# 第?3?章?用戶界面
**目錄**
+ [3.1\. 須知](#calibre_link-25)
+ [3.2\. 啟動Wireshark](#calibre_link-24)
+ [3.3\. 主窗口](#calibre_link-26)
+ [3.3.1\. 主窗口概述](#calibre_link-27)
+ [3.4\. 主菜單](#calibre_link-28)
+ [3.5\. "File"菜單](#calibre_link-29)
+ [3.6\. "Edit"菜單](#calibre_link-30)
+ [3.7\. "View"菜單](#calibre_link-31)
+ [3.8\. "Go"菜單](#calibre_link-32)
+ [3.9\. "Capture"菜單](#calibre_link-33)
+ [3.10\. "Analyze"菜單](#calibre_link-34)
+ [3.11\. "Statistics"菜單](#calibre_link-35)
+ [3.12\. "Help"菜單](#calibre_link-36)
+ [3.13\. "Main"工具欄](#calibre_link-37)
+ [3.14\. "Filter"工具欄](#calibre_link-38)
+ [3.15\. "Pcaket List"面板](#calibre_link-39)
+ [3.16\. "Packet Details"面板](#calibre_link-40)
+ [3.17\. "Packet Byte"面板](#calibre_link-41)
+ [3.18\. 狀態欄](#calibre_link-42)
## 3.1.?須知
現在您已經安裝好了Wireshark,幾乎可以馬上捕捉您的一個包。緊接著的這一節我們將會介紹:
* Wireshark的用戶界面如何使用
* 如何捕捉包
* 如何查看包
* 如何過濾包
* ……以及其他的一些工作。
## 3.2.?啟動Wireshark
你可以使用Shell命令行或者資源管理器啟動Wireshark.
> 
> 提示
> 開始Wireshark時您可以指定適當的參數。參見[第?9.2?節 “從命令行啟動Wireshark”](#calibre_link-47 "9.2.?從命令行啟動Wireshark")
> 
> 注意
> 在后面的章節中,將會出現大量的截圖,因為Wireshark運行在多個平臺 ,并且支持多個GUI Toolkit(GTK1.x/2x),您的屏幕上顯示的界面可能與截圖不盡吻合。但在功能上不會有實質性區別。盡管有這些區別,也不會導致理解上的困難。
## 3.3.?主窗口
先來看看[圖?3.1 “主窗口界面”](#calibre_link-55 "圖?3.1.?主窗口界面"),大多數打開捕捉包以后的界面都是這樣子(如何捕捉/打開包文件隨后提到)。
**圖?3.1.?主窗口界面**
和大多數圖形界面程序一樣,Wireshark主窗口由如下部分組成:
1. 菜單(見[第?3.4?節 “主菜單”](#calibre_link-28 "3.4.?主菜單"))用于開始操作。
2. 主工具欄(見[第?3.13?節 “"Main"工具欄”](#calibre_link-37 "3.13.?"Main"工具欄"))提供快速訪問菜單中經常用到的項目的功能。
3. Fiter toolbar/過濾工具欄(見[第?3.14?節 “"Filter"工具欄”](#calibre_link-38 "3.14.?"Filter"工具欄"))提供處理當前顯示過濾得方法。(見6.3:”瀏覽時進行過濾”)
4. Packet List面板(見[第?3.15?節 “"Pcaket List"面板”](#calibre_link-39 "3.15.?"Pcaket List"面板"))顯示打開文件的每個包的摘要。點擊面板中的單獨條目,包的其他情況將會顯示在另外兩個面板中。
5. Packet detail面板(見[第?3.16?節 “"Packet Details"面板”](#calibre_link-40 "3.16.?"Packet Details"面板"))顯示您在Packet list面板中選擇的包德更多詳情。
6. Packet bytes面板(見[第?3.17?節 “"Packet Byte"面板”](#calibre_link-41 "3.17.?"Packet Byte"面板"))顯示您在Packet list面板選擇的包的數據,以及在Packet details面板高亮顯示的字段。
7. 狀態欄(見[第?3.18?節 “狀態欄”](#calibre_link-42 "3.18.?狀態欄"))顯示當前程序狀態以及捕捉數據的更多詳情。
> 
> 注意
> 主界面的三個面版以及各組成部分可以自定義組織方式。見[第?9.5?節 “首選項”](#calibre_link-56 "9.5.?首選項")
### 3.3.1.?主窗口概述
Packet list和Detail 面版控制可以通過快捷鍵進行。[表?3.1 “導航快捷鍵”](#calibre_link-57 "表?3.1.?導航快捷鍵")顯示了相關的快捷鍵列表。[表?3.5 “"GO"菜單項”](#calibre_link-58 "表?3.5.?"GO"菜單項")有關于快捷鍵的更多介紹
**表?3.1.?導航快捷鍵**
| 快捷鍵 | 描述 |
| --- | --- |
| Tab,Shift+Tab | 在兩個項目間移動,例如從一個包列表移動到下一個 |
| Down | 移動到下一個包或者下一個詳情 |
| Up | 移動到上一個包或者上一個詳情 |
| Ctrl-Down,F8 | 移動到下一個包,即使焦點不在Packet list面版 |
| Ctrl-UP,F7 | 移動到前一個報,即使焦點不在Packet list面版 |
| Left | 在Pactect Detail面版,關閉被選擇的詳情樹狀分支。如果以關閉,則返回到父分支。 |
| Right | 在Packet Detail面版,打開被選擇的樹狀分支. |
