当前位置：首页 > news >正文

《熬夜整理》保姆级系列教程-玩转Wireshark抓包神器教程(4)-再识Wireshark

news 文章来源：https://blog.csdn.net/qq_23827149/article/details/141219669 2025/1/16 3:47:51

1.简介

按照以前的讲解和分享路数，宏哥今天就应该从外观上来讲解WireShark的界面功能了。

2.软件界面

由上到下依次是标题栏、主菜单栏、主菜单工具栏、显示过滤文本框、打开区、最近捕获并保存的文件、捕获区、捕获过滤文本框、本机所有网络接口、学习区及用户指南等。

2.1启动界面

首次打开启动 Wireshark 时，会出现以下启动界面，如下图所示：

宏哥将整个界面分为四个部分：

主菜单
主菜单工具栏
过滤工具
接口列表
状态工具栏

2.2主菜单

主菜单：它位于主窗口的顶部，有 11 个项目，宏哥这里不打算详细描述每个项目，而是挑几个重要方面进行介绍。如下图所示：

2.2.1文件菜单

“文件”栏的英文名为“File”，该菜单中包含了打开和合并捕获数据文件项、部分或全部保存/打印/导出捕获数据文件项以及退出应用程序选项等。文件菜单包含基本的 IO 操作集，您可以打开和关闭文件、导入和导出操作，当然也可以从这里退出 Wireshark。

主要是对抓包文件的操作：

①文件打开，保存。

②导出特定分组：可以选择导出全部包，主界面显示的包，主界面选择的包，marked的包，第一个到最后一个marked的包之间的包，设置包序号段的包，保存时不保存忽略的包。

③导出特定格式（pcap，csv，文本txt，XML，json等）导出CSV格式可以excel打开做进一步统计分析。如下图所示：

文件菜单项说明：

菜单项	快捷键	描述
`Open…（打开）`	`Ctrl`+`O`	这将显示 “文件打开” 对话框，您可以通过该对话框加载捕获文件以进行查看。
`Open Recent（打开最近文件）`		这使您可以打开最近打开的捕获文件。单击子菜单项之一将直接打开相应的捕获文件。
`Merge…（合并）`		此菜单项使您可以将捕获文件合并到当前加载的文件中。
`Import from Hex Dump…（从Hex转储导入）`		此菜单项将打开 “导入文件” 对话框，该对话框使您可以将包含十六进制转储的文本文件导入到新的临时捕获中。
`Close（关闭）`	`Ctrl`+`W`	该菜单项关闭当前捕获。如果尚未保存捕获，将首先要求您保存（可以通过首选项设置禁用）。
`Save（保存）`	`Ctrl`+`S`	此菜单项保存当前捕获。如果您尚未设置默认捕获文件名（也许使用 `-w <capfile>` 选项），则 Wireshark 会弹出 “将捕获文件另存为” 对话框。如果您已经保存了当前捕获的图像，则该菜单项将显示为灰色。正在进行捕获时，您无法保存实时捕获。您必须停止捕获才能保存。
`Save As…（另存为）`	`Shift`+`Ctrl`+`S`	此菜单项允许您将当前捕获文件保存到所需的任何文件中。它会弹出 “将捕获文件另存为” 对话框。
`File Set` → `List Files（列出文件）`		此菜单项允许您显示文件集中的文件列表。它会弹出 “Wireshark 列表文件集” 对话框。
`File Set` → `Next Files（下一文件）`		如果当前加载的文件是文件集的一部分，请跳到该集中的下一个文件。如果它不是文件集的一部分或不是该文件集中的最后一个文件，则该项目为灰色。
`File Set` → `Previous Files（上一文件）`		如果当前加载的文件是文件集的一部分，请跳到文件集中的前一个文件。如果它不是文件集的一部分或不是该文件集中的第一个文件，则该项目为灰色。
`Export Specified Packets…（导出特定分组）`		此菜单项允许您将捕获文件中的所有（或部分）数据包导出到文件中。它将弹出 Wireshark 导出对话框。
`Export Packet Dissections…（导出分组解析结果）`	`Ctrl`+`H`	这些菜单项使您可以将数据包字节窗格中当前选择的字节以多种格式导出到文本文件，包括纯格式，CSV 和 XML。
`（导出分组字节流）`
`（导出PDU到文件）`
`Strip Headers`
`导出TSL会话密钥`
`Export Objects（导出对象）`		这些菜单项允许您将捕获的 DICOM，HTTP，IMF，SMB 或 TFTP 对象导出到本地文件中。它弹出一个相应的对象列表
`Print…（打印）`	`Ctrl`+`P`	此菜单项允许您打印捕获文件中的所有（或某些）数据包。它会弹出 Wireshark 打印对话框。
`Quit（退出）`	`Ctrl`+`Q`	此菜单项允许您从 Wireshark 退出。如果您以前没有保存过，Wireshark 会要求您保存捕获文件（可以通过首选项设置将其禁用）。

