wireshark的原名是Ethereal，新名字是2006年起用的。當(dāng)時(shí)Ethereal的主要開發(fā)人員決定離開他原來(lái)供職的公司，并繼續(xù)開發(fā)這個(gè)軟件。但因?yàn)镋thereal這個(gè)名稱的使用權(quán)已經(jīng)被原來(lái)那個(gè)公司注冊(cè)，Wireshark這個(gè)新名字也就應(yīng)運(yùn)而生了。

在成功 執(zhí)行Wireshark 之后，我們就能夠進(jìn)入下一步，更進(jìn)一步了解這個(gè)強(qiáng)大的工具。

以下是一張地址為192.168.1.2的計(jì)算機(jī)正在訪問(wèn)“openmaniak.com”站點(diǎn)時(shí)的截圖。

---

1.? MENUS（菜單） 2.? SHORTCUTS（快捷方式） 3.? DISPLAY FILTER（顯示過(guò)濾器） 4.? PACKET LIST PANE（封包列表)

5.? PACKET DETAILS PANE（封包具體信息） 6.? DISSECTOR PANE（16進(jìn)制數(shù)據(jù)） 7.? MISCELLANOUS（雜項(xiàng)）

---

1.? MENUS（菜單）

程序上方的8個(gè)菜單項(xiàng)用于對(duì)Wireshark進(jìn)行配置：

- "File"（文件） - "Edit" （編輯） - "View"（查看） - "Go" （轉(zhuǎn)到） - "Capture"（捕獲） - "Analyze"（分析） - "Statistics" （統(tǒng)計(jì)） - "Help" （幫助）

打開或保存捕獲的信息。 查找或標(biāo)記封包。進(jìn)行全局設(shè)置。 設(shè)置Wireshark的視圖。 跳轉(zhuǎn)到捕獲的數(shù)據(jù)。 設(shè)置捕捉過(guò)濾器并開始捕捉。 設(shè)置分析選項(xiàng)。 查看Wireshark的統(tǒng)計(jì)信息。 查看本地或者在線支持。

2.? SHORTCUTS（快捷方式）

在菜單以下，是一些經(jīng)常使用的快捷button。
您能夠?qū)⑹髽?biāo)指針移動(dòng)到某個(gè)圖標(biāo)上以獲得其功能說(shuō)明。

3.? DISPLAY FILTER（顯示過(guò)濾器）

顯示過(guò)濾器用于查找捕捉記錄中的內(nèi)容。
請(qǐng)不要將捕捉過(guò)濾器和顯示過(guò)濾器的概念相混淆。請(qǐng)參考 Wireshark過(guò)濾器 中的具體內(nèi)容。

? 返回頁(yè)面頂部

---

4.? PACKET LIST PANE（封包列表）

封包列表中顯示全部已經(jīng)捕獲的封包。在這里您能夠看到發(fā)送或接收方的MAC/IP地址，TCP/UDPport號(hào)，協(xié)議或者封包的內(nèi)容。

假設(shè)捕獲的是一個(gè)OSI layer 2的封包，您在Source（來(lái)源）和Destination（目的地）列中看到的將是MAC地址，當(dāng)然，此時(shí)Port（port）列將會(huì)為空。
假設(shè)捕獲的是一個(gè)OSI layer 3或者更高層的封包，您在Source（來(lái)源）和Destination（目的地）列中看到的將是IP地址。Port（port）列僅會(huì)在這個(gè)封包屬于第4或者更高層時(shí)才會(huì)顯示。

您能夠在這里加入/刪除列或者改變各列的顏色：
Edit menu -> Preferences

5.? PACKET DETAILS PANE（封包具體信息）

這里顯示的是在封包列表中被選中項(xiàng)目的具體信息。
信息依照不同的OSI layer進(jìn)行了分組，您能夠展開每一個(gè)項(xiàng)目查看。以下截圖中展開的是HTTP信息。


6.? DISSECTOR PANE（16進(jìn)制數(shù)據(jù)）

“解析器”在Wireshark中也被叫做“16進(jìn)制數(shù)據(jù)查看面板”。這里顯示的內(nèi)容與“封包具體信息”中同樣，僅僅是改為以16進(jìn)制的格式表述。
在上面的樣例里，我們?cè)凇胺獍唧w信息”中選擇查看TCPport（80），其相應(yīng)的16進(jìn)制數(shù)據(jù)將自己主動(dòng)顯示在以下的面板中（0050）。

7.? MISCELLANOUS（雜項(xiàng)）

在程序的最下端，您能夠獲得例如以下信息：

- - 正在進(jìn)行捕捉的網(wǎng)絡(luò)設(shè)備。
- 捕捉是否已經(jīng)開始或已經(jīng)停止。
- 捕捉結(jié)果的保存位置。
- 已捕捉的數(shù)據(jù)量。
- 已捕捉封包的數(shù)量。(P)
- 顯示的封包數(shù)量。(D) (經(jīng)過(guò)顯示過(guò)濾器過(guò)濾后仍然顯示的封包)
- 被標(biāo)記的封包數(shù)量。(M)