| Backspace | Packet Detail面版,返回到被選擇的節點的父節點 |
| Return,Enter | Packet Detail面版,固定被選擇樹項目。 |
另外,在主窗口鍵入任何字符都會填充到filter里面。
## 3.4.?主菜單
Wireshark主菜單位于Wireshark窗口的最上方。[圖?3.2 “主菜單”](#calibre_link-59 "圖?3.2.?主菜單")提供了菜單的基本界面。
**圖?3.2.?主菜單**
主菜單包括以下幾個項目:
File
包括打開、合并捕捉文件,save/保存,Print/打印,Export/導出捕捉文件的全部或部分。以及退出Wireshark項.見[第?3.5?節 “"File"菜單”](#calibre_link-29 "3.5.?"File"菜單")
Edit
包括如下項目:查找包,時間參考,標記一個多個包,設置預設參數。(剪切,拷貝,粘貼不能立即執行。)見[第?3.6?節 “"Edit"菜單”](#calibre_link-30 "3.6.?"Edit"菜單")
View
控制捕捉數據的顯示方式,包括顏色,字體縮放,將包顯示在分離的窗口,展開或收縮詳情面版的地樹狀節點,……見[第?3.7?節 “"View"菜單”](#calibre_link-31 "3.7.?"View"菜單")
GO
包含到指定包的功能。見[第?3.8?節 “"Go"菜單”](#calibre_link-32 "3.8.?"Go"菜單")
Capture
允許您開始或停止捕捉、編輯過濾器。見[第?3.9?節 “"Capture"菜單”](#calibre_link-33 "3.9.?"Capture"菜單")
Analyze
包含處理顯示過濾,允許或禁止分析協議,配置用戶指定解碼和追蹤TCP流等功能。見[第?3.10?節 “"Analyze"菜單”](#calibre_link-34 "3.10.?"Analyze"菜單")
Statistics
包括的菜單項用戶顯示多個統計窗口,包括關于捕捉包的摘要,協議層次統計等等。見[第?3.11?節 “"Statistics"菜單”](#calibre_link-35 "3.11.?"Statistics"菜單")
Help
包含一些輔助用戶的參考內容。如訪問一些基本的幫助文件,支持的協議列表,用戶手冊。在線訪問一些網站,“關于”等等。見[第?3.12?節 “"Help"菜單”](#calibre_link-36 "3.12.?"Help"菜單")
本章鏈接介紹菜單的一般情況,更詳細的介紹會出現在后續章節。
> 
> 提示
> 你可以直接點擊訪問菜單項,也可以使用熱鍵,熱鍵顯示在菜單文字描述部分。例如:您可以使用CTR+K打開捕捉對話框。
## 3.5.?"File"菜單
WireSharkFile菜單包含的項目如表[表?3.2 “File菜單介紹”](#calibre_link-60 "表?3.2.?File菜單介紹")所示
**圖?3.3.?File菜單**
**表?3.2.?File菜單介紹**
| 菜單項 | 快捷鍵 | 描述 |
| --- | --- | --- |
| **Open...** | Ctr+O | 顯示打開文件對話框,讓您載入捕捉文件用以瀏覽。見[第?5.2.1?節 “打開捕捉文件對話框”](#calibre_link-61 "5.2.1.?打開捕捉文件對話框") |
| **Open Recent** | | 彈出一個子菜單顯示最近打開過的文件供選擇。 |
| **Merg** | | 顯示合并捕捉文件的對話框。讓您選擇一個文件和當前打開的文件合并。見[第?5.4?節 “合并捕捉文件”](#calibre_link-62 "5.4.?合并捕捉文件") |
| **Close** | Ctrl+W | 關閉當前捕捉文件,如果您未保存,系統將提示您是否保存(如果您預設了禁止提示保存,將不會提示) |
| **Save** | Crl+S | 保存當前捕捉文件,如果您沒有設置默認的保存文件名,Wireshark出現提示您保存文件的對話框。詳情[第?5.3.1?節 “"save Capture File As/保存文件為"對話框”](#calibre_link-63 "5.3.1.?"save Capture File As/保存文件為"對話框") |
| | |  |
| | | 注意 |
| | | 如果您已經保存文件,該選項會是灰色不可選的。 |
| | |  |
| | | 注意 |
| | | 您不能保存動態捕捉的文件。您必須結束捕捉以后才能進行保存 |
| **Save As** | Shift+Ctrl+S | 讓您將當前文件保存為另外一個文件面,將會出現一個另存為的對話框(參見[第?5.3.1?節 “"save Capture File As/保存文件為"對話框”](#calibre_link-63 "5.3.1.?"save Capture File As/保存文件為"對話框")) |
| **File Set>List Files** | | 允許您顯示文件集合的列表。將會彈出一個對話框顯示已打開文件的列表,參見[第?5.5?節 “文件集合”](#calibre_link-64 "5.5.?文件集合") |
| **File Set>Next File** | | 如果當前載入文件是文件集合的一部分,將會跳轉到下一個文件。如果不是,將會跳轉到最后一個文件。這個文件選項將會是灰色。 |
| **File set>Previous Files** | | 如果當前文件是文件集合 的一部分,將會調到它所在位置的前一個文件。如果不是則跳到文件集合的第一個文件,同時變成灰色。 |
| **Export> as “Plain Text” File…** | | 這個菜單允許您將捕捉文件中所有的或者部分的包導出為plain ASCII text格式。它將會彈出一個Wireshark導出對話框,見[第?5.6.1?節 “"Export as Plain Text File"對話框”](#calibre_link-65 "5.6.1.?"Export as Plain Text File"對話框") |