2.2.2编辑菜单

“编辑”栏的英文名为“Edit”，该菜单中包含了查找数据包、设置时间参考、标记数据包、设置配置文件、设置首选项等。需要注意的是，在“编辑”栏中，没有剪切、复制和粘贴等选项。编辑里最常用的就是首选项了，其他基本都是快捷方式，一看即明白，不再多介绍。如下图所示：

编辑菜单项说明：

菜单项	快捷键	描述
`Copy（复制）`		这些菜单项会将数据包列表，数据包详细信息或当前所选数据包的属性复制到剪贴板。
`Find Packet…（查找分组）`	`Ctrl`+`F`	该菜单项打开一个工具栏，可让您根据许多条件查找数据包。
`Find Next（查找下一个）`	`Ctrl`+`N`	该菜单项尝试查找与 “Find Packet…” 中的设置匹配的下一个数据包。
`Find Previous（查找上一个）`	`Ctrl`+`B`	此菜单项尝试查找与 “查找数据包…” 中的设置匹配的先前数据包。
`Mark/Unmark Packet（标记/取消标记分组）`	`Ctrl`+`M`	此菜单项标记当前选择的数据包。有关详细信息。
`Mark All Displayed Packets（标记所有显示组）`	`Ctrl`+`Shift`+`M`	此菜单项标记所有显示的数据包。
`Unmark All Displayed Packets（取消标记所有显示组）`	`Ctrl`+`Alt`+`M`	该菜单项取消标记所有显示的数据包。
`Next Mark（下一标记）`	`Ctrl`+`Shift`+`N`	查找下一个标记的数据包。
`Previous Mark（前一标记）`	`Ctrl`+`Shift`+`B`	查找先前标记的数据包。
`Ignore/Unignore Packet（忽略/取消忽略分组）`	`Ctrl`+`D`	此菜单项将当前选择的数据包标记为已忽略。有关详细信息。
`Ignore All Displayed（忽略所有显示分组）`	`Ctrl`+`Shift`+`D`	此菜单项将所有显示的数据包标记为已忽略。
`Unignore All Displayed（取消忽略所有显示分组）`	`Ctrl`+`Alt`+`B`	该菜单项取消标记所有忽略的数据包。
`Set/Unset Time Reference（设置/取消设置时间参考）`	`Ctrl`+`T`	该菜单项在当前选择的数据包上设置时间参考。有关时间参考数据包的更多信息。
`Unset All Time References（取消设置所有时间参考）`	`Ctrl`+`Alt`+`T`	该菜单项将删除数据包上的所有时间参考。
`Next Time Reference（下一时间参考）`	`Ctrl`+`Alt`+`N`	该菜单项尝试查找下一次参考数据包。
`Previous Time Reference（前一时间参考）`	`Ctrl`+`Alt`+`B`	该菜单项尝试查找上一个参考时间的数据包。
`Time Shift…（时间平移）`	`Ctrl`+`Shift`+`T`	打开 “时间转换” 对话框，您可以在其中调整某些或所有数据包的时间戳。
`Packet Comment…（分组注释）`	`Ctrl`+`Alt`+`C`	打开 “数据包注释” 对话框，您可以在其中添加注释到单个数据包。请注意，保存数据包注释的能力取决于您的文件格式。例如 pcapng 支持注释，而 pcap 不支持注释。
`Delete All Packet Comments（删除所有分组注释）`		这将从所有数据包中删除所有注释。请注意，保存捕获注释的能力取决于您的文件格式。例如 pcapng 支持注释，而 pcap 不支持注释。
`Configuration Profiles…（配置文件）`	`Ctrl`+`Shift`+`A`	该菜单项会弹出一个对话框，用于处理配置文件。
`Preferences…（首选项）`	`Ctrl`+`Shift`+`P` or `Cmd`+`，` （MacOS）	该菜单项会弹出一个对话框，允许您为控制 Wireshark 的许多参数设置首选项。您还可以保存您的首选项，以便 Wireshark 在下次启动时使用它们。

