當(dāng)編譯并安裝好Wireshark后，就可以執(zhí)行“Wireshark”命令來(lái)啟動(dòng)Wireshark。在用Wireshark截獲數(shù)據(jù)包之前，應(yīng)該為其設(shè)置相應(yīng)的過(guò)濾規(guī)則，可以只捕獲感興趣的數(shù)據(jù)包。Wireshark使用與Tcpdump相似的過(guò)濾規(guī)則，并且可以很方便地存儲(chǔ)已經(jīng)設(shè)置好的過(guò)濾規(guī)則。

◆Wireshark主窗口有很多的GUI程序組成。

(1) File(文件)：這個(gè)菜單包含：打開文件、合并文件、保存/打印/導(dǎo)出整個(gè)或部分捕獲文件、退出。

(2) Edit(編輯)這個(gè)菜單包括：查找包、時(shí)間參照、標(biāo)記一個(gè)或多個(gè)包、設(shè)置參數(shù)、(剪切、復(fù)制、粘貼)。

(3) View(查看)：這個(gè)菜單控制捕獲數(shù)據(jù)的顯示，包括：給定特定的一類包標(biāo)以不同的顏色、字體縮放、在一個(gè)新窗口中顯示一個(gè)包、展開&折疊詳細(xì)信息面板的樹狀結(jié)構(gòu)。

(4) Go：這個(gè)菜單實(shí)現(xiàn)轉(zhuǎn)到一個(gè)特定包。.

(5) apture(捕獲)：這個(gè)菜單實(shí)現(xiàn)開始、停止捕獲，編輯捕獲過(guò)濾條件的功能。

(6) Analyze(分析)：這個(gè)菜單包含編輯顯示過(guò)濾、enable(開)或disable(關(guān))協(xié)議解碼器、配置用戶指定的解碼方法、追蹤一個(gè)TCP 流。

(7) Statistics(統(tǒng)計(jì))：該菜單完成統(tǒng)計(jì)功能。包括捕獲的包的一個(gè)摘要、基于協(xié)議的包的數(shù)量等樹狀統(tǒng)計(jì)圖等許多功

(8) Help(幫助)這個(gè)菜單包含了一些對(duì)用戶有用的信息。比如基本幫助、支持的協(xié)議列表、手冊(cè)頁(yè)、在線訪問(wèn)到網(wǎng)站等等。

◆ Wireshark界面結(jié)構(gòu)

該工具提供一個(gè)強(qiáng)健的GUI界面，用來(lái)整理網(wǎng)絡(luò)數(shù)據(jù)的捕獲以及隨后的網(wǎng)絡(luò)通信瀏覽。主窗口包括一組菜單項(xiàng)，界面結(jié)構(gòu)如圖1。許多菜單從名字上看一目了然，這里不再闡述。第一個(gè)面板包含所有捕獲報(bào)文的摘要。該面板包含報(bào)文號(hào)、時(shí)間戳、源、目的、協(xié)議以及信息域。這些域是可定制的，并且用戶可刪掉或加入其他的報(bào)文字段信息。

498)this.style.width=498;">

圖 3 Wireshark界面結(jié)構(gòu)

圖注：
1. 控制面板和主菜單；
2. 報(bào)文摘要窗口；
3. 過(guò)濾器。
4. 報(bào)文細(xì)節(jié)窗口；

◆設(shè)置Wireshark的過(guò)濾規(guī)則

在用Wireshark截獲數(shù)據(jù)包之前，應(yīng)該為其設(shè)置相應(yīng)的過(guò)濾規(guī)則，可以只捕獲感興趣的數(shù)據(jù)包。Wireshark使用與Tcpdump相似的過(guò)濾規(guī)則，并且可以很方便地存儲(chǔ)已經(jīng)設(shè)置好的過(guò)濾規(guī)則。要為Wireshark配置過(guò)濾規(guī)則，首先單擊“Capture”選單，然后選擇“Capture Filters...”菜單項(xiàng)，打開“Wireshark ：Capture Filter”對(duì)話框。因?yàn)榇藭r(shí)還沒有添加任何過(guò)濾規(guī)則，因而該對(duì)話框右側(cè)的列表框是空的(如圖2所示)。在Wireshark中添加過(guò)濾器時(shí)，需要為該過(guò)濾器指定名字及規(guī)則。

498)this.style.width=498;">

圖 4 為Wireshark添加一個(gè)過(guò)濾器

例如，要在主機(jī)192.168.0.3和192.168.0.11間創(chuàng)建過(guò)濾器，可以在“Filter name”編輯框內(nèi)輸入過(guò)濾器名字“cjh”，在“Filter string”編輯框內(nèi)輸入過(guò)濾規(guī)則“host 192.168.0.3 and 192.168.0.11”，然后單擊“新建”按鈕即可。

