1、第第 1 1 章章 介紹介紹. 什么是什么是 wiresharkwiresharkwireshark 是網絡包分析工具。網絡包分析工具的主要作用是嘗試捕獲網絡包， 并嘗試顯示包的盡可能詳細的情況。你可以把網絡包分析工具當成是一種用來測量有什么東西從網線上進出的測量工具，就好像使電工用來測量進入電信的電量的電度表一樣。（當然比那個更高級）過去的此類工具要么是過于昂貴，要么是屬于某人私有，或者是二者兼顧。 wireshark 出現以后，這種現狀得以改變。wireshark 可能算得上是今天能使用的最好的開元網絡分析軟件。.1.1. 主要應用主要應用下面是 wiresha

2、rk 一些應用的舉例：網絡管理員用來解決網絡問題網絡安全工程師用來檢測安全隱患開發人員用來測試協議執行情況用來學習網絡協議除了上面提到的，wireshark 還可以用在其它許多場合。.1.2. 特性特性支持 unix 和 windows 平臺在接口實時捕捉包能詳細顯示包的詳細協議信息可以打開/保存捕捉的包可以導入導出其他捕捉程序支持的包數據格式可以通過多種方式過濾包多種方式查找包通過過濾以多種色彩顯示包創建多種統計分析還有許多不管怎么說，要想真正了解它的強大，您還得使用它才行圖圖 1.1. wireshark 1.1. wireshark 捕捉包并允許您檢視其內捕捉包并允許您檢視

3、其內.1.3. 捕捉多種網絡接口捕捉多種網絡接口wireshark 可以捕捉多種網絡接口類型的包，哪怕是無線局域網接口。想了解支持的所有網絡接口類型， 可以在我們的網站上找到 /capturesetup/networkmedia..1.4. 支持多種其它程序捕捉的文件支持多種其它程序捕捉的文件wireshark 可以打開多種網絡分析軟件捕捉的包，詳見?.1.5. 支持多格式輸出支持多格式輸出wieshark 可以將捕捉文件輸出為多種其他捕捉軟件支持的格式，詳見?.1.6. 對多種協議解碼提供

4、支持對多種協議解碼提供支持可以支持許多協議的解碼(在 wireshark 中可能被稱為解剖)?.1.7. 開源軟件開源軟件wireshark 是開源軟件項目，用 gpl 協議發行。您可以免費在 任意數量的機器上使用它，不用擔心授權和付費問題，所有的源代碼在 gpl 框架下都可以免費使用。因為以上原因，人們可以很容易在 wireshark 上添加新的協議，或者將其作為插件整合到您的程序里，這種應用十分廣泛。1.1.8. wireshark1.1.8. wireshark 不能做的事不能做的事wireshark 不能提供如下功能wireshark 不是入侵檢測系統。 如果他/她在您的

5、網絡做了一些他/她們不被允許的奇怪的事情， wireshark 不會警告您。但是如果發生了奇怪的事情，wireshark 可能對察看發生了什么會有所幫助。3wireshark 不會處理網絡事務，它僅僅是 “測量”(監視)網絡。wireshark 不會發送網絡包或做其它交互性的事情（名稱解析除外，但您也可以禁止解析）。. 系通需求系通需求想要安裝運行 wireshark 需要具備的軟硬件條件..2.1. 一般說明一般說明給出的值只是最小需求，在大多數網絡中可以正常使用，但不排除某些情況下不能使用。4在繁忙的網絡中捕捉包將很容塞滿您的硬盤！舉個簡單的例子：在 100mb

6、it/s 全雙工以太網中捕捉數據將會產生 750mbyties/min 的數據！在此類網絡中擁有高速的 cpu，大量的內存和足夠的磁盤空間是十分有必要的。如果 wireshark 運行時內存不足將會導致異常終止。可以在/knownbugs/outofmemory 察看詳細介紹以及解決辦法。wireshark 作為對處理器時間敏感任務，在多處理器/多線程系統環境工作不會比單獨處理器有更快的速度，例如過濾包就是在一個處理器下線程運行，除了以下情況例外：在捕捉包時“實時更新包列表”，此時捕捉包將會運行在一個處理下，顯示包將會運行在另一個處理器下。此時多

