wireshark使用教程-初识wireshark

一.wireshark介绍
Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。
Wireshark使用目的
以下是一些使用Wireshark目的的例子：
网络管理员使用Wireshark来检测网络问题，网络安全工程师使用Wireshark来检查资讯安全相关问题，开发者使用Wireshark来为新的通讯协定除错，普通使用者使用Wireshark来学习网络协定的相关知识。当然，有的人也会“居心叵测”的用它来寻找一些敏感信息……
Wireshark不是入侵侦测系统（Intrusion Detection System,IDS）。对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。然而，仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改，它只会反映出目前流通的封包资讯。 Wireshark本身也不会送出封包至网络上。 二.下载安装
Wireshark官方下载地址：http://www.wireshark.org/download.html
根据自己系统需要下载相应的文件

这里选择win32版本下载后得到安装文件，一个21M的东东。

windows软件的安装相对就简单多了，一般双击下一步就可以了。其中有一步需要注意的，就是wireshark抓包需要winpcap支持。

三.配置使用
安装完成启动后可以看到以下界面


点击按钮，列出所有可用的网卡，根据自己配置选择物理网卡，然后点击下面的start按钮 即可开始抓包。
相对来说还是比较简单易用的。

开始抓包的显示如下


四.界面介绍
1.菜单栏
菜单包括以下几个项目:

File ——包括打开、合并捕捉文件，save/保存,Print/打印,Export/导出捕捉文件的全部或部分。以及退出Wireshark项.

Edit ——包括如下项目：查找包，时间参考，标记一个多个包，设置预设参数。（剪切，拷贝，粘贴不能立即执行。）

View ——控制捕捉数据的显示方式，包括颜色，字体缩放，将包显示在分离的窗口，展开或收缩详情面版的地树状节点

GO ——包含到指定包的功能。

Analyze ——包含处理显示过滤，允许或禁止分析协议，配置用户指定解码和追踪TCP流等功能。

Statistics ——包括的菜单项用户显示多个统计窗口，包括关于捕捉包的摘要，协议层次统计等等。

Help ——包含一些辅助用户的参考内容。如访问一些基本的帮助文件，支持的协议列表，用户手册。在线访问一些网站，“关于”


2.工具栏
各个功能的快捷按钮


3.过滤栏


点击Filter按钮可以弹出菜单

   
点击 在此区域输入或修改显示的过滤字符，在输入过程中会进行语法检查。如果您输入的格式不正确，或者未输入完成，则背景显示为红色。直到您输入合法的表达式，背景会变为绿色。你可以点击下拉列表选择您先前键入的过滤字符。列表会一直保留，即使您重新启动程序。
注意：
做完修改之后，记得点击右边的Apply(应用)按钮，或者回车，以使过滤生效。
输入框的内容同时也是当前过滤器的内容（当前过滤器的内容会反映在输入框）

下面几个区域


好了，今天先进行到这里，算是初步认识下wireshark软件的界面熟悉下具体的区域作用，对于其他详细的介绍我们后面继续进行。
本文如有不对之处还望各位批评指出。