标记/取消标记：使用此选项或“Ctrl + M”标记/取消标记数据包，当您以后想要检查数据包时，它实际上会有所帮助。
数据包注释：您可以使用此选项向选定的数据包添加注释，或者使用快捷键“Ctrl + Alt+C”来执行相同操作。注释有助于与其他人合作，或者在我们以后处理工作时自己记住事情。
配置文件：它实际上是根据我们的要求自定义 Wireshark 的好工具，例如，我们可以通过添加新列或重新排列列来组织列。可以添加配置文件，也可以下载配置文件，然后将其导入 Wireshark。配置文件也可以从右下面板更改。
首选项：单击它时，将打开一个提示窗口，您可以在其中控制 GUI 的外观、设置捕获选项和其他高级功能，如添加 RSA 密钥、修改协议设置等。此子菜单也可用于自定义我们的配置文件。

协议配置，非常重要，wireshark实际就是分析协议的工具，协议的呈现分析有时需要做选项配置，这块是一个重点
外观，可以配置字体，颜色，布局等信息
过滤器，添加过滤器，过滤时直接点按钮即可

2.2.3视图菜单

“视图”栏的英文是“View”，该菜单主要用来控制捕获数据的显示方式。“视图”栏包括了数据包着色选项、缩放字体选项、在新窗口显示数据包选项、展开/折叠数据包细节选项等。此菜单处理主屏幕上工具的显示、要使用的时间格式、数据包着色选项、缩放选项等。主要是对显示的设置，用的最多的是时间格式设置，其他好多有快捷方式。

