Wireshark中文简明使用教程 下载本文

内容发布更新时间 : 2024/12/23 1:10:18星期一 下面是文章的全部内容请认真阅读。

从协议字段树中选择协议字段。每个可过滤协议都放在第一级。点击+号展开列表,可以获得关于那些协议的可过滤字段。 Relation

从可用关系列表中选择关系。is present是一元关系,表示如果你选择的字段存在,表达式就为真值。其它关系都为二元关系,需要附加数据(例如:一个值来匹配)来完成。

如果你从字段名列表选择一个字段,并选择一个二元关系(例如等于关系\你可能需要输入值,也有可能是范围信息。 Value

在此输入合适的配置值,输入的值同样要符合你选择的field name的属性值类型(例如 字符串). Predefined values

有些协议字段包含预设值可用,这一点跟C语言中的枚举变量类似。如果选择的协议有这样的值定义,你可以在此选择。 Range

此处作者留空了 OK

如果你已经建立好了表达式,点击OK即可创建你的过滤字符串 Cancel

你可以点击Cancle按钮不做任何修改离开Add Expression。。。对话框。

6.6. 定义,保存过滤器

你可以定义过滤器,并给他们标记以便以后使用。这样可以省去回忆、重新输入某些你曾用过的复杂过滤器的时间。 定义新的过滤器或修改已经存在的过滤器有两种方法:1、在Capture 菜单选择Capture Filters...;2、在Analyze菜单选择Display filter...。Wireshark 将会弹出如图 6.7 “\捕捉过滤器\和\显示过滤器\对话框”所示话框。

注意

因为捕捉和显示滤镜的设定义和保存方式几乎完全一样。所以这里放在一起讲,二者之间的不同点会做标记 警告

你必须用Save来保存你的过滤器,OK或者Apply不会保存过滤器。关闭wireshark时会随之消失

图 6.7. \捕捉过滤器\和\显示过滤器\对话框

New

增加一个新的过滤器到列表中。当前输入的Filter name,Filter string值将会被使用。如果这些都为空,将会被设置为\是说filtername还是说二者都是?) Delete

删除选中的过滤器。如果没有过滤器被选中则为灰色 Filter name

修改当前选择的过滤器的名称

注意

过滤器名称仅用在此处为了区分方便而已,没有其他用处。你可以将多个过滤器使用同一个名称,但这 样会很不方便

Filter string

修改当前选中过滤器的的内容。仅适用显示过滤:在输入时进行语法检查。 Add Expression

仅适用显示过滤:打开增加表达式对话框,辅助创建过滤表达式。详见第 6.5 节 ““Filter Expression/过滤表达式”对话框” OK

仅适用显示过滤:为当前显示应用选择的过滤器,关闭当前对话框。 save

保存当前对话框设置。文件位置和格式见??? Close

关闭当前对话框。将会放弃未保存的设置。

6.7. 查找包

当你捕捉到一些包以后,或者读取以前存储的包的时候,可以很容易的进行查找。从Edit菜单选择Find Packet...菜单项.Wireshark将会弹出图 6.8 “\查找包\对话框”所示对话框.

6.7.1. 查找包对话框

图 6.8. \查找包\对话框

首先你需要选择查找方式: Display filter

在Filter:输入字段,选择查找方向,点击OK(过滤器方式) 例如:查找192.168.0.1发起的三步握手建立连接,使用如下字符:

ip.addr == 192.168.0.1 and tcp.flags.syn 显示过滤的详情,参见第 6.3 节 “浏览时过滤包” Hex Value

在包数据中搜索指定的序列

例如,使用\查找下一个包含两个空字节的包数据。 String

在包中查找字符串,可以指定多种参数

输入的查找值将会被进行语法检查。如果语法检查无误,输入框背景色会变成绿色,反之则是红色。 你可以指定查找的方向通过: UP

向上查找包列表(包编号递减方式) Down

向下查找包列表(包编号递增方式)

6.7.2. \查找下一个\命令

适用最后一次的查找设置继续查找

6.7.3. \查找上一个\命令

适用最后一次的设置修改查找方向,继续查找。

6.8. 到指定的包

通过\菜单可以很轻松跳转到指定的包

6.8.1. \返回命令

使用Go back返回包历史记录,工作方式跟web浏览器的页面历史记录类似

6.8.2. \向前\命令

前进到包的历史记录,工作方式跟web浏览器的页面历史记录类似

6.8.3. \到指定的包\对话框

图 6.9. \转到指定包\对话框

输入包的编号,点击OK,跳转到指定的包(他妈的我怎么看都是jump to,怎么成了OK?).

