Wireshark用户指南-目录

Wireshark用户指南

版本3.3.0

目录

前言

1.前言

2.谁应该阅读本文档？

3.致谢

4.关于本文件

5.从哪里获得此文档的最新副本？

6.提供有关此文档的反馈

7.印刷约定

7.1。告诫

7.2。Shell提示和源代码示例

1.简介

1.1。什么是Wireshark？

1.1.1。一些预期目的

1.1.2。特征

1.1.3。从许多不同的网络媒体进行实时捕获

1.1.4。从许多其他捕获程序导入文件

1.1.5。导出许多其他捕获程序的文件

1.1.6。许多协议解剖器

1.1.7。开源软件

1.1.8。Wireshark不是什么

1.2。系统要求

1.2.1。微软Windows

1.2.2。苹果系统

1.2.3。UNIX，Linux和BSD

1.3。从哪里获得Wireshark

1.4。Wireshark的简史

1.5。Wireshark的开发和维护

1.6。报告问题并获得帮助

1.6.1。网站

1.6.2。维基

1.6.3。问答网站

1.6.4。常问问题

1.6.5。邮件列表

1.6.6。报告问题

1.6.7。报告UNIX / Linux平台上的崩溃

1.6.8。报告Windows平台上的崩溃

2.构建和安装Wireshark

2.1。介绍

2.2。获取源和二进制分布

2.3。在Windows下安装Wireshark

2.3.1。安装组件

2.3.2。其他任务

2.3.3。安装位置

2.3.4。安装Npcap

2.3.5。Windows Installer命令行选项

2.3.6。手动安装Npcap

2.3.7。更新Wireshark

2.3.8。更新Npcap

2.3.9。卸载Wireshark

2.3.10。卸载Npcap

2.4。在Windows下从源代码构建

2.5。在macOS下安装Wireshark

2.6。在UNIX下从源代码构建Wireshark

2.7。在UNIX下安装二进制文件

2.7.1。从Red Hat等下的RPM安装

2.7.2。在Debian，Ubuntu和其他Debian衍生版本下从debs安装

2.7.3。在Gentoo Linux下从Portage安装

2.7.4。从FreeBSD下的软件包安装

2.8。在Unix上构建和安装期间进行故障排除

3.用户界面

3.1。介绍

3.2。启动Wireshark

3.3。主视窗

3.3.1。主窗口导航

3.4。菜单

3.5。“文件”菜单

3.6。“编辑”菜单

3.7。“查看”菜单

3.8。“转到”菜单

3.9。“捕获”菜单

3.10。“分析”菜单

3.11。“统计”菜单

3.12。“电话”菜单

3.13。“无线”菜单

3.14。“工具”菜单

3.15。“帮助”菜单

3.16。“主”工具栏

3.17。“过滤器”工具栏

3.18。“数据包列表”窗格

3.19。“数据包详细信息”窗格

3.20。“数据包字节”窗格

3.21。状态栏

4.捕获实时网络数据

4.1。介绍

4.2。先决条件

4.3。开始捕捉

4.4。欢迎屏幕的“捕获”部分

4.5。“捕获选项”对话框

4.6。“管理接口”对话框

4.7。“编译的过滤器输出”对话框

4.8。捕获文件和文件模式

4.9。链路层报头类型

4.10。捕获时过滤

4.10.1。自动远程流量过滤

4.11。当Capture运行时...