例如，您可以用 UTC 来显示时间，而不是以秒为单位显示时间。我们可以对数据包进行着色和脱色，甚至可以更改着色规则。如下图所示：

视图菜单项说明：

菜单项	快捷键	描述
`Main Toolbar`		此菜单项隐藏或显示主工具栏。
`Filter Toolbar`		该菜单项隐藏或显示了过滤器工具栏。
`Wireless Toolbar`		此菜单项隐藏或显示无线工具栏。在某些平台上可能不存在。
`Statusbar`		此菜单项隐藏或显示状态栏。
`Packet List`		该菜单项隐藏或显示 “数据包列表” 窗格。
`Packet Details`		此菜单项隐藏或显示 “数据包详细信息” 窗格。
`Packet Bytes`		该菜单项隐藏或显示 “数据包字节” 窗格。
`Time Display Format` → `Date and Time of Day: 1970-01-01 01:02:03.123456`		选择此项将通知 Wireshark 以日期和时间格式显示时间戳。字段 “时间”，“日期和时间”，“自捕获开始以来的第二秒”，“自先前捕获的分组以来的第二秒” 和 “自先前显示的分组以来的第二秒” 是互斥的。
`Time Display Format` → `Time of Day: 01:02:03.123456`		选择此项将通知 Wireshark 以一天中的时间格式显示时间戳。
`Time Display Format` → `Seconds Since Epoch (1970-01-01): 1234567890.123456`		选择此选项将指示 Wireshark 从 1970-01-01 00:00:00 起以秒为单位显示时间戳。
`Time Display Format` → `Seconds Since Beginning of Capture: 123.123456`		选择此项将指示 Wireshark 以秒为单位显示自捕获格式开始以来的时间戳。
`Time Display Format` → `Seconds Since Previous Captured Packet: 1.123456`		选择此项将指示 Wireshark 以秒为单位显示自先前捕获的数据包格式以来的时间戳。
`Time Display Format` → `Seconds Since Previous Displayed Packet: 1.123456`		选择此项将指示 Wireshark 以秒为单位显示自先前显示的数据包格式以来的时间戳。
`Time Display Format` → `Automatic (File Format Precision)`		选择此项将通知 Wireshark 以使用的捕获文件格式给定的精度显示时间戳。“自动”，“秒” 和 “… 秒” 字段是互斥的。
`Time Display Format` → `Seconds: 0`		选择此项将通知 Wireshark 以 1 秒的精度显示时间戳。
`Time Display Format` → `…seconds: 0…`		选择此项将通知 Wireshark 以 1 秒，十分之一秒，厘秒，毫秒，微秒或纳秒的精度显示时间戳。
`Time Display Format` → `Display Seconds with hours and minutes`		选择此项将使 Wireshark 以秒为单位显示时间戳，并带有小时和分钟。
`Name Resolution` → `Resolve Name`		此项允许您仅触发当前数据包的名称解析。
`Name Resolution` → `Enable for MAC Layer`		该项目使您可以控制 Wireshark 是否将 MAC 地址转换为名称。
`Name Resolution` → `Enable for Network Layer`		该项目使您可以控制 Wireshark 是否将网络地址转换为名称。
`Name Resolution` → `Enable for Transport Layer`		该项目使您可以控制 Wireshark 是否将传输地址转换为名称。
`Colorize Packet List`		此项目使您可以控制 Wireshark 是否应为数据包列表着色。启用彩色将在捕获或加载捕获文件时减慢新数据包的显示速度。
`Auto Scroll in Live Capture)`		此项允许您指定 Wireshark 在出现新数据包时应滚动数据包列表窗格，因此您始终在查看最后一个数据包。如果未指定，则 Wireshark 只会将新数据包添加到列表的末尾，而不滚动数据包列表窗格。
`Zoom In`	`Ctrl`+`+`	放大数据包数据（增大字体大小）。
`Zoom Out`	`Ctrl`+`-`	缩小数据包数据（减小字体大小）。
`Normal Size`	`Ctrl`+`=`	将缩放级别设置回 100％（将字体大小设置回正常）。
`Resize All Columns`	`Shift`+`Ctrl`+`R`	调整所有列宽的大小，以使内容适合其中。调整大小可能会花费大量时间，尤其是在加载大捕获文件的情况下。
`Displayed Columns`		该菜单项会折叠起来，其中包含所有已配置列的列表。现在可以在数据包列表中显示或隐藏这些列。
`Expand Subtrees`	`Shift`+`→`	此菜单项在数据包详细信息树中展开当前选定的子树。
`Collapse Subtrees`	`Shift`+`←`	此菜单项将在数据包详细信息树中折叠当前选定的子树。
`Expand All`	`Ctrl`+`→`	Wireshark 保留所有已展开协议子树的列表，并使用它来确保在显示数据包时已展开正确的子树。此菜单项将扩展捕获中所有数据包中的所有子树。
`Collapse All`	`Ctrl`+`←`	该菜单项折叠捕获列表中所有数据包的树状视图。
`Colorize Conversation`		该菜单项会弹出一个子菜单，可让您根据当前所选数据包的地址为数据包列表窗格中的数据包着色。这使得区分不同对话的分组变得容易。
`Colorize Conversation` → `Color 1-10`		这些菜单项基于当前选定的对话启用十个临时滤色器之一。
`Colorize Conversation` → `Reset coloring`		该菜单项清除所有临时着色规则。
`Colorize Conversation` → `New Coloring Rule…`		该菜单项打开一个对话框窗口，可在其中基于当前选定的对话创建新的永久着色规则。
`Coloring Rules…`		该菜单项会弹出一个对话框，允许您根据选择的过滤器表达式为数据包列表窗格中的数据包着色。这对于发现某些类型的数据包非常有用
`Internals`		有关各种内部数据结构的信息。有关更多信息。
`Show Packet in New Window`		在单独的窗口中显示选定的数据包。单独的窗口仅显示数据包详细信息和字节。有关详细信息。
`Reload`	`Ctrl`+`R`	此菜单项允许您重新加载当前的捕获文件。

2.2.4跳转菜单

“跳转”栏的英文是“Go”，该菜单主要用来跳转到指定数据包。很少用到，一般都是快捷方式。这实际上是一个数据包管理菜单。您可以使用它来遍历捕获数据包。“下一个数据包”和“上一个数据包”按钮可用于导航屏幕上的显示数据，当然，您可以简单地使用“Ctrl + 上/下”按钮或鼠标滚动来更轻松地进行遍历。如下图所示：

跳转菜单项说明：

菜单项	快捷键	描述
`scanf()` 背部	`scanf()`Alt 键 +`scanf()`←	跳转到数据包历史记录中最近访问的数据包，就像在 Web 浏览器中的页面历史记录一样。
`scanf()` 前锋	`scanf()`Alt 键 +`scanf()`→	跳到数据包历史记录中的下一个访问数据包，就像在 Web 浏览器中的页面历史记录一样。
`scanf()` 转到数据包…	`scanf()`Ctrl+`scanf()`G	调出一个窗口框架，使您可以指定数据包编号，然后转到该数据包。有关详细信息。
`scanf()` 转到相应的数据包		转到当前选定协议字段的相应数据包。如果所选字段不对应于数据包，则该项目为灰色。
`scanf()` 上一个数据包	`scanf()`Ctrl+`scanf()`↑	移至列表中的上一个数据包。即使数据包列表没有键盘焦点，也可以使用它移动到上一个数据包。
`scanf()` 下一个数据包	`scanf()`Ctrl+`scanf()`↓	移至列表中的下一个数据包。即使数据包列表没有键盘焦点，也可以使用它移动到上一个数据包。
`scanf()` 第一包	`scanf()`Ctrl+`scanf()`家	跳转到捕获文件的第一个数据包。
`scanf()` 最后一包	`scanf()`Ctrl+`scanf()`结束	跳转到捕获文件的最后一个数据包。
`scanf()` 会话中的上一个数据包	`scanf()`Ctrl+`scanf()`，	移至当前对话中的上一个数据包。即使数据包列表没有键盘焦点，也可以使用它移动到上一个数据包。
`scanf()` 会话中的下一个数据包	`scanf()`Ctrl+`scanf()`。	移至当前对话中的下一个数据包。即使数据包列表没有键盘焦点，也可以使用它移动到上一个数据包。

