Wireshark 是一个免费和开源软件 (FOSS),它是由一群热情的开发人员开发的。
Wireshark(以前称为 Ethereal)用于捕获和分析网络上的流量,它是世界各地网络专业人士、安全分析师和研究学者中非常流行的网络协议分析器。
好消息是它是开源的,在 GNU 通用公共许可证版本 2 下免费提供,它可用于 Windows、macOS、Linux 和 UNIX 等主要操作系统。
Wireshark 具有许多功能,例如对网络流量的深入检查、实时捕获、离线分析、对不同捕获文件类型的 R/W 支持等,它还在世界各地组织了 SharkFest,一个年度教育会议,以传授他们的产品知识,这些会议的重点是使用 Wireshark 的最佳实践。
在本指南中,我们将看到 Wireshark 用户界面的概述,现在让我们深入探索 Wireshark GUI。
Wireshark 的启动屏幕启动 Wireshark 时,会出现以下启动屏幕:
让我们将整个界面分为四个部分:
- 主菜单
- 主菜单工具栏
- 过滤工具
- 接口列表
它位于主窗口的顶部,有 11 个项目,我们不打算详细描述每个项目,而是几个重要方面。
1. 文件菜单文件菜单包含基本的 IO 操作集,您可以打开和关闭文件、导入和导出操作,当然也可以从这里退出 Wireshark。
2. 编辑菜单- 标记/取消标记:使用此选项或“Ctrl M”标记/取消标记数据包,当您以后想要检查数据包时,它实际上会有所帮助。
- 数据包注释:您可以使用此选项向选定的数据包添加注释,或者使用快捷键“Ctrl Alt C”来执行相同操作。注释有助于与其他人合作,或者在我们以后处理工作时自己记住事情。
- 配置文件:它实际上是根据我们的要求自定义 Wireshark 的好工具,例如,我们可以通过添加新列或重新排列列来组织列。可以添加配置文件,也可以下载配置文件,然后将其导入 Wireshark。配置文件也可以从右下面板更改。
- 首选项:单击它时,将打开一个提示窗口,您可以在其中控制 GUI 的外观、设置捕获选项和其他高级功能,如添加 RSA 密钥、修改协议设置等。此子菜单也可用于自定义我们的配置文件。
此菜单处理主屏幕上工具的显示、要使用的时间格式、数据包着色选项、缩放选项等。
例如,您可以用 UTC 来显示时间,而不是以秒为单位显示时间。我们可以对数据包进行着色和脱色,甚至可以更改着色规则。
4. Go Menu这实际上是一个数据包管理菜单。您可以使用它来遍历捕获数据包。“下一个数据包”和“上一个数据包”按钮可用于导航屏幕上的显示数据,当然,您可以简单地使用“Ctrl 上/下”按钮或鼠标滚动来更轻松地进行遍历。
5. 捕捉菜单使用它来控制 Capture 的开始和停止位置以及编辑和添加捕获过滤器。
6. 分析菜单在这里可以添加和编辑显示过滤器以及显示过滤器宏,将数据包解码为特定协议,遵循 TCP 或 UDP 流等,可以选择一个数据包,然后从数据包详细信息窗格中使用“分析”->“应用为”应用过滤器筛选'。
7. 统计菜单它就像一个报告工具。我们可以统计地分解整个数据包捕获,例如,我们可以查看捕获的哪一部分是 IPv6 或 UDP。因此,这将显示各种统计信息,例如捕获文件的属性、流程图、协议层次结构、IPv4 和 IPv6 统计信息等。
8. 电话菜单在这里,您将找到显示几个与电话相关的统计窗口的选项,如流程图、显示协议层次统计等。
9. 无线菜单这处理与蓝牙和 IEEE 802.11 标准相关的统计数据的显示。
10. 工具菜单它包含几个 Wireshark 的工具,例如创建防火墙 ACL 规则。
11. 帮助菜单它基本上提供了与帮助相关的方面,如帮助内容的链接、手册页、常见问题解答、Wireshark 的 Wiki 以及指向示例捕获的链接等。
主工具栏
简单来说,Toolbar 实际上是一组最常用的主菜单项的快捷方式。熟悉 Wireshark 后,您会很快记住哪个图标用于什么用途。
过滤器工具栏
有两个过滤器工具栏:显示过滤器和捕获过滤器。两者之间有区别,但是两者都用于简化您的数据包搜索。
接口列表
Wireshark 的起始页列出了设备上所有可用的接口以供捕获,如果您在此处没有看到您的界面,请转到“捕获 > 刷新界面”或按“F5”键刷新界面列表。您还可以管理起始页上的界面列表。为此,请选择捕获过滤器搜索框右侧的下拉菜单。
,