| **Export >as "PostScript" Files** | | 將捕捉文件的全部或部分導出為PostScrit文件。將會出現導出文件對話框。參見[第?5.6.2?節 “"Export as PostScript File" 對話框”](#calibre_link-66 "5.6.2.?"Export as PostScript File" 對話框") |
| **Export > as "CVS" (Comma Separated Values Packet Summary)File...** | | 導出文件全部或部分摘要為.cvs格式(可用在電子表格中)。將會彈出導出對話框,見[第?5.6.3?節 “"Export as CSV (Comma Separated Values) File" 對話框”](#calibre_link-67 "5.6.3.?"Export as CSV (Comma Separated Values) File" 對話框")。 |
| **Export > as “PSML” File…** | | 導出文件的全部或部分為PSML格式(包摘要標記語言)XML文件。將會彈出導出文件對話框。見[第?5.6.4?節 “"Export as PSML File" 對話框”](#calibre_link-68 "5.6.4.?"Export as PSML File" 對話框") |
| **Export as "PDML" File...** | | 導出文件的全部或部分為PDML(包摘要標記語言)格式的XML文件。將會彈出一個導出文件對話框,見[第?5.6.5?節 “"Export as PDML File" 對話框”](#calibre_link-69 "5.6.5.?"Export as PDML File" 對話框") |
| **Export > Selected Packet Bytes…** | | 導出當前在Packet byte面版選擇的字節為二進制文件。將會彈出一個導出對話框。見[第?5.6.6?節 “"Export selected packet bytes" 對話框”](#calibre_link-70 "5.6.6.?"Export selected packet bytes" 對話框") |
| **Print** | Ctr+P | 打印捕捉包的全部或部分,將會彈出打印對話框。見[第?5.7?節 “打印包”](#calibre_link-71 "5.7.?打印包") |
| **Quit** | Ctrl+Q | 退出Wireshark,如果未保存文件,Wireshark會提示是否保存。 |
## 3.6.?"Edit"菜單
Wireshark的"Edit"菜單包含的項目見[表?3.3 “Edit菜單項”](#calibre_link-81 "表?3.3.?Edit菜單項")
**圖?3.4.?"Edit"菜單**
**表?3.3.?Edit菜單項**
| 菜單項 | 快捷鍵 | 描述 |
| --- | --- | --- |
| **Copy>As Filter** | Shift+Ctrl+C | 使用詳情面版選擇的數據作為顯示過濾。顯示過濾將會拷貝到剪貼板。 |
| **Find Packet...** | Ctr+F | 打開一個對話框用來通過限制來查找包,見??? |
| **Find Next** | Ctrl+N | 在使用Find packet以后,使用該菜單會查找匹配規則的下一個包 |
| **Find Previous** | Ctr+B | 查找匹配規則的前一個包。 |
| **Mark Packet(toggle)** | Ctrl+M | 標記當前選擇的包。見[第?6.9?節 “標記包”](#calibre_link-82 "6.9.?標記包") |
| **Find Next Mark** | Shift+Ctrl+N | 查找下一個被標記的包 |
| **Find Previous Mark** | Ctrl+Shift+B | 查找前一個被標記的包 |
| **Mark ALL Packets** | | 標記所有包 |
| Unmark All Packet | | 取消所有標記 |
| **Set Time Reference(toggle)** | **Ctrl+T** | 以當前包時間作為參考,見[第?6.10.1?節 “包參考時間”](#calibre_link-83 "6.10.1.?包參考時間") |
| **Find Next Reference** | | 找到下一個時間參考包 |
| **Find Previous Refrence...** | | 找到前一個時間參考包 |
| **Preferences...** | Shift+Ctrl+P | 打開首選項對話框,個性化設置Wireshark的各項參數,設置后的參數將會在每次打開時發揮作用。詳見[第?9.5?節 “首選項”](#calibre_link-56 "9.5.?首選項") |
## 3.7.?"View"菜單
[表?3.4 “"View"菜單項”](#calibre_link-84 "表?3.4.?"View"菜單項")顯示了Wireshar View菜單的選項
**圖?3.5.?"View"菜單**
**表?3.4.?"View"菜單項**
| 菜單項 | 快捷鍵 | 描述 |
| --- | --- | --- |
| **Main Toolbar** | | 顯示隱藏Main toolbar(主工具欄),見[第?3.13?節 “"Main"工具欄”](#calibre_link-37 "3.13.?"Main"工具欄") |
| **Filter Toolbar** | | 顯示或隱藏Filter Toolbar(過濾工具欄)見[第?3.14?節 “"Filter"工具欄”](#calibre_link-38 "3.14.?"Filter"工具欄") |
| **Statusbar** | | 顯示或隱藏狀態欄,見[第?3.18?節 “狀態欄”](#calibre_link-42 "3.18.?狀態欄") |