2.2.5 捕获菜单

“捕获”栏的英文是“Capture”，该菜单中包含了开始/停止捕获选项以及编辑包过滤条件选项等。使用它来控制 Capture 的开始和停止位置以及编辑和添加捕获过滤器。主要是对抓包的控制。如下图所示：

捕获菜单项说明：

菜单项	快捷键	描述
`Options…`	`Ctrl`+`K`	显示 “捕获选项” 对话框，该对话框允许您配置界面和捕获选项。
`Start`	`Ctrl`+`E`	立即开始使用与上次相同的设置捕获数据包。
`Stop`	`Ctrl`+`E`	停止当前正在运行的捕获。
`Restart`	`Ctrl`+`R`	停止当前运行的捕获，然后使用相同的选项重新启动。
`Capture Filters…`		显示一个对话框，允许您创建和编辑捕获过滤器。您可以命名过滤器并保存以备将来使用。
`Refresh Interfaces`	`F5`	清除并重新创建接口列表。

捕获选项

配置抓包接口，抓包过滤器，抓包输出分割文件条件，自动停止抓包条件等。

2.2.6分析菜单

“分析”栏的英文是“Analyze”，该菜单中包含了显示包过滤宏、启用协议、配置用户指定的解码方式以及追踪TCP流等选项。这是一个重要工具集，主要是包分析的工具,能大大提个wireshark的分析效率，需重点学习内容。在这里可以添加和编辑显示过滤器以及显示过滤器宏，将数据包解码为特定协议，遵循 TCP 或 UDP 流等，可以选择一个数据包，然后从数据包详细信息窗格中使用“分析”->“应用为”应用过滤器筛选'。如下图所示：

分析菜单项说明：

菜单项	快捷键	描述
`Display Filters…`		显示一个对话框，允许您创建和编辑显示过滤器。您可以命名过滤器，也可以将其保存以备将来使用。
`Display Filter Macros…`		显示一个对话框，允许您创建和编辑显示过滤器宏。您可以命名过滤器宏，也可以保存它们以备将来使用。
`Apply as Column`	`Shift`+`Ctrl`+`I`	将数据包详细信息窗格中的所选协议项作为一列添加到数据包列表中。
`Apply as Filter`		更改当前的显示过滤器并立即应用。根据所选菜单项的不同，当前的显示过滤器字符串将由 “数据包详细信息” 窗格中的选定协议字段替换或附加。
`Prepare a Filter`		更改当前的显示过滤器，但不会应用它。根据所选菜单项的不同，当前的显示过滤器字符串将由 “数据包详细信息” 窗格中的选定协议字段替换或附加。
`Conversation Filter`		为各种协议应用对话过滤器。
`Enabled Protocols…`	`Shift`+`Ctrl`+`E`	启用或禁用各种协议解剖器。
`Decode As…`		将某些数据包解码为特定协议。
`Follow` →`TCP Stream`		打开一个窗口，显示与所选数据包处于同一 TCP 连接上的所有捕获的 TCP 段。
`Follow` → `UDP Stream`		与 “跟随 TCP 流” 相同的功能，但与 UDP “流” 相同。
`Follow` → `TLS Stream`		与 “跟随 TCP 流” 相同的功能，但适用于 TLS 或 SSL 流。有关提供 TLS 密钥的说明，请参阅 TLS 上的 Wiki 页面。
`Follow` → `HTTP Stream`		与 “跟随 TCP 流” 相同的功能，但适用于 HTTP 流。
`Expert Info`		打开一个窗口，显示在捕获中找到的专家信息。某些协议解剖器会为显着或异常行为（例如，无效的校验和或重新传输）添加数据包详细信息。这些项目显示在这里。有关更多信息。信息量将取决于协议