正如您在Wireshark教程第一部分看到的一樣，安裝、執(zhí)行Wireshark并開始分析網(wǎng)絡(luò)是很easy的。

使用Wireshark時(shí)最常見的問(wèn)題，是當(dāng)您使用默認(rèn)設(shè)置時(shí)，會(huì)得到大量冗余信息，以至于非常難找到自己須要的部分。
過(guò)猶不及。

這就是為什么過(guò)濾器會(huì)如此重要。它們能夠幫助我們?cè)邶嬰s的結(jié)果中迅速找到我們須要的信息。

- -	捕捉過(guò)濾器：用于決定將什么樣的信息記錄在捕捉結(jié)果中。須要在開始捕捉前設(shè)置。 顯示過(guò)濾器：在捕捉結(jié)果中進(jìn)行具體查找。他們能夠在得到捕捉結(jié)果后任意改動(dòng)。

那么我應(yīng)該使用哪一種過(guò)濾器呢？

兩種過(guò)濾器的目的是不同的。
捕捉過(guò)濾器是數(shù)據(jù)經(jīng)過(guò)的第一層過(guò)濾器，它用于控制捕捉數(shù)據(jù)的數(shù)量，以避免產(chǎn)生過(guò)大的日志文件。
顯示過(guò)濾器是一種更為強(qiáng)大（復(fù)雜）的過(guò)濾器。它同意您在日志文件里迅速準(zhǔn)確地找到所須要的記錄。

兩種過(guò)濾器使用的語(yǔ)法是全然不同的。我們將在接下來(lái)的幾頁(yè)中對(duì)它們進(jìn)行介紹：

---

1.? 捕捉過(guò)濾器 ?2.? 顯示過(guò)濾器

---

?1. 捕捉過(guò)濾器

捕捉過(guò)濾器的語(yǔ)法與其他使用Lipcap（Linux）或者Winpcap（Windows）庫(kù)開發(fā)的軟件一樣，比方著名的 TCPdump 。捕捉過(guò)濾器必須在開始捕捉前設(shè)置完成，這一點(diǎn)跟顯示過(guò)濾器是不同的。

設(shè)置捕捉過(guò)濾器的步驟是：
- 選擇 capture -> options。
- 填寫"capture filter"欄或者點(diǎn)擊"capture filter"button為您的過(guò)濾器起一個(gè)名字并保存，以便在今后的捕捉中繼續(xù)使用這個(gè)過(guò)濾器。
- 點(diǎn)擊開始（Start）進(jìn)行捕捉。

語(yǔ)法：

?

Protocol

?

Direction

?

Host(s)

?

Value

?

Logical Operations

?

Other expr ession_r

樣例：

?

tcp

?

dst

?

10.1.1.1

?

80

?

and

?

tcp dst 10.2.2.2 3128

? Protocol（協(xié)議） :
可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.
假設(shè)沒(méi)有特別指明是什么協(xié)議，則默認(rèn)使用全部支持的協(xié)議。

? Direction（方向） :
可能的值: src, dst, src and dst, src or dst
假設(shè)沒(méi)有特別指明來(lái)源或目的地，則默認(rèn)使用 "src or dst" 作為keyword。
比如，"host 10.2.2.2"與"src or dst host 10.2.2.2"是一樣的。
? Host(s) :
可能的值： net, port, host, portrange.
假設(shè)沒(méi)有指定此值，則默認(rèn)使用"host"keyword。
比如，"src 10.1.1.1"與"src host 10.1.1.1"同樣。

? Logical Operations（邏輯運(yùn)算） :
可能的值：not, and, or.
否("not")具有最高的優(yōu)先級(jí)?；?"or")和與("and")具有同樣的優(yōu)先級(jí)，運(yùn)算時(shí)從左至右進(jìn)行。
比如，
"not tcp port 3128 and tcp port 23"與"(not tcp port 3128) and tcp port 23"同樣。
"not tcp port 3128 and tcp port 23"與"not (tcp port 3128 and tcp port 23)"不同。

---

樣例：

tcp dst port 3128

顯示目的TCPport為3128的封包。

ip src host 10.1.1.1

顯示來(lái)源IP地址為10.1.1.1的封包。

host 10.1.2.3

顯示目的或來(lái)源IP地址為10.1.2.3的封包。

src portrange 2000-2500

顯示來(lái)源為UDP或TCP，而且port號(hào)在2000至2500范圍內(nèi)的封包。

not imcp

顯示除了icmp以外的全部封包。（icmp通常被ping工具使用）

src host 10.7.2.12 and not dst net 10.200.0.0/16

顯示來(lái)源IP地址為10.7.2.12，但目的地不是10.200.0.0/16的封包。

(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8

顯示來(lái)源IP為10.4.1.12或者來(lái)源網(wǎng)絡(luò)為10.6.0.0/16，目的地TCPport號(hào)在200至10000之間，而且目的位于網(wǎng)絡(luò)10.0.0.0/8內(nèi)的全部封包。