| **Packet List** | | 顯示或隱藏Packet List pane(包列表面板),見[第?3.15?節 “"Pcaket List"面板”](#calibre_link-39 "3.15.?"Pcaket List"面板") |
| **Packet Details** | | 顯示或隱藏Packet details pane(包詳情面板).見[第?3.16?節 “"Packet Details"面板”](#calibre_link-40 "3.16.?"Packet Details"面板") |
| **Packet Bytes** | | 顯示或隱藏 packet Bytes pane(包字節面板),見[第?3.17?節 “"Packet Byte"面板”](#calibre_link-41 "3.17.?"Packet Byte"面板") |
| **Time Display Fromat>Date and Time of Day: 1970-01-01 01:02:03.123456** | | 選擇這里告訴Wireshark將時間戳設置為絕對日期-時間格式(年月日,時分秒),見[第?6.10?節 “時間顯示格式及參考時間”](#calibre_link-85 "6.10.?時間顯示格式及參考時間") |
| | |  |
| | | 注意 |
| | | 這里的字段"Time of Day","Date and Time of Day","Seconds Since Beginning of Capture","Seconds Since Previous Captured Packet"和"Seconds Since Previous Displayed Packet"幾個選項是互斥的,換句話說,一次同時有一個被選中。 |
| **Time Display Format>Time of Day: 01:02:03.123456** | | 將時間設置為絕對時間-日期格式(時分秒格式),見[第?6.10?節 “時間顯示格式及參考時間”](#calibre_link-85 "6.10.?時間顯示格式及參考時間") |
| **Time Display Format > Seconds Since Beginning of Capture: 123.123456** | | 將時間戳設置為秒格式,從捕捉開始計時,見[第?6.10?節 “時間顯示格式及參考時間”](#calibre_link-85 "6.10.?時間顯示格式及參考時間") |
| **Time Display Format > Seconds Since Previous Captured Packet: 1.123456** | | 將時間戳設置為秒格式,從上次捕捉開始計時,見[第?6.10?節 “時間顯示格式及參考時間”](#calibre_link-85 "6.10.?時間顯示格式及參考時間") |
| **Time Display Format > Seconds Since Previous Displayed Packet: 1.123456** | | 將時間戳設置為秒格式,從上次顯示的包開始計時,見[第?6.10?節 “時間顯示格式及參考時間”](#calibre_link-85 "6.10.?時間顯示格式及參考時間") |
| **Time Display Format > ------** | | |
| **Time Display Format > Automatic (File Format Precision)** | | 根據指定的精度選擇數據包中時間戳的顯示方式,見[第?6.10?節 “時間顯示格式及參考時間”](#calibre_link-85 "6.10.?時間顯示格式及參考時間") |
| | |  |
| | | 注意 |
| | | "Automatic","Seconds"和"...seconds"是互斥的 |
| **Time Display Format > Seconds: 0** | | 設置精度為1秒,見[第?6.10?節 “時間顯示格式及參考時間”](#calibre_link-85 "6.10.?時間顯示格式及參考時間") |
| **Time Display Format > ...seconds: 0....** | | 設置精度為1秒,0.1秒,0.01秒,百萬分之一秒等等。 見[第?6.10?節 “時間顯示格式及參考時間”](#calibre_link-85 "6.10.?時間顯示格式及參考時間") |
| **Name Resolution > Resolve Name** | | 僅對當前選定包進行解析[第?7.6?節 “名稱解析”](#calibre_link-86 "7.6.?名稱解析") |
| **Name Resolution > Enable for MAC Layer** | | 是否解析Mac地址 |
| **Name Resolution > Enable for Network Layer** | | 是否解析網絡層地址(ip地址),見[第?7.6?節 “名稱解析”](#calibre_link-86 "7.6.?名稱解析") |
| **Name Resolution > Enable for Transport Layer** | | 是否解析傳輸層地址[第?7.6?節 “名稱解析”](#calibre_link-86 "7.6.?名稱解析") |
| **Colorize Packet List** | | 是否以彩色顯示包 |
| | |  |
| | | 注意 |
| | | 以彩色方式顯示包會降低捕捉再如包文件的速度 |
| **Auto Scrooll in Live Capture** | | 控制在實時捕捉時是否自動滾屏,如果選擇了該項,在有新數據進入時, 面板會項上滾動。您始終能看到最后的數據。反之,您無法看到滿屏以后的數據,除非您手動滾屏 |
| **Zoom In** | Ctrl++ | 增大字體 |
| **Zoom Out** | Ctrl+- | 縮小字體 |