6.8.4. \到对应的包\命令

如果被选择协议字段指向文件中的另一个包,该命令将会跳转到那个包。

注意

该协议字段看起来有点像超链接(就像浏览器里的),双击该字段也可以跳转到对应的包。

6.8.5. \到第一个包\命令

跳到第一个包

6.8.6. \到最后一个包\命令

跳到最后一个包

6.9. 标记包

你可以在包列表面板对包进行标记。被标记的包背景色为黑色,不管原来设置的颜色是怎样的。标记包有助于分析大的包文件时进行查找。

警告

包标记并没有存储在捕捉文件中或任何其他地方,关闭文件后,所有标记将会丢失。

在保存/导出/打印包时,你可以使用包标记控制输出包。标记包以后,可以输出进行区间选择。见第 5.8 节 “包范围选项”

对标记包可以进行三项操作

Mark packet(toggle) 冻结以标记的单个包 ? Mark all packets 标记所有包. ? Unmark all packets 取消所有标记

?

这些标记功能出现在\菜单。“Mark packet(toggle)”功能在弹出包列表面板弹出上下文菜单同样可以找到。

6.10. 时间显示格式及参考时间

在捕捉包的过程中,每个包都带有时间戳。时间戳会被保存在捕捉文件中,以备将来分析用。 关于时间戳,时区以及相关的东西的描述介绍,见第 7.3 节 “时间戳” 包列表的时间戳格式预设和精度可在浏览菜单选择,见第 3.5 节 “\菜单” 可用的预置格式如下:

? ? ? ? ?

Date and Time of Day: 1970-01-01 01:02:03.123456 包捕捉的绝对日期和时间 Time of Day: 01:02:03.123456 包捕捉的绝对时间

Seconds Since Beginning of Capture: 123.123456 相对与文件开始捕捉的时间或第一个时间参考包的 到这个包之前的时间。(见第 6.10.1 节 “包参考时间”)

Seconds Since Previous Captured Packet: 1.123456 相对前一个捕捉包的时间

Seconds Since Previous Displayed Packet: 1.123456 相对前一个显示包的时间(过滤/显示)

可用精度(正如你所致的,数字是以10进制形式的)有:

Automatic 使用载入文件格式具有的时间戳精度。(默认选项)

? Seconds, Deciseconds, Centiseconds, Milliseconds, Microseconds or Nanoseconds 强制使用你指定的精度。如果实际精度比你指定的低,会在后面自动追加0.如果实际精度比你指定的高。数据会被截尾。

?

精度距离:如果你有个时间戳,显示时使用:“Seconds Since Previous Packet”,:它的值可能是1.123456.默认会采用\精度设置,也就是来自libpcap格式文件的固有精度(百万分之一秒)。如果你指定精度为秒,则显示为1,如果你使用。纳秒(nanoseconds),将会显示为1.123456000.

6.10.1. 包参考时间

用户可以为包设置时间参考。时间参考是所有后续包的起算时间。如果你想知道到某一个特定包的时间间隔,会很有用。例如:开始一个新请求。可以在一个包里面设置多个参考时间。

警告

时间参考不能保存到包文件中,关闭文件后就会丢失。

注意

时间参考可能仅仅在时间格式为\模式下比较有用。其他时间显示形式 下可能要么是不能工作,要么是没作用。

要使用时间参考,选择Edit菜单下“Time Reference”项中的一个。详见第 3.6 节 “\菜单”,或者从包列表的右键弹出项选择。

Set Time Refernce(toggle) 切换当前包时间参考状态开关 ? Find Next 在包列表面板查找下一个时间参考包

? Find Previous 在包列表面板查找前一个时间参考包

?

图 6.10. 时间参考举例

作为时间参考的包,在time列会有*REF*字符串作为标记(见上图第10个包)。所有后续包都会用最后一个时间参考来显示时间。

[16]

不甚了解下方的16进制转储怎么表达190的