Wireshark菜单及过滤规则

Wireshark菜单说明Wireshark官方下载地址：菜单栏1、File菜单介绍File——包括打开、合并捕捉文件，save/保存,Print/打印,Export/导出捕捉文件的全部或部分。以及退出Wireshark项.菜单项快捷键描述Open…Ctr+O显示打开文件对话框，让您載入捕捉文件用以浏览。OpenRecent弹出一个子菜单显示最近打开过的文件供选择。Merg显示合并捕捉文件的对话框。让您选择一个文件和当前打开的文件合并。CloseCtrl+W关闭当前捕捉文件，如果您未保存，系统将提示您是否保存（如果您预设了禁止提示保存，将不会提示）SaveCrl+S保存当前捕捉文件，如果您没有设置默认的保存文件名，Wireshark出现提示您保存文件的对话框。SaveAsShift+Ctrl+S让您将当前文件保存为另外一个文件面，将会出现一个另存为的对话框FileSetListFiles允许您显示文件集合的列表。将会弹出一个对话框显示已打开文件的列表。FileSetNextFile如果当前載入文件是文件集合的一部分，将会跳转到下一个文件。如果不是，将会跳转到最后一个文件。这个文件选项将会是灰色。FilesetPreviousFiles如果当前文件是文件集合的一部分，将会调到它所在位置的前一个文件。如果不是则跳到文件集合的第一个文件，同时变成灰色。Exportas“PlainText”File…这个菜单允许您将捕捉文件中所有的或者部分的包导出为plainASCIItext格式。它将会弹出一个Wireshark导出对话框。Exportas“PostScript”Files将捕捉文件的全部或部分导出为PostScrit文件。Exportas“CVS”(Comma导出文件全部或部分摘要为.cvs格式菜单项快捷键描述SeparatedValuesPacketSummary)File…（可用在电子表格中）。。Exportas“PSML”File…导出文件的全部或部分为PSML格式（包摘要标记语言）XML文件。将会弹出导出文件对话框。Exportas“PDML”File…导出文件的全部或部分为PDML(包摘要标记语言)格式的XML文件。ExportSelectedPacketBytes…导出当前在Packetbyte面版选择的字节为二进制文件。PrintCtr+P打印捕捉包的全部或部分，将会弹出打印对话框。QuitCtrl+Q退出Wireshark,如果未保存文件，Wireshark会提示是否保存。2、Edit菜单项Edit——包括如下项目：查找包，时间参考，标记一个多个包，设置预设参数。（剪切，拷贝，粘贴不能立即执行。）菜单项快捷键描述CopyAsFilterShift+Ctrl+C使用详情面版选择的数据作为显示过滤。显示过滤将会拷贝到剪贴板。FindPacket…Ctr+F打开一个对话框用来通过限制来查找包FindNextCtrl+N在使用Findpacket以后，使用该菜单会查找匹配规则的下一个包FindPreviousCtr+B查找匹配规则的前一个包。MarkPacket(toggle)Ctrl+M标记当前选择的包。FindNextMarkShift+Ctrl+N查找下一个被标记的包FindPreviousMarkCtrl+Shift+B查找前一个被标记的包MarkALLPackets标记所有包UnmarkAllPacket取消所有标记SetTimeReference(toggle)Ctrl+T以当前包时间作为参考FindNextReference找到下一个时间参考包FindPreviousRefrence…找到前一个时间参考包Preferences…Shift+Ctrl+P打开首选项对话框，个性化设置Wireshark的各项参数，设置后的参数将会在每次打开时发挥作用。3、“View”菜单项View——控制捕捉数据的显示方式，包括颜色，字体缩放，将包显示在分离的窗口，展开或收缩详情面版的地树状节点菜单项快捷键描述MainToolbar显示隐藏Maintoolbar(主工具栏)FilterToolbar显示或隐藏FilterToolbar(过滤工具栏)Statusbar显示或隐藏状态栏PacketList显示或隐藏PacketListpane(包列表面板)PacketDetails显示或隐藏Packetdetailspane(包详情面板)PacketBytes显示或隐藏packetBytespane(包字节面板)TimeDisplayFromatDateandTimeofDay:1970-01-0101:02:03.123456选择这里告诉Wireshark将时间戳设置为绝对日期-时间格式(年月日，时分秒)TimeDisplayFormatTimeofDay:01:02:03.123456将时间设置为绝对时间-日期格式(时分秒格式)TimeDisplayFormatSecondsSinceBeginningofCapture:123.123456将时间戳设置为秒格式，从捕捉开始计时，见TimeDisplayFormatSecondsSincePreviousCapturedPacket:1.123456将时间戳设置为秒格式，从上次捕捉开始计时TimeDisplayFormatSecondsSincePreviousDisplayedPacket:1.123456将时间戳设置为秒格式，从上次显示的包开始计时TimeDisplayFormat——TimeDisplayFormatAutomatic(FileFormatPrecision)根据指定的精度选择数据包中时间戳的显示方式TimeDisplayFormatSeconds:0设置精度为1秒TimeDisplayFormat…seconds:0….设置精度为1秒，0.1秒，0.01秒，百万分之一秒等等。