| **Normal Size** | Ctrl+= | 恢復正常大小 |
| **Resiz All Columnus** | | 恢復所有列寬
| | |  |
| | | 注意 |
| | | 除非數據包非常大,一般會立刻更改 |
| **Expend Subtrees** | | 展開子分支 |
| **Expand All** | | 看開所有分支,該選項會展開您選擇的包的所有分支。 |
| **Collapse All** | | 收縮所有包的所有分支 |
| **Coloring Rulues...** | | 打開一個對話框,讓您可以通過過濾表達來用不同的顏色顯示包。這項功能對定位特定類型的包非常有用。見[第?9.3?節 “包色彩顯示設置”](#calibre_link-87 "9.3.?包色彩顯示設置") |
| **Show Packet in New Window** | | 在新窗口顯示當前包,(新窗口僅包含View,Byte View兩個面板) |
| Reload | Ctrl+R | 重新再如當前捕捉文件 |
## 3.8.?"Go"菜單
Wireshark "GO"菜單的內容見[表?3.5 “"GO"菜單項”](#calibre_link-58 "表?3.5.?"GO"菜單項")
**圖?3.6.?"GO"菜單**
**表?3.5.?"GO"菜單項**
| 菜單項 | 快捷鍵 | 描述 |
| --- | --- | --- |
| **Back** | Alt+Left | 跳到最近瀏覽的包,類似于瀏覽器中的頁面歷史紀錄 |
| **ForWard** | Alt+Right | 跳到下一個最近瀏覽的包,跟瀏覽器類似 |
| **Go to Packet** | Ctrl+G | 打開一個對話框,輸入指定的包序號,然后跳轉到對應的包,見[第?6.8?節 “到指定的包”](#calibre_link-2 "6.8.?到指定的包") |
| **Go to Corresponding Packet** | | 跳轉到當前包的應答包,如果不存在,該選項為灰色 |
| **Previous Packet** | Ctrl+UP | 移動到包列表中的前一個包,即使包列表面板不是當前焦點,也是可用的 |
| **Next Packet** | Ctrl+Down | 移動到包列表中的后一個包,同上 |
| **First Packet** | | 移動到列表中的第一個包 |
| **Last Packet** | | 移動到列表中的最后一個包 |
## 3.9.?"Capture"菜單
"Capture"菜單的各項說明見[表?3.6 “"Capture"菜單項”](#calibre_link-43 "表?3.6.?"Capture"菜單項")
**圖?3.7.?"Capture"菜單**
**表?3.6.?"Capture"菜單項**
| 菜單項 | 快捷鍵 | 說明 |
| --- | --- | --- |
| **Interface...** | | 在彈出對話框選擇您要進行捕捉的網絡接口,見[第?4.4?節 “捕捉接口對話框”](#calibre_link-44 "4.4.?捕捉接口對話框") |
| **Options...** | Ctrl+K | 打開設置捕捉選項的對話框,(見[第?4.5?節 “捕捉選項對話框”](#calibre_link-45 "4.5.?捕捉選項對話框"))并可以在此開始捕捉 |
| **Start** | | 立即開始捕捉,設置都是參照最后一次設置。 |
| **Stop** | Ctrl+E | 停止正在進行的捕捉,見[第?4.9.1?節 “停止捕捉”](#calibre_link-46 "4.9.1.?停止捕捉") |
| **Restart** | | 正在進行捕捉時,停止捕捉,并按同樣的設置重新開始捕捉.僅在您認為有必要時 |
| **Capture Filters...** | | 打開對話框,編輯捕捉過濾設置,可以命名過濾器,保存為其他捕捉時使用見[第?6.6?節 “定義,保存過濾器”](#calibre_link-1 "6.6.?定義,保存過濾器") |
## 3.10.?"Analyze"菜單
"Analyze"菜單的各項見[表?3.7 “"analyze"菜單項”](#calibre_link-88 "表?3.7.?"analyze"菜單項")
**圖?3.8.?"Analyze"菜單**
**表?3.7.?"analyze"菜單項**
| 菜單項 | 快捷鍵 | 說明 |
| --- | --- | --- |
| **Display Filters...** | | 打開過濾器對話框編輯過濾設置,可以命名過濾設置,保存為其他地方使用,見[第?6.6?節 “定義,保存過濾器”](#calibre_link-1 "6.6.?定義,保存過濾器") |
| **Apply as Filter>...** | | 更改當前過濾顯示并立即應用。根據選擇的項,當前顯示字段會被替換成選擇在Detail面板的協議字段 |
| **Prepare a Filter>...** | | 更改當前顯示過濾設置,當不會立即應用。同樣根據當前選擇項,過濾字符會被替換成Detail面板選擇的協議字段 |
| **Firewall ACL Rules** | | 為多種不同的防火墻創建命令行ACL規則(訪問控制列表),支持Cisco IOS, Linux Netfilter (iptables), OpenBSD pf and Windows Firewall (via netsh). Rules for MAC addresses, IPv4 addresses, TCP and UDP ports, 以及 IPv4+混合端口。以上假定規則用于外部接口。 |
| **Enable Protocols...** | Shift+Ctrl+R | 是否允許協議分析,見[第?9.4.1?節 “"Enable Protocols"對話框”](#calibre_link-89 "9.4.1.?"Enable Protocols"對話框") |