7、處理或許會有所幫助。51.2.2. microsoft windows1.2.2. microsoft windowswindows 2000,xp home 版,xp pro 版,xp tablet pc，xp media center, server 2003 or vista(推薦在 xp 下使用)32-bit 奔騰處理器或同等規格的處理器（建議頻率：400mhz 或更高）,64-bit 處理器在 wow64 仿真環境下-見一般說明128mb 系統內存（建議 256mbytes 或更高）75mb 可用磁盤空間（如果想保存捕捉文件，需要更多空間） 800*600（建議 1280*1024

8、或更高）分辨率最少65536(16bit)色，(256 色舊設備安裝時需要選擇”legacy gtk1”)網卡需求：o以太網：windows 支持的任何以太網卡都可以o無線局域網卡：見 micrologix support list, 不捕捉 802.11 包頭和無數據楨。o其它接口見：/capturesetup/networkmedia說明基于以下三點原因，將不會對舊版 windows 提供支持：沒有任何開發人員正在使用那些操作系統， 這將使支持變得更加困難，wireshark 運行所依賴的庫文件（如 gtk，winpcap 等）也放棄對它們的

9、支持。 同樣，微軟也放棄了對它們的技術支持。windows 95,98 和 me 不能運行 wireshark。已知的最后一個可以運行在以上平臺的版本是 ethereal0.99.0(需要安裝 winpcap3.1),你依然可以使用從: http:/ 獲得。 順便提一下： 微軟于 2006年 1 月 11 日停止對 98/me 支持。windows nt 4.0今后將無法運行wireshark.最有一個已知版本是wireshark0.99.4(需安裝自帶的winpcap3.1),你依然可以從：http:/ 得到它。順便提一下：微軟于 2005 年 12 月 31 日停止對 nt 4.0 的支持

10、。windows ce 及嵌入版 windows（nt/xp）不被支持。64-bit 處理器運行 wireshark 需要在 32bit 仿真環境下(稱作 wow64),最低需要安裝 winpcap4.0。支持多顯示(不知道是顯示其還是監視器)安裝，但會遇到一些不可預料的問題。1.2.3. unix/linux1.2.3. unix/linuxwireshark 目前可以運行在許多 unix 平臺，系統可以對照上面 windows 下的指標。 二進制包最少在以下平臺可用：apple mac osxdebian gnu/linuxfreebsdnetbsdopenpkgred hat fedor

11、a/enterprise linuxrpath linuxsun solaris/i386sun solaris/sparc如果二進制包在您的平臺無法使用，你可以下載源文件并嘗試編譯它。 希望您能發送郵件到wireshark-devat .分享您的經驗。. 從哪里可以得到從哪里可以得到 wiresharkwireshark你可以從我們的網站下載最新版本的 wireshark /download.html.網站上您可以選擇適合您的鏡像站點。wireshark 通常在 4-8 周內發布一次新版本如果您想獲得 wi

12、reshark 發布的消息通知， 你可以訂閱 wireshark-announce 郵件列表。 詳見第 1.6.4 節“郵件列表”1.4. wiresahrk1.4. wiresahrk 簡史簡史 6 6 1997 年以后，gerald combs 需要一個工具追蹤網絡問題并想學習網絡知識。所以他開始開發 ethereal (wireshark項目以前的名稱) 以解決以上的兩個需要。ethereal 是第一版，經過數次開發，停頓，1998 年，經過這么長的時間，補丁，bug 報告，以及許多的鼓勵，0.2.0版誕生了。ethereal 就是以這種方式成功的。此后不久，gilbert ramire