4.11.1。停止正在运行的捕获

4.11.2。重新启动正在运行的捕获

5.文件输入，输出和打印

5.1。介绍

5.2。打开捕获文件

5.2.1。“打开捕获文件”对话框

5.2.2。输入文件格式

5.3。保存捕获的数据包

5.3.1。“将捕获文件另存为”对话框

5.3.2。输出文件格式

5.4。合并捕获文件

5.4.1。“与捕获文件合并”对话框

5.5。导入十六进制转储

5.5.1。“从十六进制转储导入”对话框

5.6。文件集

5.6.1。“列出文件”对话框

5.7。汇出资料

5.7.1。“导出指定的数据包”对话框

5.7.2。“导出数据包解剖”对话框

5.7.3。“导出选定的数据包字节”对话框

5.7.4。``将PDU导出到文件...''对话框

5.7.5。``导出TLS会话密钥...''对话框

5.7.6。“导出对象”对话框

5.8。打印数据包

5.8.1。“打印”对话框

5.9。“数据包范围”框架

5.10。包格式帧

6.处理捕获的数据包

6.1。查看您捕获的数据包

6.2。弹出菜单

6.2.1。“数据包列表”列标题的弹出菜单

6.2.2。“数据包列表”窗格的弹出菜单

6.2.3。“数据包详细信息”窗格的弹出菜单

6.2.4。“数据包字节”窗格的弹出菜单

6.3。查看时过滤数据包

6.4。建立显示过滤器表达式

6.4.1。显示过滤器字段

6.4.2。比较值

6.4.3。组合表达式

6.4.4。切片运算符

6.4.5。会员运营商

6.4.6。职能

6.4.7。！=的常见错误

6.4.8。有时字段会更改名称

6.5。“显示过滤器表达式”对话框

6.6。定义和保存过滤器

6.7。定义和保存过滤器宏

6.8。查找数据包

6.8.1。“查找数据包”工具栏

6.9。转到特定的数据包

6.9.1。“返回”命令

6.9.2。“前进”命令

6.9.3。“转到数据包”工具栏

6.9.4。“转到相应的数据包”命令

6.9.5。“转到第一个数据包”命令

6.9.6。“转到最后一个数据包”命令

6.10。标记数据包

6.11。忽略数据包

6.12。时间显示格式和时间参考

6.12.1。包时间参考

7.高级主题

7.1。介绍

7.2。遵循协议流

7.3。显示数据包字节

7.4。专家资讯

7.4.1。专家信息条目

7.4.2。“专家信息”对话框

7.4.3。“彩色”协议详细信息树

7.4.4。“专家”数据包列表列（可选）

7.5。TCP分析

7.6。时标

7.6.1。Wireshark内部

7.6.2。捕获文件格式

7.6.3。准确性

7.7。时区

7.7.1。正确设置计算机的时间！

7.7.2。Wireshark和时区

7.8。包重组

7.8.1。它是什么？

7.8.2。Wireshark如何处理它

7.8.3。TCP重组

7.9。名称解析

7.9.1。名称解析的缺点

7.9.2。以太网名称解析（MAC层）

7.9.3。IP名称解析（网络层）

7.9.4。TCP / UDP端口名称解析（传输层）

7.9.5。VLAN ID解析

7.9.6。SS7点码解析度

7.10。校验和

7.10.1。Wireshark校验和验证

7.10.2。校验和卸载

8.统计

8.1。介绍

8.2。“捕获文件属性”对话框

8.3。解析地址

8.4。“协议层次结构”窗口

8.5。对话内容

8.5.1。“对话”窗口

8.6。终点

8.6.1。“端点”窗口

8.7。封包长度

8.8。“ I / O图”窗口

8.9。服务响应时间

8.9.1。“ SMB2服务响应时间统计信息”窗口

8.10。DHCP（BOOTP）统计信息