作为过滤条件，将包里字段内容作为直接过滤条件，点击可以选择和已有过滤条件关系（布尔运算关系），然后立即会进行过滤。

准备作为过滤条件，功能与上面基本相同，只是不会立即进行过滤，只是准备过滤语法，后面点击执行过滤才会执行
解码为，将包配置用什么协议进行解析
追踪流，鼠标放到的包上，可以进行对应流追踪过滤
专家信息，分析整个包的信息，可以看里面有没异常信息

2.2.7统计菜单

“统计”栏的英文是“Statistics”，可以显示各种统计窗口，这些统计窗口包括捕获文件的属性选项、协议分级选项以及显示流量图选项等。对信令可以做各种统计，属于重点要学习的工具集，里面工具都非常实用，后续再展开分享。它就像一个报告工具。我们可以统计地分解整个数据包捕获，例如，我们可以查看捕获的哪一部分是 IPv6 或 UDP。因此，这将显示各种统计信息，例如捕获文件的属性、流程图、协议层次结构、IPv4 和 IPv6 统计信息等。如下图所示：

统计菜单项说明：

菜单项	快捷键	描述
`Capture File Properties`		显示有关捕获文件的信息。
`Resolved Addresses`
`Protocol Hierarchy`		显示协议统计信息的层次结构树。
`Conversations`		显示对话列表（两个端点之间的流量）。
`Endpoints`		显示端点列表（往返于地址的流量）。
`Packet Lengths`		封包长度
`I/O Graphs`		显示用户指定的图形（例如，一段时间内的数据包数量）。
`Service Response Time` 服务响应时间		显示请求和相应响应之间的时间，。
`DHCP (BOOTP)`
`ONC-RPC Programs`
`29West`
`ANCP`
`BACnet`
`Collectd`
`DNS`
`Flow Graph`
`HART-IP`
`HPFEEDS`
`HTTP`		HTTP 请求 / 响应统计信息
`HTTP2`
`Sametime`
`TCP Stream Graphs`
`UDP Multicast Streams`
`F5`
`IPv4 Statistics`
`IPv6 Statistics`

2.2.8电话菜单

“电话”栏的英文是“Telephony”，可以显示与电话相关的统计窗口，这些统计窗口包括媒介分析、VoIP通话统计选项以及SIP流统计选项等。在这里，您将找到显示几个与电话相关的统计窗口的选项，如流程图、显示协议层次统计等。如下图所示：

2.2.9无线菜单

“无线”栏的英文是“Wireless”，该栏用来显示蓝牙和无线网络的统计数据。这处理与蓝牙和 IEEE 802.11 标准相关的统计数据的显示。如下图所示：

2.2.10工具菜单

“工具”栏的英文是“Tools”，该栏中包含了Wireshark中能够使用的工具。它包含几个 Wireshark 的工具，例如创建防火墙 ACL 规则。如下图所示：

工具菜单项说明：

菜单项	加速器	描述
`Firewall ACL Rules`		这使您可以为许多不同的防火墙产品创建命令行 ACL 规则，包括 Cisco IOS，Linux Netfilter（iptables），OpenBSD pf 和 Windows 防火墙（通过 netsh）。支持 MAC 地址，IPv4 地址，TCP 和 UDP 端口以及 IPv4 + 端口组合的规则。假定规则将应用于外部接口。
`Lua`		这些选项使您可以选择使用 Lua 解释器来构建 Wireshark。
`Credentials`		这使您可以从当前捕获文件中提取凭证。已经对某些解剖器进行了工具化，以为模块提供用户名和密码，并且将来还会对更多的解剖器进行工具化。窗口对话框为您提供找到凭证的数据包编号，提供凭证的协议，用户名和密码。

2.2.11帮助菜单

“帮助”栏的英文是“Help”，该栏用于为用户提供一些基本的帮助，包括了说明文档选项、网页在线帮助选项以及常见问题选项等。它基本上提供了与帮助相关的方面，如帮助内容的链接、手册页、常见问题解答、Wireshark 的 Wiki 以及指向示例捕获的链接等。这里可以查看wireshark版本和帮助文档信息，也可以在这里最wireshark版本进行升级。如下图所示：