NameResolutionResolveName仅对当前选定包进行解析NameResolutionEnableforMACLayer是否解析Mac地址NameResolutionEnableforNetworkLayer是否解析网络层地址(ip地址)NameResolutionEnableforTransportLayer是否解析传输层地址ColorizePacketList是否以彩色显示包AutoScroollinLiveCapture控制在实时捕捉时是否自动滚屏，如果选择菜单项快捷键描述了该项，在有新数据进入时，面板会项上滚动。您始终能看到最后的数据。反之，您无法看到满屏以后的数据，除非您手动滚屏ZoomInCtrl++增大字体ZoomOutCtrl+-缩小字体NormalSizeCtrl+=恢复正常大小ResizAllColumnus恢复所有列宽注意除非数据包非常大，一般会立刻更改ExpendSubtrees展开子分支ExpandAll看开所有分支，该选项会展开您选择的包的所有分支。CollapseAll收缩所有包的所有分支ColoringRulues…打开一个对话框，让您可以通过过滤表达来用不同的颜色显示包。这项功能对定位特定类型的包非常有用ShowPacketinNewWindow在新窗口显示当前包，(新窗口仅包含View,ByteView两个面板)ReloadCtrl+R重新再如当前捕捉文件4、“GO”菜单项GO——包含到指定包的功能。菜单项快捷键描述BackAlt+Left跳到最近浏览的包，类似于浏览器中的页面历史纪录ForWardAlt+Right跳到下一个最近浏览的包，跟浏览器类似GotoPacketCtrl+G打开一个对话框，输入指定的包序号，然后跳转到对应的包。GotoCorrespondingPacket跳转到当前包的应答包，如果不存在，该选项为灰色PreviousPacketCtrl+UP移动到包列表中的前一个包，即使包列表面板不是当前焦点，也是可用的NextPacketCtrl+Down移动到包列表中的后一个包，同上FirstPacket移动到列表中的第一个包LastPacket移动到列表中的最后一个包5、Capture——捕捉数据包“Capture”菜单项菜单项快捷键说明Interface…在弹出对话框选择您要进行捕捉的网络接口Options…Ctrl+K打开设置捕捉选项的对话框并可以在此开始捕捉Start立即开始捕捉，设置都是参照最后一次设置。StopCtrl+E停止正在进行的捕捉Restart正在进行捕捉时，停止捕捉，并按同样的设置重新开始捕捉.仅在您认为有必要时CaptureFilters…打开对话框，编辑捕捉过滤设置，可以命名过滤器，保存为其他捕捉时使用Analyze——包含处理显示过滤，允许或禁止分析协议，配置用户指定解码和追踪TCP流等功能“analyze”菜单项菜单项快捷键说明DisplayFilters…打开过滤器对话框编辑过滤设置，可以命名过滤设置，保存为其他地方使用，见第6.6节“定义，保存过滤器”ApplyasFilter…更改当前过滤显示并立即应用。根据选择的项，当前显示字段会被替换成选择在Detail面板的协议字段PrepareaFilter…更改当前显示过滤设置，当不会立即应用。同样根据当前选择项，过滤字符会被替换成Detail面板选择的协议字段FirewallACLRules为多种不同的防火墙创建命令行ACL规则(访问控制列表),支持CiscoIOS,LinuxNetfilter(iptables),OpenBSDpfandWindowsFirewall(vianetsh).RulesforMACaddresses,IPv4addresses,TCPandUDPports,以及IPv4+混合端口以上假定规则用于外部接口EnableProtocols…Shift+Ctrl+R是否允许协议分析，见第9.4.1节“”EnableProtocols”对话框”Statistics——包括的菜单项用户显示多个统计窗口，包括关于捕捉包的摘要，协议层次统计等等。菜单项快捷键描述Summary显示捕捉数据摘要ProtocolHierarchy显示协议统计分层信息Conversations/显示会话列表(两个终端之间的通信)EndPoints显示端点列表(通信发起，结束地址)菜单项快捷键描述IOGraphs显示用户指定图表，(如包数量-时间表)ConversationList通过一个组合窗口，显示会话列表EndpointList通过一个组合窗口显示终端列表ServiceResponseTime显示一个请求及其相应之间的间隔时间Help——包含一些辅助用户的参考内容。如访问一些基本的帮助文件，支持的协议列表，用户手册。在线访问一些网站，“关于”菜单项快捷键描述Open…Ctr+O显示打开文件对话框，让您載入捕捉文件用以浏览。OpenRecent弹出一个子菜单显示最近打开过的文件供选择。过滤器的区别捕捉过滤器（CaptureFilters）：用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。显示过滤器（DisplayFilters）：在捕捉结果中进行详细查找。可以在得到捕捉结果后随意修改。两种过滤器的目的是不同的。捕捉过滤器是数据经过的第一层过滤器，它用于控制捕捉数据的数量，以避免产生过大的日志文件。显示过滤器是一种更为强大（复杂）的过滤器。它允许您在日志文件中迅速准确地找到所需要的记录。两种过滤器使用的语法是完全不同的。捕捉过滤器Protocol（协议）:可能的值:ether,fddi,ip,arp,rarp,decnet,lat,sca,moprc,mopdl,tcpandudp.如果没有特别指明是什么协议，则默认使用所有支持的协议。Direction（方向）:可能的值:src,dst,srca