Wiresharkpcapnetworklibrary來(lái)進(jìn)展封包捕獲。QQ、郵箱、msn、賬號(hào)等的密碼！2023Ethereal的主要開(kāi)發(fā)者打算離開(kāi)他原來(lái)供職的公司，并連續(xù)開(kāi)發(fā)這個(gè)軟件。但由于Ethereal這個(gè)名稱的使用權(quán)已經(jīng)被原來(lái)那個(gè)公司注冊(cè)，這個(gè)名字也就應(yīng)運(yùn)而生了。之后，我們就可以進(jìn)入下一步，更進(jìn)一步了解這個(gè)強(qiáng)大的工具。的計(jì)算機(jī)正在訪問(wèn)“openmaniak”網(wǎng)站時(shí)的截圖。MENUS〔菜單〕SHORTCUTS〔快捷方式〕顯示過(guò)濾器〕PACKETLISTPANE〔封包列表)1MENUS〔菜單〕PACKETDETAILSPANE〔封包具體信息〕DISSECTORPANE〔16進(jìn)制數(shù)據(jù)〕MISCELLANOUS〔雜項(xiàng)〕Wireshark進(jìn)展配置：“File“〔文件〕“Edit“〔編輯〕〕“Go“〔轉(zhuǎn)到〕捕獲〕分析〕

翻開(kāi)或保存捕獲的信息。的視圖。跳轉(zhuǎn)到捕獲的數(shù)據(jù)。設(shè)置分析選項(xiàng)。的統(tǒng)計(jì)信息。“Help“〔幫助〕

查看本地或者在線支持。SHORTCUTS〔快捷方式〕在菜單下面，是一些常用的快捷按鈕。您可以將鼠標(biāo)指針移動(dòng)到某個(gè)圖標(biāo)上以獲得其功能說(shuō)明。DISPLAYFILTER〔顯示過(guò)濾器〕顯示過(guò)濾器用于查找捕獲記錄中的內(nèi)容。Wireshark過(guò)濾器中的具體內(nèi)容。返回頁(yè)面頂部PACKETLISTPANE〔封包列表〕MAC/IP地址，TCP/UDP端口號(hào)，協(xié)議或者封包的內(nèi)容。Source〔來(lái)源〕Destination〔目的地〕列中看到的將Port〔端口〕列將會(huì)為空。Source〔來(lái)源〕Destination〔目的地〕列地址。Port〔端口〕4或者更高層時(shí)才會(huì)顯示。您可以在這里添加/刪除列或者轉(zhuǎn)變各列的顏色：Editmenu->PreferencesPACKETDETAILSPANE〔封包具體信息〕這里顯示的是在封包列表中被選中工程的具體信息。layer信息。進(jìn)制數(shù)據(jù)〕中也被叫做“16進(jìn)制數(shù)據(jù)查看面板”。這里顯示的內(nèi)容與“封包具體信息”中一樣，16進(jìn)制的格式表述。在上面的例子里，我們?cè)诜獍唧w信息P端口〔06進(jìn)制數(shù)據(jù)將自動(dòng)顯示在下面的面板中〔0。MISCELLANOUS〔雜項(xiàng)〕在程序的最下端，您可以獲得如下信息：-正在進(jìn)展捕獲的網(wǎng)絡(luò)設(shè)備。捕獲是否已經(jīng)開(kāi)頭或已經(jīng)停頓。捕獲結(jié)果的保存位置。已捕獲的數(shù)據(jù)量。(P)顯示的封包數(shù)量。(D)(經(jīng)過(guò)顯示過(guò)濾器過(guò)濾后仍舊顯示的封包)(M)Wireshark并開(kāi)頭分析網(wǎng)絡(luò)是格外簡(jiǎn)潔的。要的局部。過(guò)猶不及。這就是為什么過(guò)濾器會(huì)如此重要。它們可以幫助我們?cè)邶嬰s的結(jié)果中快速找到我們需要的信息。捕獲過(guò)濾器：用于打算將什么樣的信息記錄在捕獲結(jié)果中。需要在開(kāi)頭捕獲前設(shè)置。那么我應(yīng)當(dāng)使用哪一種過(guò)濾器呢？?jī)煞N過(guò)濾器的目的是不同的。捕獲過(guò)濾器是數(shù)據(jù)經(jīng)過(guò)的第一層過(guò)濾器，它用于掌握捕獲數(shù)據(jù)的數(shù)量，以避開(kāi)產(chǎn)生過(guò)大的日志文件。〔簡(jiǎn)單〕的過(guò)濾器。它允許您在日志文件中快速準(zhǔn)確地找到所需要的記錄。兩種過(guò)濾器使用的語(yǔ)法是完全不同的。我們將在接下來(lái)的幾頁(yè)中對(duì)它們進(jìn)展介紹：2.顯示過(guò)濾器捕獲過(guò)濾器Winpcap〔Windows〕庫(kù)開(kāi)發(fā)的軟件一樣，比方著名設(shè)置捕獲過(guò)濾器的步驟是：captureoptions。填寫“capturefilter“欄或者點(diǎn)擊“capturefilter“按鈕為您的過(guò)濾器起一個(gè)名字并保存，以便在今后的捕獲中連續(xù)使用這個(gè)過(guò)濾器。〔Start〕進(jìn)展捕獲。語(yǔ)ProtoDirectiHost(ValLogicalOther法：colons)ueOperationsexpression_r例tcp dst子：