| | | [[a](#calibre_link-90)] 看樣子他們有個關于這部分的章節 |
## 3.11.?"Statistics"菜單
Wireshark "statistics"菜單項見[表?3.8 “”](#calibre_link-72)
**圖?3.9.?"Statistics"菜單**
**表?3.8.?**
| 菜單項 | 描述 |
| --- | --- |
| Summary | 顯示捕捉數據摘要,見[第?8.2?節 “摘要窗口”](#calibre_link-73 "8.2.?摘要窗口") |
| Protocol Hierarchy | 顯示協議統計分層信息,見[第?8.3?節 “"Protocol Hierarchy"窗口”](#calibre_link-74 "8.3.?"Protocol Hierarchy"窗口") |
| Conversations/ | 顯示會話列表(兩個終端之間的通信),見??? |
| EndPoints | 顯示端點列表(通信發起,結束地址),見[第?8.4.2?節 “"Endpoints"窗口”](#calibre_link-75 "8.4.2.?"Endpoints"窗口") |
| IO Graphs | 顯示用戶指定圖表,(如包數量-時間表)見[第?8.6?節 “"IO Graphs"窗口”](#calibre_link-76 "8.6.?"IO Graphs"窗口") |
| Conversation List | 通過一個組合窗口,顯示會話列表,見[第?8.5.3?節 “協議指定“Conversation List/會話列表”窗口”](#calibre_link-77 "8.5.3.?協議指定“Conversation List/會話列表”窗口") |
| Endpoint List | 通過一個組合窗口顯示終端列表,見[第?8.4.3?節 “特定協議的"Endpoint List"窗口”](#calibre_link-78 "8.4.3.?特定協議的"Endpoint List"窗口") |
| Service Response Time | 顯示一個請求及其相應之間的間隔時間,見[第?8.7?節 “服務相應時間”](#calibre_link-79 "8.7.?服務相應時間") |
| ANSI | 見[第?8.8?節 “協議指定統計窗口”](#calibre_link-80 "8.8.?協議指定統計窗口") |
| GSM | 見[第?8.8?節 “協議指定統計窗口”](#calibre_link-80 "8.8.?協議指定統計窗口") |
| H.225... | 見[第?8.8?節 “協議指定統計窗口”](#calibre_link-80 "8.8.?協議指定統計窗口") |
| ISUP Message | 見[第?8.8?節 “協議指定統計窗口”](#calibre_link-80 "8.8.?協議指定統計窗口") |
| Types | 見[第?8.8?節 “協議指定統計窗口”](#calibre_link-80 "8.8.?協議指定統計窗口") |
| MTP3 | 見[第?8.8?節 “協議指定統計窗口”](#calibre_link-80 "8.8.?協議指定統計窗口") |
| RTP | 見[第?8.8?節 “協議指定統計窗口”](#calibre_link-80 "8.8.?協議指定統計窗口") |
| GSM | 見[第?8.8?節 “協議指定統計窗口”](#calibre_link-80 "8.8.?協議指定統計窗口") |
| SIP | 見[第?8.8?節 “協議指定統計窗口”](#calibre_link-80 "8.8.?協議指定統計窗口") |
| VOIP Calls... | 見[第?8.8?節 “協議指定統計窗口”](#calibre_link-80 "8.8.?協議指定統計窗口") |
| WAP-WSP... | 見[第?8.8?節 “協議指定統計窗口”](#calibre_link-80 "8.8.?協議指定統計窗口") |
| HTTP | HTTP請求/相應統計,見[第?8.8?節 “協議指定統計窗口”](#calibre_link-80 "8.8.?協議指定統計窗口") |
| ISUP Messages | 見[第?8.8?節 “協議指定統計窗口”](#calibre_link-80 "8.8.?協議指定統計窗口") |
| ONC-RPC Programs | 見[第?8.8?節 “協議指定統計窗口”](#calibre_link-80 "8.8.?協議指定統計窗口") |
| TCP Stream Graph | 見[第?8.8?節 “協議指定統計窗口”](#calibre_link-80 "8.8.?協議指定統計窗口") |
## 3.12.?"Help"菜單
幫助菜單的內容見[表?3.9 “”](#calibre_link-94)
**圖?3.10.?幫助菜單**
**表?3.9.?**
| 菜單項 | 快捷鍵 | 描述 |
| --- | --- | --- |
| Contents | F1 | 打開一個基本的幫助系統 |
| Supported Protocols | | 打開一個對話框顯示支持的協議或工具 |
| Manaul Pages>... | | 打開瀏覽器,顯示安裝在本地的手冊 |
| Wireshark Online> | | 按照選擇顯示在線資源 |
| About Wireshark | | 彈出信息窗口顯示Wireshark的一些相關信息,如插件,目錄等。 |
> 
> 注意
> 有些版本可能不支持調用WEB瀏覽器。如果是這樣,可能會隱藏此菜單。
> 
> 注意
> 如果調用瀏覽器錯誤,檢查Wireshark首選項關于瀏覽器設置。
## 3.13.?"Main"工具欄
主工具欄提供了快速訪問常見項目的功能,它是不可以自定義的,但如果您覺得屏幕屏幕過于狹小,需要更多空間來顯示數據。您可以使用瀏覽菜單隱藏它。
在主工具欄里面的項目只有在可以使用的時候才能被選擇,如果不是可用則顯示為灰色,不可選(例如:在未載入文件時,保存文件按鈕就不可用.)