8.11。ONC-RPC程序

8.12。西29

8.13。空中交通管制

8.14。BACnet

8.15。已收集

8.16。域名解析

8.17。流程图

8.18。HART IP

8.19。HPFEEDS

8.20。HTTP统计

8.20.1。HTTP数据包计数器

8.20.2。HTTP请求

8.20.3。HTTP负载分配

8.20.4。HTTP请求序列

8.21。HTTP2

8.22。同时

8.23。TCP流图

8.24。UDP组播图

8.25。F5

8.26。IPv4统计

8.27。IPv6统计

9.电话

9.1。介绍

9.2。VoIP通话

9.3。美标

9.4。GSM

9.5。IAX2流分析

9.6。ISUP消息

9.7。LTE

9.7.1。LTE MAC流量统计

9.7.2。LTE RLC图

9.7.3。LTE RLC流量统计

9.8。MTP3

9.9。s

9.10。RTP分析

9.11。RTSP

9.12。计划

9.13。SMPP运营

9.14。UCP消息

9.15。H.225

9.16。SIP流程

9.17。SIP统计

9.18。WAP-WSP数据包计数器

10.无线

10.1。介绍

10.2。蓝牙ATT服务器属性

10.3。蓝牙设备

10.4。蓝牙HCI摘要

10.5。WLAN流量

11.定制Wireshark

11.1。介绍

11.2。从命令行启动Wireshark

11.3。数据包着色

11.4。控制协议解剖

11.4.1。“启用的协议”对话框

11.4.2。用户指定的解码

11.5。首选项

11.6。配置配置文件

11.7。用户表

11.8。显示筛选器宏

11.9。ESS类别属性

11.10。MaxMind数据库路径

11.11。IKEv2解密表

11.12。对象标识符

11.13。PRES用户上下文列表

11.14。SCCP用户表

11.15。SMI（MIB和PIB）模块

11.16。SMI（MIB和PIB）路径

11.17。SNMP企业特定陷阱类型

11.18。SNMP用户表

11.19。泰克K12xx / 15 RF5协议表

11.20。用户DLT协议表

11.21。Protobuf搜索路径

11.22。Protobuf UDP消息类型

12.伴侣

12.1。介绍

12.2。入门

12.3。配合手册

12.3.1。介绍

12.3.2。属性值对

12.3.3。AVP列表

12.3.4。配合分析

12.3.5。关于MATE

12.4。MATE的配置教程

12.4.1。DNS请求的Gop

12.4.2。HTTP请求的Gop

12.4.3。将DNS和HTTP一起放入Gog

12.4.4。将多个用户的请求分开

12.5。MATE配置示例

12.5.1。TCP会话

12.5.2。一个完整的FTP会话的Gog

12.5.3。使用RADIUS筛选特定用户的SMTP流量

12.5.4。H323通话

12.5.5。彩信

12.6。MATE的配置库

12.6.1。通用协议

12.6.2。VoIP /电话

12.7。MATE参考手册

12.7.1。属性值对

12.7.2。属性/值对列表（AVPL）

12.8。配置AVPL

12.8.1。Pdsu的配置操作

A. Wireshark消息

A.1。数据包列表消息

A.1.1。[格式错误的数据包]

A.1.2。[捕获期间限制包大小]

A2。数据包详细信息

A.2.1。[框架响应：123]

A.2.2。[框架请求：123]

A.2.3。[请求时间：0.123秒]

A.2.4。[通过PROTOCOL设置流（帧123）]