帮助菜单项说明：

菜单项	加速器	描述
`Contents`	`F1`	该菜单项调出基本的帮助系统。
`Manual Pages` → `…`		该菜单项启动 Web 浏览器，显示本地安装的 html 手册页之一。
`Website`		该菜单项启动一个 Web 浏览器，该 Web 浏览器显示来自 https://www.wireshark.org/ 的网页。
`FAQs`		此菜单项启动显示各种常见问题的 Web 浏览器。
`Downloads`		该菜单项启动一个 Web 浏览器，显示从以下位置进行的下载：https : //www.wireshark.org/download.html。
`Wiki`		此菜单项启动 Web 浏览器，该 Web 浏览器显示来自 https://wiki.wireshark.org/ 的首页。
`Sample Captures`		该菜单项将启动一个 Web 浏览器，其中显示了以下示例的示例捕获：https : //wiki.wireshark.org/SampleCaptures。
`About Wireshark`		该菜单项打开一个信息窗口，该窗口提供有关 Wireshark 的各种详细信息，例如其构建方式，加载的插件，使用的文件夹等。

2.3主菜单工具栏

主菜单工具栏提供从菜单快速访问常用项目的功能。该工具栏不能由用户自定义，但是如果需要屏幕上的空间来显示更多数据包数据，则可以使用 “查看” 菜单将其隐藏。

主菜单工具栏：简单来说，Toolbar 实际上是一组最常用的主菜单项的快捷方式。熟悉 Wireshark 后，您会很快记住哪个图标用于什么用途。工具栏中的项目被启用前或禁用显示为灰色，类似于其相应的菜单项。例如，下图中显示了打开文件后的主窗口工具栏，启用了各种与文件相关的按钮，但是由于未进行捕获，因此禁用了 “停止捕获” 按钮。如下图所示：

工具栏项	菜单项	描述
`Start`	`Capture` → `Start`	使用与上次捕获相同的选项开始捕获数据包，如果未设置默认选项，则使用默认选项开始捕获数据包（5.1.2 开始捕捉）。
`Stop`	`Capture` → `Stop`	停止当前正在运行的捕获（5.1.2 开始捕捉）。
`Restart`	`Capture` → `Restart`	重新启动当前捕获会话。
`Options…`	`Capture` → `Options…`	打开 “捕获选项” 对话框。有关详细信息，请参见 5.1.2 开始捕捉。
`Open…`	`File` → `Open…`	打开文件打开对话框，使用该对话框可以加载捕获文件以进行查看。在 5.2.1.1 “打开捕获文件” 对话框中将对其进行详细讨论。
`Save As…`	`File` → `Save As…`	将当前捕获文件保存到所需的任何文件中。有关详细信息，请参见 5.2.2.1 “将捕获文件另存为” 对话框。如果您当前有一个临时捕获文件，则将显示 “保存” 图标。
`Close`	`File` → `Close`	关闭当前捕获。如果尚未保存捕获，将要求您先保存。
`Reload`	`View` → `Reload`	重新加载当前的捕获文件。
`Find Packet…`	`Edit` → `Find Packet…`	根据不同的条件查找数据包。有关详细信息，请参见 5.3.8 查找数据包。
`Go Back`	`Go` → `Go Back`	跳回数据包历史记录。按住 Alt 键键（选项在 macOS 上）返回到选择历史记录。
`Go Forward`	`Go` → `Go Forward`	在数据包历史记录中向前跳转。按住 Alt 键键（选项在 macOS 上）以继续进行选择历史记录。
`Go to Packet…`	`Go` → `Go to Packet…`	转到特定的数据包。
`Go To First Packet`	`Go` → `Go To First Packet`	跳转到捕获文件的第一个数据包。
`Go To Last Packet`	`Go` → `Go To Last Packet`	跳转到捕获文件的最后一个数据包。
`Auto Scroll in Live Capture`	`View` → `Auto Scroll in Live Capture`	在进行实时捕获时自动滚动数据包列表（或不捕获）。
`Colorize`	`View` → `Colorize`	着色数据包列表（或不着色）。
`Zoom In`	`View` → `Zoom In`	放大数据包数据（增大字体大小）。
`Zoom Out`	`View` → `Zoom Out`	缩小数据包数据（减小字体大小）。
`Normal Size`	`View` → `Normal Size`	将缩放级别设置回 100％。
`Resize Columns`	`View` → `Resize Columns`	调整列的大小，使内容适合它们。