**圖?3.11.?**
**表?3.10.?主工具欄選項**
| 工具欄圖標 | 工具欄項 | 對應菜單項 | 描述 |
| --- | --- | --- | --- |
|  | 接口 | Capture/Interfaces... | 打開接口列表對話框,見[第?4.3?節 “開始捕捉”](#calibre_link-50 "4.3.?開始捕捉") |
|  | 選項。。。 | Capture/Options | 打開捕捉選項對話框,見[第?4.4?節 “捕捉接口對話框”](#calibre_link-44 "4.4.?捕捉接口對話框") |
|  | **Start** | Capture/Start | 使用最后一次的捕捉設置立即開始捕捉 |
|  | **STOP** | Capture/Stop | 停止當前的捕捉,見[第?4.3?節 “開始捕捉”](#calibre_link-50 "4.3.?開始捕捉") |
|  | **Restar** | Caputer/Rstart | 停止當前捕捉,并立即重新開始 |
|  | **Open...** | File/Open | 啟動打開文件對話框,用于載入文件,詳見[第?5.2.1?節 “打開捕捉文件對話框”](#calibre_link-61 "5.2.1.?打開捕捉文件對話框") |
|  | **Save As...** | File/Save As... | 保存當前文件為任意其他的文件,它將會彈出一個對話框,(見[第?5.3.1?節 “"save Capture File As/保存文件為"對話框”](#calibre_link-63 "5.3.1.?"save Capture File As/保存文件為"對話框") |
| | | |  |
| | | | 注意 |
| | | | 如果當前文件是臨時未保存文件,圖標將會顯示為  |
|  | **Close** | File/Close | 關閉當前文件。如果未保存,將會提示是否保存 |
|  | **Reload** | View/Reload | 重新載入當前文件 |
|  | **Print** | File/Print | 打印捕捉文件的全部或部分,將會彈出一個打印對話框(見[第?5.7?節 “打印包”](#calibre_link-71 "5.7.?打印包")) |
|  | **Find packet...** | Edit/Find Packet... | 打開一個對話框,查找包。見[第?6.7?節 “查找包”](#calibre_link-0 "6.7.?查找包") |
|  | **Go Back** | Go/Go Back | 返回歷史記錄中的上一個 |
|  | **Go Forward** | Go/Go Forward | 跳轉到歷史記錄中的下一個包 |
|  | **Go to Packet...** | Go/Go to Packet... | 彈出一個設置跳轉到指定的包的對話框 |
|  | **Go To First Packet** | Go/First Packet | 跳轉到第一包 |
|  | **Go To Last Packet** | Go/Last Packet | 跳轉到最后一個包 |
|  | **Colorize** | View/Coloreze | 切換是否以彩色方式顯示包列表 |
|  | **Auto Scroll in Live** | View/Auto Scrool in Live Capture | 開啟/關閉實時捕捉時自動滾動包列表 |
|  | **Zoom in** | View/Zoom In | 增大字體 |
|  | **zoom out** | View/Zoom Out | 縮小字體 |
|  | **Normal Size** | View/Normal Size | 設置縮放大小為100% |
|  | **Resize Columns** | View/Resize Columns | 重置列寬,使內容適合列寬(使包列表內的文字可以完全顯示) |
|  | **Capture Filters..** | Capture/Capture Filters... | 打開對話框,用于創建、編輯過濾器。詳見[第?6.6?節 “定義,保存過濾器”](#calibre_link-1 "6.6.?定義,保存過濾器") |
|  | **Display Filters..** | Analyze/ Filters... | 打開對話框,用于創建、編輯過濾器。詳見[第?6.6?節 “定義,保存過濾器”](#calibre_link-1 "6.6.?定義,保存過濾器") |
|  | **Coloring Rules...** | View/Coloring Rules... | 定義以色彩方式顯示數據包的規則詳見[第?9.3?節 “包色彩顯示設置”](#calibre_link-87 "9.3.?包色彩顯示設置") |
|  | **Preferences...** | Edit/Preferences | 打開首選項對話框,詳見[第?9.5?節 “首選項”](#calibre_link-56 "9.5.?首選項") |
|  | **Help** | Help/Contents | 打開幫助對話框 |
## 3.14.?"Filter"工具欄
過濾工具欄用于編輯或顯示過濾器,更多詳情見[第?6.3?節 “瀏覽時過濾包”](#calibre_link-4 "6.3.?瀏覽時過濾包")
**圖?3.12.?過濾工具欄**
**表?3.11.?**
| 工具欄圖標 | 工具欄項 | 說明 |
| --- | --- | --- | --- |
|  | **過濾** | 打開構建過濾器對話框,見[第?6.7?節 “查找包”](#calibre_link-0 "6.7.?查找包")[[a](#calibre_link-97)] |
