		打開對話框，編輯捕捉過濾設(shè)置，可以命名過濾器，保存為其他捕捉時使用

Analyze——包含處理顯示過濾，允許或禁止分析協(xié)議，配置用戶指定解碼和追蹤TCP流等功能。



“analyze”菜單項

菜單項	快捷鍵	說明
Display Filters…		打開過濾器對話框編輯過濾設(shè)置，可以命名過濾設(shè)置，保存為其他地方使用，見第6.6節(jié) “定義，保存過濾器”
Apply as Filter>…		更改當(dāng)前過濾顯示并立即應(yīng)用。根據(jù)選擇的項，當(dāng)前顯示字段會被替換成選擇在Detail面板的協(xié)議字段
Prepare a Filter>…		更改當(dāng)前顯示過濾設(shè)置，當(dāng)不會立即應(yīng)用。同樣根據(jù)當(dāng)前選擇項，過濾字符會被替換成Detail面板選擇的協(xié)議字段
Firewall ACL Rules		為多種不同的防火墻創(chuàng)建命令行ACL規(guī)則(訪問控制列表),支持Cisco IOS, Linux Netfilter (iptables), OpenBSD pf and Windows Firewall (via netsh). Rules for MAC addresses, IPv4 addresses, TCP and UDP ports, 以及IPv4+混合端口 以上假定規(guī)則用于外部接口
Enable Protocols…	Shift+Ctrl+R	是否允許協(xié)議分析，見第9.4.1節(jié) “”Enable Protocols”對話框”

Statistics——包括的菜單項用戶顯示多個統(tǒng)計窗口，包括關(guān)于捕捉包的摘要，協(xié)議層次統(tǒng)計等等。

菜單項	快捷鍵	描述
Summary		顯示捕捉數(shù)據(jù)摘要
Protocol Hierarchy		顯示協(xié)議統(tǒng)計分層信息
Conversations/		顯示會話列表(兩個終端之間的通信)
EndPoints		顯示端點列表(通信發(fā)起，結(jié)束地址)
IO Graphs		顯示用戶指定圖表，(如包數(shù)量-時間表)
Conversation List		通過一個組合窗口，顯示會話列表
Endpoint List		通過一個組合窗口顯示終端列表
Service Response Time		顯示一個請求及其相應(yīng)之間的間隔時間

Help——包含一些輔助用戶的參考內(nèi)容。如訪問一些基本的幫助文件，支持的協(xié)議列表，用戶手冊。在線訪問一些網(wǎng)站，“關(guān)于”

菜單項	快捷鍵	描述
Open…	Ctr+O	顯示打開文件對話框，讓您載入捕捉文件用以瀏覽。
Open Recent		彈出一個子菜單顯示最近打開過的文件供選擇。

總結(jié)

以上是生活随笔為你收集整理的WiresShark 使用方法的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。