13、z 發現它的潛力，并為其提供了底層分析1998 年 10 月，guy harris 正尋找一種比 tcpview 更好的工具，他開始為 ethereal 進行改進，并提供分析。998 年以后，正在進行 tcp/ip 教學的 richard sharpe 關注了它在這些課程中的作用。并開始研究該軟件是否他所需要的協議。如果不行，新協議支持應該很方便被添加。所以他開始從事 ethereal 的分析及改進。從那以后，幫助 ethereal 的人越來越多，他們的開始幾乎都是由于一些尚不被 ethereal 支持的協議。所以他們拷貝了已有的解析器，并為團隊提供了改進回饋。2006 年項目 moved h

14、ouse（這句不知道怎么翻譯）并重新命名為：wireshark.1.5. wireshark1.5. wireshark 開發維護開發維護wireshark 最初由 gerald combs 開發。目前由 wireshark team 進行進一步開發和維護。wireshark team 是一個由修補 bug 提高 wireshark 功能的獨立成員組成的松散組織。有大量的成員為 wireshark 提供協議分析。同時我們也希望這些活動能持續機芯。通過查看 wireshark 幫助菜單下的about,你可以找到為 wireshark 提供代碼的人員名單，或者你也可以通過 wireshark 網站

15、的 authors 頁面找到。wireshark 是開源軟件項目，發布遵循 gnu general public licence (gpl 協議),所有源代碼可以在 gpl 框架下免費使用。歡迎您修改 wireshark 以便適合您的需要，如果您可以提供您的改進給 wireshark team ，我們將不勝感激。為 wireshark team 提供您的改進建議，有以下益處：如果其他人發現您提供的改進十分有用會肯定它們的價值，您將會得知你曾像 wireshark team 一樣幫助過他人the developers of wireshark might improve your changes

16、 even more, as theres always room forimprovement. or they may implement some advanced things on top of yourcode, which can be useful foryourself too.the maintainers and developers of wireshark will maintain your code as well, fixing it when api changesor other changes are made, and generally keeping

17、 it in tune with what is happening with wireshark.so if wireshark is updated (which is done often), you can get a new wireshark version from the websiteand your changes will already be included without any effort for you.wireshar 源代碼和二進制 kits （二進制工具包？ ）可以根據自己的平臺對應下載，網站是：/downl

18、oad.html.. 匯報問題和獲得幫助匯報問題和獲得幫助如果您在使用中碰到了問題，或者您需要 wireshark 的幫助，有以下幾種可能讓您有興趣的方法（當然，還包括這本書）。.6.1. 網站網站通過訪問 你將會發現關于 wireshark 許多有用的信息。.6.2. 百科全書百科全書wireshark wiki ()提供廣泛的跟 wireshark 以及捕捉包有關信息。你將會發現一些沒有被包括在本書內信息，例如：wiki 上有解釋如何在交換網絡捕捉包，同

19、時我們正努力建立協議參考，等等。最好的事情是，如果對某些知識有獨到見解（比如您精通某種協議），您可以通過瀏覽器編輯它。1.6.3. faq1.6.3. faq最經常被問到的問題“frequently asked questions”提供一個經常被問到的問題以及答案的列表。read the faqread the faq在您發送任何郵件到郵件列表之前，確信您已經閱讀了 faq，因為這里面很可能已經提供了您想問的問題，答案。這將大大節約您的時間（記住，有很多人提交了大量的郵件）。.6.4. 郵件列表郵件列表下面的幾個幾個郵件列表，分別屬于不同的主題：wireshark-users這是

20、一個 wireshark 用戶的列表，大家提交關于安裝和使用 wireshark 的問題，其它人（非常有用）提供的答案。（譯者注：其他人當然也是指用戶？）wireshark-announce這是一個關于程序發布信息的列表，通常每 4-8 周出現一次。wireshark-dev這是一個關于 wireshark 開發的郵件列表，如果開始開發協議分析，可以從加入該列表你可以通過網站 訂閱每個郵件列表.簡單點擊網站左手邊的郵件列表鏈接就可以。郵件同樣在網站上可以看到存檔。提示提示你可以搜索存檔看看有沒有人問過跟你一樣的問題，或許您的問題已經有了答案。 這