| | **過濾輸入框** | 在此區域輸入或修改顯示的過濾字符,見[第?6.4?節 “建立顯示過濾表達式”](#calibre_link-98 "6.4.?建立顯示過濾表達式"),在輸入過程中會進行語法檢查。如果您輸入的格式不正確,或者未輸入完成,則背景顯示為紅色。直到您輸入合法的表達式,背景會變為綠色。你可以點擊下拉列表選擇您先前鍵入的過濾字符。列表會一直保留,即使您重新啟動程序。 |
| | |  |
| | | 注意 |
| | | 做完修改之后,記得點擊右邊的Apply(應用)按鈕,或者回車,以使過濾生效。|
| | |  |
| | | 注意 |
| | | 輸入框的內容同時也是當前過濾器的內容(當前過濾器的內容會反映在輸入框) |
|  | **表達式...** | 標簽為表達式的按鈕打開一個對話框用以從協議字段列表中編輯過濾器,詳見[第?6.5?節 ““Filter Expression/過濾表達式”對話框”](#calibre_link-99 "6.5.?“Filter Expression/過濾表達式”對話框") |
|  | **清除** | 重置當前過濾器,清除輸入框 |
|  | **應用** | 應用當前輸入框的表達式為過濾器進行過濾 |
| | |  |
| | | 注意 |
| | | 在大文件里應用顯示過濾可能要很長時間 |
| | | [[a](#calibre_link-100)] 我看到的Filter按鈕貌似沒有圖標,可能只出現在0.99.4版中 |
## 3.15.?"Pcaket List"面板
Packet list/包列表面板顯示所有當前捕捉的包
**圖?3.13.?"Packet list/包列表"面板**
列表中的每行顯示捕捉文件的一個包。如果您選擇其中一行,該包得更多情況會顯示在"Packet Detail/包詳情","Packet Byte/包字節"面板
在分析(解剖)包時,Wireshark會將協議信息放到各個列。因為高層協議通常會覆蓋底層協議,您通常在包列表面板看到的都是每個包的最高層協議描述。
例如:讓我們看看一個包括TCP包,IP包,和一個以太網包。在以太網(鏈路層?)包中解析的數據(比如以太網地址),在IP分析中會覆蓋為它自己的內容(比如IP地址),在TCP分析中會覆蓋IP信息。
包列表面板有很多列可供選擇。需要顯示哪些列可以在首選項中進行設置,見[第?9.5?節 “首選項”](#calibre_link-56 "9.5.?首選項")
默認的列如下
* **No.** 包的編號,編號不會發生改變,即使進行了過濾也同樣如此
* **Time** 包的時間戳。包時間戳的格式可以自行設置,見[第?6.10?節 “時間顯示格式及參考時間”](#calibre_link-85 "6.10.?時間顯示格式及參考時間")
* **Source** 顯示包的源地址。
* **Destination** 顯示包的目標地址。
* **Protocal** 顯示包的協議類型的簡寫
* **Info** 包內容的附加信息
右擊包,可以顯示對包進行相關操作的上下文菜單。見[第?6.3?節 “瀏覽時過濾包”](#calibre_link-4 "6.3.?瀏覽時過濾包")
## 3.16.?"Packet Details"面板
"Packet Details/包詳情"面板顯示當前包(在包列表面板被選中的包)的詳情列表。
**圖?3.14.?"Packet Details/包詳情"面板**
該面板顯示包列表面板選中包的協議及協議字段,協議及字段以樹狀方式組織。你可以展開或折疊它們。
右擊它們會獲得相關的上下文菜單。見[第?6.4?節 “建立顯示過濾表達式”](#calibre_link-98 "6.4.?建立顯示過濾表達式")
某些協議字段會以特殊方式顯示
* **Generated fields/衍生字段** Wireshark會將自己生成附加協議字段加上括號。衍生字段是通過該包的相關的其他包結合生成的。例如:Wireshark 在對TCP流應答序列進行分析時。將會在TCP協議中添加[SEQ/ACK analysis]字段
* **Links/鏈接** 如果Wireshark檢測到當前包與其它包的關系,將會產生一個到其它包的鏈接。鏈接字段顯示為藍色字體,并加有下劃線。雙擊它會跳轉到對應的包。
## 3.17.?"Packet Byte"面板
Packet Byte/包字節 面板以16進制轉儲方式顯示當前選擇包的數據
**圖?3.15.?Packet Byte/包字節面板**
通常在16進制轉儲形式中,左側顯示包數據偏移量,中間欄以16進制表示,右側顯示為對應的ASCII字符
根據包數據的不同,有時候包字節面板可能會有多個頁面,例如:有時候Wireshark會將多個分片重組為一個,見[第?7.5?節 “重組包”](#calibre_link-105 "7.5.?重組包").這時會在面板底部出現一個附加按鈕供你選擇查看
**圖?3.16.?帶選項的"Paket Bytes/包字節"面板**
> 
> 注意
> 附加頁面的內容可能來自多個包。
右擊選項按鈕會顯示一個上下文菜單顯示所有可用的頁的清單。如果您的面板尺寸過小,這項功能或許有所幫助
## 3.18.?狀態欄
狀態欄用于顯示信息
通常狀態欄的左側會顯示相關上下文信息,右側會顯示當前包數目
**圖?3.17.?初始狀態欄**
該狀態欄顯示的是沒有文件載入時的狀態,如:剛啟動Wireshark時
**圖?3.18.?載入文件后的狀態欄**
左側顯示當前捕捉文件信息,包括名稱,大小,捕捉持續時間等。
右側顯示當前包在文件中的數量,會顯示如下值
* P:捕捉包的數目
* D:被顯示的包的數目
* M: 被標記的包的數目.
**圖?3.19.?已選擇協議字段的狀態欄**
如果你已經在"Packet Detail/包詳情"面板選擇了一個協議字段,將會顯示上圖
> 
> 提示
> 括號內的值(如上圖的app.opcode)可以作為顯示過濾使用。它表示選擇的協議字段。