B.文件和文件夹

B.1。捕获文件

B.1.1。Libpcap文件内容

B.1.2。未保存在捕获文件中

B.2。配置文件和插件文件夹

B.2.1。Windows上的文件夹

B.2.2。类Unix系统上的文件夹

B.3。配置文件

B.4。插件文件夹

B.5。Windows文件夹

B.5.1。Windows配置文件

B.5.2。Windows漫游配置文件

B.5.3。Windows临时文件夹

C.协议和协议字段

D.相关的命令行工具

D.1。介绍

D.2。tshark：基于终端的Wireshark

D.3。tcpdump：捕获“ tcpdump”以使用Wireshark查看

D.4。dumpcap：使用“ dumpcap”捕获以使用Wireshark查看

D.5。capinfos：打印有关捕获文件的信息

D.6。rawshark：转储并分析网络流量。

D.7。editcap：编辑捕获文件

D.8。mergecap：将多个捕获文件合并为一个

D.9。text2pcap：将ASCII十六进制转储转换为网络捕获

D.10。reordercap：对捕获文件重新排序

13.本文档的许可证（GPL）

图清单

1.1。Wireshark捕获数据包并允许您检查其内容。

3.1。主视窗

3.2。菜单

3.3。“文件”菜单

3.4。“编辑”菜单

3.5。“查看”菜单

3.6。“转到”菜单

3.7。“捕获”菜单

3.8。“分析”菜单

3.9。“统计”菜单

3.10。“电话”菜单

3.11。“无线”菜单

3.12。“工具”菜单

3.13。“帮助”菜单

3.14。“主”工具栏

3.15。“过滤器”工具栏

3.16。“数据包列表”窗格

3.17。“数据包详细信息”窗格

3.18。“数据包字节”窗格

3.19。带标签的“数据包字节”窗格

3.20。初始状态栏

3.21。状态栏带有已加载的捕获文件

3.22。带配置配置文件菜单的状态栏

3.23。具有选定协议字段的状态栏

3.24。带显示过滤器消息的状态栏

4.1。在Microsoft Windows上捕获接口

4.2。在macOS上捕获接口

4.3。“捕获选项”输入选项卡

4.4。“捕获选项”输出选项卡

4.5。“捕获选项”选项选项卡

4.6。“管理界面”对话框

4.7。“编译的过滤器输出”对话框

4.8。捕获输出选项

4.9。“捕获信息”对话框

5.1。在Microsoft Windows上“打开”

5.2。“开放”-Linux和UNIX

5.3。在Microsoft Windows上“保存”

5.4。在Linux和UNIX上“保​​存”

5.5。在Microsoft Windows上“合并”

5.6。在Linux和UNIX上“合并”

5.7。“从十六进制转储导入”对话框

5.8。“列表文件”对话框

5.9。“导出指定的数据包”对话框

5.10。“导出数据包解剖”对话框

5.11。“导出选定的数据包字节”对话框

5.12。“导出对象”对话框

5.13。“打印”对话框

5.14。“数据包范围”框架

5.15。“数据包格式”框架

6.1。Wireshark已选择要查看的TCP数据包

6.2。在单独的窗口中查看数据包

6.3。“数据包列表”列标题的弹出菜单

6.4。“数据包列表”窗格的弹出菜单

6.5。“数据包详细信息”窗格的弹出菜单

6.6。“数据包字节”窗格的弹出菜单

6.7。在TCP协议上过滤

6.8。“显示过滤器表达式”对话框

6.9。“捕获过滤器”和“显示过滤器”对话框

6.10。“查找数据包”工具栏

6.11。“转到数据包”工具栏

6.12。Wireshark显示时间参考数据包

7.1。“跟随TCP流”对话框

7.2。“跟随HTTP / 2流”对话框

7.3。“专家信息”对话框

7.4。“彩色”协议详细信息树

7.5。“专家”数据包列表列

7.6。“ TCP分析”包详细信息

7.7。“ Packet Bytes”窗格具有重新组合的选项卡

8.1。“捕获文件属性”对话框

8.2。“协议层次结构”窗口

8.3。“对话”窗口

8.4。“端点”窗口

8.5。“数据包长度”窗口

8.6。“ I / O图表”窗口

8.7。“ SMB2服务响应时间统计信息”窗口

8.8。“ HTTP请求序列”窗口

9.1。“ LTE MAC流量统计”窗口

9.2。“ LTE RLC流量统计”窗口

9.3。“ RTP流分析”窗口

10.1。“ WLAN流量统计”窗口

11.1。“着色规则”对话框

11.2。颜色选择器

11.3。在Wireshark中使用滤色器

11.4。“启用的协议”对话框

11.5。“解码为”对话框

11.6。首选项对话框

11.7。配置配置文件对话框

表清单

1. 印刷约定

3.1。键盘导航

3.2。文件菜单项

3.3。编辑菜单项

3.4。查看菜单项

3.5。内部菜单项

3.6。转到菜单项

3.7。捕获菜单项

3.8。分析菜单项

3.9。统计菜单项

3.10。电话菜单项

3.11。无线菜单项

3.12。工具菜单项

3.13。帮助菜单项

3.14。工具栏的主要项目

3.15。筛选工具栏项目

3.16。相关数据包符号

4.1。捕获选项选择的捕获文件模式

6.1。“数据包列表”列标题弹出菜单的菜单项

6.2。“数据包列表”弹出菜单的菜单项

6.3。“数据包详细信息”弹出菜单的菜单项

6.4。“数据包字节”弹出菜单的菜单项

6.5。显示过滤器比较运算符

6.6。显示过滤器逻辑操作

6.7。显示过滤器功能

7.1。专家信息项示例

7.2。UTC到达时间的时区示例（无DST）

B.1。配置文件概述

实例清单

4.1。telnet的捕获过滤器，捕获与特定主机之间的流量

4.2。捕获不是从10.0.0.5起的所有telnet流量