21、樣您就不必提交郵件以等待別人答復您了。.6.5. 報告問題報告問題注意注意在您提交任何問題之前，請確定您安裝的是最新版本的 wireshark。當您提交問題的時候，如果您提供如下信息將會對解決問題很有幫助。1. wireshark 的版本，及其依賴的庫的版本，如 gtk+，等等。你可以通過 wiresharkwireshark v v 命令獲得版本號。（估計是 unix/linux 平臺）。2. 運行 wireshark 的平臺信息。3. 關于問題的詳細描述。4. 如果您得到錯誤或者警告信息，拷貝錯誤信息的文本（以及在此之前或之后的文本，如果有的話），這樣其他7人可能會發現發生問

22、題的地方。請不要發送諸如：“i got a warning while doing x”，因為這樣看起來不是個好主意。不要發送大文件不要發送大文件不要發送過大的文件（100kb）到郵件列表，在郵件中附加一個能提供足夠數據的記事本就可以。大文件會讓很多郵件列表里的那些對您的問題不感興趣的用戶感到惱怒。如果需要，你可以單獨發送那些數據給對您問題真正感興趣，要求您發送數據的人。不要發送機密信息！不要發送機密信息！如果您發送捕捉數據到郵件列表，請確定它們不包含敏感或者機密信息，比如密碼或者諸如此類的。.6.6. 在在 unix/linuxunix/linux 平臺追蹤軟件錯誤平臺追蹤軟件

23、錯誤如果您發送捕捉數據到郵件列表，請確定它們不包含敏感或者機密信息，比如密碼或者諸如此類的。你可以通過如下命令獲得追蹤信息： $ gdb whereis wireshark | cut -f2 -d: | cut -d -f2 core &bt.txt backtrace d $注意注意在逐字輸入第一行的字符！8注意注意追蹤是一個 gdbgdb 命令。你可以在輸完第一上以后輸入它，但是會沒有相應，d 命令（ctl+d）將會退出 gdbgdb 命令。以上命令讓你在當前目錄得到一個名為 bt.txt 的文本文件，它包含您的 bug 報告。注意注意如果您缺少 gdbgdb，您必須檢查您的操作

24、系統的調試器。你可以發送追蹤郵件到 wireshark-devat 郵件列表.6.7. 在在 windowswindows 平臺追蹤軟件錯誤平臺追蹤軟件錯誤windows 下無法包含符號文件(.pdb),它們非常大。因此不太可能創建十分有意義的追蹤文件。你將匯報軟件錯誤就像前面描述的其他問題一樣。（這句不盡人意）3譯者注：因為不是入侵檢測之用，所以不會將入侵檢測和普通通信區別對待，但是都會體現在網絡包里面，如果您有足夠的經驗，或許能通過監視網絡包發現入侵檢測4譯者注： 原文“the values below are the minimum require

25、ments and only rules of thumb for use on a moderatelyused network”，其中”rules of thumb”中譯名應該是拇指規則，但網上關于拇指規則解釋莫衷一是，大致意思是說：大多數情況下適用，但并非所有情況。這里翻譯的有點別扭5譯者注：我對這句話的理解是， 正如播放電影一樣，高性能的處理器只會增強顯示效果，您并不需要將原來 30 分鐘的影片 10 分鐘之內看完。當然，對減少延時還是有作用的。但是感覺這句有點閱讀困難，可能翻譯的有點問題.6本段因為有很多協議，程序開發方面的術語，翻譯得比較糟糕譯者注：那句話的意思是，我在 xx 時碰

26、到一個警告信息78譯者注：原文是：type the characters in the first line verbatim! those are back-tics there!,those areback-tics there!不知道是什么意思，back-tics=后勤抽搐？熟悉 linux 的或許知道第第 2 2 章章 編譯編譯/ /安裝安裝 wiresharkwireshark. 須知須知萬事皆有開頭，wireshark 也同樣如此。要想使用 wireshark，你必須：獲得一個適合您操作系統的二進制包，或者獲得源文件為您的操作系統編譯。目前，只有兩到三種linux 發

