当用户面向大量需要处理的数据时,可以通过使用显示过滤器快速的过滤自己需要的数据。
wireshark面板wireshark有三个面板:
packet list面板packet details面板packet bytes面板这三个面板之间是相互关联的:
如果希望在packet details面板中查看一个单独的数据包的具体内容,必须在packet list面板中单机选中那个数据包选中该数据包之后,才可以通过在packet deatils面板中选择数据宝的某个字段进行分析,从而在packet bytes面板中查看相应字段的字节信息 packet list面板 具体信息packet list面板:以表格的形式显示了当前捕获文件中的所有数据报,从下面可以看出,一共有7列:
No(Number列):包的编号 默认wireshark是按照数据包编号从低到高排序该编号不会发生改变,即使使用了过滤也同样如此 Time列:包的时间戳。时间格式可以自己设置Source列和Destination列:包的源地址和目的地址Protocol列:包的协议类型Length列:包的长度Info列:包的附加信息 操作 对列进行操作列排序
默认wireshark是按照数据包编号(No)从低到高排序
如果想要按照其他的排序,比如protocol列标题,单击protocol就可以:
从上面可以看出No类的编号发生了改变,协议列开始都为HTTP
移动列位置
比如将protocol列移动到time列后面:鼠标选择protocol列,然后拖动到time后面。效果如下图:
隐藏、显示、重命名、删除列
对数据进行操作右键单击选中任何一个数据包,就可以通过选项对数据包进行各种操作了
packet details面板packet details面板:分层的显示了一个数据包中的内容,并且可以通过展开或者收缩来显示这个数据包中所捕获的全部内容
默认数据详细信息都是合并的,如果要查看,可以单击每行前面的箭头: 或者选中一列,通过选项展开所有会话或者单个会话:
packet bytes面板packet bytes面板:
显示了一个数据包未经处理的原始样子,也就是它在链路上传播时的样子。在该面板中的数据是以16进制和ASCII格式显示了帧的内容当在packet details面板中选择任意一个字段后,在packet bytes面板中包含该字段的字节也高亮显示。 如果不想看到packet bytes面板的话,可以在菜单栏中选择 【视图—》分组字节流】命令将其关闭。如果要查看,可以通过同样的方法打开 状态信息状态栏由两个按钮和三列组成:
“专家信息”按钮:可以提醒用户,在不会文件中的网络问题和数据包的注释 “注释”按钮:添加、编辑、查看一个捕获文件的注释。该功能只可以在.pcapng格式保存的捕获文件中使用 第一列(获取字段、捕获或者捕获文件信息) 当在捕获文件中选择某个字段时,在状态栏中可以看到文件名和列大小如果单击packet bytes面板中的一个字段,将在状态栏中显示其字段名,并且packet details面板中也会发生变化 第二列(包数和加载信息) 当打开一个捕获文件时,在状态栏中的第二列将显示该文件的总包数上图显示了捕获的数据包总数、已显示包个数、加载时间如果当前捕获文件中有包被标记,则会显示标记包数 第三列(当前使用的配置):配置可以自己创建,以定制自己喜欢的wireshark环境