在Wireshark中使用的過(guò)濾規(guī)則和Tcpdump幾乎完全一致，這是因?yàn)閮烧叨蓟趐cap庫(kù)的緣故。Wireshark能夠同時(shí)維護(hù)很多個(gè)過(guò)濾器。網(wǎng)絡(luò)管理員可以根據(jù)實(shí)際需要選用不同的過(guò)濾器，這在很多情況下是非常有用的。例如，一個(gè)過(guò)濾器可能用于截獲兩個(gè)主機(jī)間的數(shù)據(jù)包，而另一個(gè)則可能用于截獲ICMP包來(lái)診斷網(wǎng)絡(luò)故障。單擊“保存”按鈕，會(huì)到對(duì)話框。單擊“關(guān)閉”按鈕完成設(shè)置。

1. 指定過(guò)濾器

要將過(guò)濾器應(yīng)用于嗅探過(guò)程，需要在截獲數(shù)據(jù)包之前或之后指定過(guò)濾器。要為嗅探過(guò)程指定過(guò)濾器，并開始截獲數(shù)據(jù)包，可以單擊“Capture”選單，選擇“Start...”選單項(xiàng)，打開“iterface”對(duì)話框，單擊該對(duì)話框中的“Filter:”按鈕，然后選擇要使用的網(wǎng)絡(luò)接口，如圖5所示。

498)this.style.width=498;">

圖 5 為Wireshark指定網(wǎng)絡(luò)接口

l注意：在“Capture Options”對(duì)話框中，“Update list of packets in real time”復(fù)選框被選中了。這樣可以使每個(gè)數(shù)據(jù)包在被截獲時(shí)就實(shí)時(shí)顯示出來(lái)，而不是在嗅探過(guò)程結(jié)束之后才顯示所有截獲的數(shù)據(jù)包。

在選擇了所需要的過(guò)濾器后，單擊“確定”按鈕，整個(gè)嗅探過(guò)程就開始了。Wireshark可以實(shí)時(shí)顯示截獲的數(shù)據(jù)包，因此能夠幫助網(wǎng)絡(luò)管理員及時(shí)了解網(wǎng)絡(luò)的運(yùn)行狀況，從而使其對(duì)網(wǎng)絡(luò)性能和流量能有一個(gè)比較準(zhǔn)確的把握。如圖6 。

498)this.style.width=498;">

圖 6 Wireshark實(shí)時(shí)顯示截獲的數(shù)據(jù)包

Capture Options其他選項(xiàng)：

Interface（接口）

這個(gè)字段指定在哪個(gè)接口進(jìn)行捕獲。這是一個(gè)下拉字段，只能從中選擇Wireshark 識(shí)別出來(lái)的接口，默認(rèn)是第一塊支持捕獲的非loopback 接口卡。如果沒有接口卡，那么第一個(gè)默認(rèn)就是第一塊loopback 接口卡。在某些系統(tǒng)中，loopback 接口卡不能用來(lái)捕獲（loopback 接口卡在Windows平臺(tái)是不可用的）。

lIP address（IP 地址）

所選接口卡的IP 地址。如果不能解析出IP 地址，則顯示"unknown"

lLink-layer header type（鏈路層頭類型）

除非你在極個(gè)別的情況下可能用到這個(gè)字段，大多數(shù)情況下保持默認(rèn)值。具體的描述，見”

lBuffer size: n megabyte(s) （緩沖區(qū)大小：n 兆）

輸入捕獲時(shí)使用的buffer 的大小。這是核心buffer 的大小，捕獲的數(shù)據(jù)首先保存在這里，直到寫入磁盤。如果遇到包丟失的情況，增加這個(gè)值可能解決問(wèn)題。

lCapture packets in promiscuous mode （在混雜模式捕獲包）

這個(gè)選項(xiàng)允許設(shè)置是否將網(wǎng)卡設(shè)置在混雜模式。如果不指定，Wireshark 僅僅捕獲那些進(jìn)入你的計(jì)算機(jī)的或送出你的計(jì)算機(jī)的包。(而不是LAN 網(wǎng)段上的所有包).

lLimit each packet to n bytes （限制每一個(gè)包為n 字節(jié)）

這個(gè)字段設(shè)置每一個(gè)數(shù)據(jù)包的最大捕獲的數(shù)據(jù)量。有時(shí)稱作snaplen 。如果disable 這個(gè)選項(xiàng)默認(rèn)是65535, 對(duì)于大多數(shù)協(xié)議來(lái)講中夠了。

lCapture Filter（捕獲過(guò)濾）

這個(gè)字段指定一個(gè)捕獲過(guò)濾。 “在捕獲時(shí)進(jìn)行過(guò)濾”部分進(jìn)行討論。默認(rèn)是空的，即沒過(guò)過(guò)濾。也可以點(diǎn)擊標(biāo)為Capture Filter 的按鈕, Wireshark 將彈出Capture Filters（捕獲過(guò)濾）對(duì)話框，來(lái)建立或者選擇一個(gè)過(guò)濾。