---

注意事項(xiàng)：

當(dāng)使用keyword作為值時(shí)，需使用反斜杠“\”。
"ether proto \ip" (與keyword"ip"同樣).
這樣寫將會(huì)以IP協(xié)議作為目標(biāo)。

"ip proto \icmp" (與keyword"icmp"同樣).
這樣寫將會(huì)以ping工具經(jīng)常使用的icmp作為目標(biāo)。

能夠在"ip"或"ether"后面使用"multicast"及"broadcast"keyword。
當(dāng)您想排除廣播請(qǐng)求時(shí)，"no broadcast"就會(huì)很實(shí)用。

---

查看? TCPdump的主頁(yè) 以獲得更具體的捕捉過(guò)濾器語(yǔ)法說(shuō)明。
在 Wiki Wireshark website 上能夠找到很多其它捕捉過(guò)濾器的樣例。

?2.? 顯示過(guò)濾器：

通常經(jīng)過(guò)捕捉過(guò)濾器過(guò)濾后的數(shù)據(jù)還是非常復(fù)雜。此時(shí)您能夠使用顯示過(guò)濾器進(jìn)行更加仔細(xì)的查找。
它的功能比捕捉過(guò)濾器更為強(qiáng)大，并且在您想改動(dòng)過(guò)濾器條件時(shí)，并不須要又一次捕捉一次。

語(yǔ)法：

?

Protocol

.

String 1

.

String 2

?

Comparison operator

?

Value

?

Logical Operations

?

Other expr ession_r

樣例：

?

ftp

?

passive

?

ip

?

==

?

10.2.3.4

?

xor

?

icmp.type

? Protocol（協(xié)議） :

您能夠使用大量位于OSI模型第2至7層的協(xié)議。點(diǎn)擊"Expr ession..."button后，您能夠看到它們。
比方：IP，TCP，DNS，SSH

?

?

您相同能夠在例如以下所看到的位置找到所支持的協(xié)議：

?

?

Wireshark的站點(diǎn)提供了對(duì)各種? 協(xié)議以及它們子類的說(shuō)明 。

? String1, String2 ?(可選項(xiàng)):

協(xié)議的子類。
點(diǎn)擊相關(guān)父類旁的"+"號(hào)，然后選擇其子類。

?

? Comparison operators （比較運(yùn)算符） :

能夠使用6種比較運(yùn)算符：

英文寫法：	C語(yǔ)言寫法：	含義：
eq	==	等于
ne	!=	不等于
gt	>	大于
lt	<	小于
ge	>=	大于等于
le	<=	小于等于

? Logical expr ession_rs（邏輯運(yùn)算符） :

英文寫法：	C語(yǔ)言寫法：	含義：
and	&&	邏輯與
or	||	邏輯或
xor	^^	邏輯異或
not	!	邏輯非

被程序猿們熟知的邏輯異或是一種排除性的或。當(dāng)其被用在過(guò)濾器的兩個(gè)條件之間時(shí)，僅僅有當(dāng)且僅當(dāng)當(dāng)中的一個(gè)條件滿足時(shí)，這種結(jié)果才會(huì)被顯示在屏幕上。
讓我們舉個(gè)樣例：
"tcp.dstport 80 xor tcp.dstport 1025"
僅僅有當(dāng)目的TCPport為80或者來(lái)源于port1025（但又不能同一時(shí)候滿足這兩點(diǎn)）時(shí)，這種封包才會(huì)被顯示。

---

樣例：

snmp || dns || icmp

顯示SNMP或DNS或ICMP封包。

ip.addr == 10.1.1.1

顯示來(lái)源或目的IP地址為10.1.1.1的封包。

ip.src != 10.1.2.3 or ip.dst != 10.4.5.6

顯示來(lái)源不為10.1.2.3或者目的不為10.4.5.6的封包。
換句話說(shuō)，顯示的封包將會(huì)為：
來(lái)源IP：除了10.1.2.3以外隨意；目的IP：隨意
以及
來(lái)源IP：隨意；目的IP：除了10.4.5.6以外隨意

ip.src != 10.1.2.3 and ip.dst != 10.4.5.6

顯示來(lái)源不為10.1.2.3而且目的IP不為10.4.5.6的封包。
換句話說(shuō)，顯示的封包將會(huì)為：
來(lái)源IP：除了10.1.2.3以外隨意；同一時(shí)候須滿足，目的IP：除了10.4.5.6以外隨意

tcp.port == 25

顯示來(lái)源或目的TCPport號(hào)為25的封包。

tcp.dstport == 25

顯示目的TCPport號(hào)為25的封包。

tcp.flags

顯示包括TCP標(biāo)志的封包。

tcp.flags.syn == 0x02

顯示包括TCP SYN標(biāo)志的封包。

假設(shè)過(guò)濾器的語(yǔ)法是正確的，表達(dá)式的背景呈綠色。假設(shè)呈紅色，說(shuō)明表達(dá)式有誤。

	表達(dá)式正確
	表達(dá)式錯(cuò)誤