2.4过滤工具

过滤工具：有两个过滤器工具栏：显示过滤器和捕获过滤器。两者之间有区别，但是两者都用于简化您的数据包搜索。如下图所示：

1.显示过滤，在这里输入过滤表达式，对已经抓到的包进行过滤，如果不输入表达式，所有抓取的包都会显示在这里。

2.捕获过滤，这里输入过滤表达式，可以只抓取特定的包，如果没有表达式，所有监听到的包都抓到下来。

工具栏图标	名称	描述
	Bookmarks	管理或选择保存的过滤器。
	Filter Input	输入或编辑显示过滤器字符串的区域。键入时对过滤器字符串进行语法检查。如果输入不完整或无效的字符串，背景将变为红色，而输入有效的字符串时，背景将变为绿色。在该字段中进行了某些更改之后，请不要忘记按 Apply（应用）按钮（或 Enter / Return 键），以将此过滤字符串应用于显示。此字段也是显示当前应用的过滤器的位置。
	Clear	重置当前的显示过滤器并清除编辑区域。
	Apply	在编辑区域中应用当前值作为新的显示过滤器。在大型捕获文件上应用显示过滤器可能会花费很长时间。
	Recent	从最近应用的过滤器列表中选择。
	Add Button	添加一个新的过滤器表达式按钮。

2.5接口列表

接口列表：Wireshark 的起始页列出了设备上所有可用的接口以供捕获，如果您在此处没有看到您的界面，请转到“捕获 > 刷新界面”或按“F5”键刷新界面列表。您还可以管理起始页上的界面列表。为此，请选择捕获过滤器搜索框右侧的下拉菜单。如下图所示：

当前电脑上的网卡及其流量状态。

我们可以通过选中要捕获数据的网卡，填写过滤规则，按快捷键“Ctrl + E”，开始捕获。如果不需要填写捕获过滤规则，直接双击要捕获数据的网卡就可以了。

2.6状态工具栏

状态工具栏则显示软件当前状态与已捕获&显示的分组数量。状态栏显示参考消息。如下图所示：

通常，左侧将显示与上下文相关的信息，中间部分将显示有关当前捕获文件的信息，而右侧将显示所选的配置文件。在文本区域之间拖动手柄以更改大小。

初始状态栏，如下图所示：

未加载捕获文件时（例如，启动 Wireshark 时），将显示此状态栏。

状态栏带有已加载的捕获文件，如下图所示：

The colorized bullet…

左侧显示在当前加载的捕获文件中找到的最高专家信息级别。将鼠标悬停在此图标上将显示专家信息级别的描述，单击该图标将弹出专家信息对话框。有关此对话框和每个专家级别的详细说明，请参见 6.1.3 专家资讯。

The edit icon…

使用左侧的 “ 捕获文件属性” 对话框，可以向捕获文件添加注释。

The left side…

默认情况下显示捕获文件名。当将鼠标悬停并在数据包详细信息和数据包字节窗格中选择项目时，它还会显示字段信息，以及常规通知。

The middle…

显示捕获文件中的当前数据包数量。显示以下值：

Packets

捕获的数据包数。

Displayed

当前显示的包数。

Marked

标记的数据包数。仅当您标记了任何数据包时才显示。

Dropped

丢弃的数据包数量仅在 Wireshark 无法捕获所有数据包时显示。

Ignored

忽略的数据包数仅在您忽略任何数据包时才显示。

The right side…

显示所选的配置文件。单击状态栏的此部分将弹出一个菜单，其中包含所有可用的配置文件，从该列表中进行选择将更改配置文件。

带配置配置文件菜单的状态栏

有关配置文件的详细说明。

具有选定协议字段的状态栏

如果您在 “数据包详细信息” 窗格中选择了协议字段，则会显示此信息。

TIP
括号之间的值（在此示例中为 “ipv6.src”）是所选项目的显示过滤器字段。通过选择不同的数据包详细信息项，您可以更加熟悉显示过滤器字段。
带显示过滤器消息的状态栏

如果您尝试使用可能会导致意外结果的显示过滤器，则会显示该信息。

3.小结

好了，到此宏哥就将WireShark常用界面功能的基本上全都讲解和分享完了，今天时间也不早了，就到这里！感谢您耐心的阅读~~

每天学习一点，今后必成大神-

往期推荐（由于跳转参数丢失了，所有建议选中要访问的右键，在新标签页中打开链接即可访问）或者微信搜索: 北京宏哥公众号提前解锁更多干货。

Appium自动化系列，耗时80天打造的从搭建环境到实际应用精品教程测试

Python接口自动化测试教程，熬夜87天整理出这一份上万字的超全学习指南

Python+Selenium自动化系列，通宵700天从无到有搭建一个自动化测试框架

Java+Selenium自动化系列，仿照Python趁热打铁呕心沥血317天搭建价值好几K的自动化测试框架

Jmeter工具从基础->进阶->高级，费时2年多整理出这一份全网超详细的入门到精通教程

Fiddler工具从基础->进阶->高级，费时100多天吐血整理出这一份全网超详细的入门到精通教程

Pycharm工具基础使用教程