80 and

tcpdst3128Protocol〔協(xié)議〕:可能的值etherfddiiparprarpdecnetlatscamoprcmopdltcpandudp.假設(shè)沒(méi)有特別指明是什么協(xié)議，則默認(rèn)使用全部支持的協(xié)議。Direction〔方向〕:可能的值srcdstsrcanddstsrcordst“srcordst“作為關(guān)鍵字。例如，“host“與“srcordsthost“是一樣的。Host(s):netporthostportrange.“host“關(guān)鍵字。例如，“src“與“srchost“一樣。LogicalOperations〔規(guī)律運(yùn)算〕:notandor.具有最高的優(yōu)先級(jí)?；?“or“)和與(“and“)具有一樣的優(yōu)先級(jí)，運(yùn)算時(shí)從左至右進(jìn)展。例如，“nottcpport3128andtcpport23“與“(nottcpport3128andtcpport23“一樣?！皀ottcpport3128andtcpport23“與“not(tcpport3128andtcpport23)“不同。例子：tcp dst 3128TCP端口為3128的封包。ipsrchost地址為的封包。hostIP地址為的封包。srcportrange2023-25002023至2500范圍內(nèi)的封包。notimcp〔icmpping工具使用〕srchost2andnotdstnet/16/16的封包。(srchost2orsrcnet/16)andtcpdstportrange200-10000anddstnet/8或者為/16TCP端口號(hào)在200至10000之間，并且目的位于網(wǎng)絡(luò)/8內(nèi)的全部封包。留意事項(xiàng)：“\”?！癳therproto\ip與關(guān)鍵字“ip“一樣).IP協(xié)議作為目標(biāo)?！癷pproto\icmp與關(guān)鍵字“icmp“一樣).icmp作為目標(biāo)。或“ether“后面使用“multicast“及“broadcast“關(guān)鍵字。當(dāng)您想排解播送懇求時(shí)，“nobroadcast“就會(huì)格外有用。的主頁(yè)以獲得更具體的捕獲過(guò)濾器語(yǔ)法說(shuō)明。上可以找到更多捕獲過(guò)濾器的例子。顯示過(guò)濾器：它的功能比捕獲過(guò)濾器更為強(qiáng)大，而且在您想修改正濾器條件時(shí)，并不需要重捕獲一次。ProtocolString1ProtocolString1String2ComparisonoperatorValueLogicalOperationsOther. .法：例ftp子：

passive

ip ==

xor icmp.typeProtocol〔協(xié)議〕:層的協(xié)議。點(diǎn)擊“Expression...“按鈕后，您可以看到它們。比方：IP，TCP，DNS，SSH您同樣可以在如下所示位置找到所支持的協(xié)議：String1String2(可選項(xiàng)):協(xié)議的子類。“+“號(hào)，然后選擇其子類。Comparisonoperators〔比較運(yùn)算符〕:可以使用6種比較運(yùn)算符：英文寫法：C語(yǔ)言寫法：含義：eq==等于ne!=不等于gt>大于lt<小于ge >=le <=

大于等于小于等于Logicalexpression_rs〔規(guī)律運(yùn)算符〕:英文寫法：C語(yǔ)言寫法：含義：andor

&& 規(guī)律與|| 規(guī)律或xornot

規(guī)律異^^或! 規(guī)律非的一個(gè)條件滿足時(shí)，這樣的結(jié)果才會(huì)被顯示在屏幕上。讓我們舉個(gè)例子：“tcp.dstport80xortcp.dstport1025“例子：snmp || dns || ICMP封icmp 包。ip.addr==IP地址為的封包。ip.src!=orip.dst!=顯示來(lái)源不為或者目的不為的封包。換句話說(shuō)，顯示的封包將會(huì)為：IP：任意以及IP：除了以外任意ip.src!=andip.dst!=IP不為