27、行版可以傳送 wireshark，而且通常傳輸的都是過時的版本。至今尚未有unix 版本可以傳輸 wireshark . windows 的任何版本都不能傳輸 wireshark.基于以上原因，你需要知道從哪能得到最新版本的wireshark 以及如何安裝它。本章節向您展示如何獲得源文件和二進制包，如何根據你的需要編譯 wireshark 源文件。以下是通常的步驟：1. 下載需要的相關包，例如：源文件或者二進制發行版。2. 將源文件編譯成二進制包(如果您下載的是源文件的話)。這樣做做可以整合編譯和/或安裝其他需要的包。3. 安裝二進制包到最終目標位置。. 獲得源獲得源你可以從 w

28、ireshark 網站 .同時獲取源文件和二進制發行版。選擇您需要下載的鏈接，然后選擇源文件或二進制發行包所在的鏡像站點（盡可能離你近一點的站點）。下載所有需要的文件下載所有需要的文件 ! !一般來說，除非您已經下載 wireshark,如果您想編譯 wireshark 源文件，您可能需要下載多個包。這些在后面章節會提到。注意注意當你發現在網站上有多個二進制發行版可用，您應該選擇適合您平臺的版本， 他們同時通常會有多個版本緊跟在當前版本后面，那些通常時擁有那些平臺的用戶編譯的。基于以上原因，您可能想自己下載源文件自己編譯，因為這樣相對方便一點。2.

29、3.2.3. 在在 unixunix 下安裝之前下安裝之前在編譯或者安裝二進制發行版之前，您必須確定已經安裝如下包：1. gtk+, the gimp tool kit.您將會同樣需要 glib.它們都可以從 獲得。2. libpcap , wireshark 用來捕捉包的工具您可以從 獲得。根據您操作系統的不同，您或許能夠安裝二進制包，如 rpms.或許您需要獲得源文件并編譯它。如果您已經下載了 gtk+源文件，例 2.1 “從源文件編譯 gtk+”提供的指令對您編譯有所幫助。例例 2.1. 2.1. 從源文件編譯從源文件編譯 gtk+

30、gtk+gzip -dc gtk+-1.2.10.tar.gz | tar xvf -./configuremake install注意注意您可能需要修改例 2.1 “從源文件編譯 gtk+”中提供的版本號成對應您下載的 gtk+版本。如果 gtk 的目錄發生變更，您同樣需要修改它。，tar xvf 顯示您需要修改的目錄。注意注意如果您使用 linux,或者安裝了 gun tar tar，您可以使用 tar zxvfgtk+-1.2.10.tar.gztar zxvfgtk+-1.2.10.tar.gz 命令。同樣也可能使用gunzipgunzip c c 或者 gzcatgzcat 而不是許

31、多 unix 中的 gzipgzip dcdc注意注意如果您在 windows 中下載了 gtk+ 或者其他文件。您的文件可能名稱為：gtk+-1_2_8_tar.gz如果在執行例 2.1 “從源文件編譯 gtk+”中的指令時有錯誤發生的話，你可以咨詢 gtk+網站。如果您已經下載了 libpcap 源，一般指令如例 2.2 “編譯、安裝 libpcap” 顯示的那樣會幫您完成編譯。同樣，如果您的操作系統不支持 tcpdumptcpdump,您可以從 tcpdump 網站下載安裝它。例例 2.2. 2.2. 編譯、安裝編譯、安裝 libpcaplibpcapgzip -dc libpcap-0

32、.9.4.tar.z | tar xvf -cd libpcap-0.9.4./configuremakemake install注意注意libpcap 的目錄需要根據您的版本進行修改。tar xvftar xvf 命令顯示您解壓縮的目錄。redhat 6.x 及其以上版本環境下（包括基于它的發行版，如 mandrake）,您可以直接運行 rpm 安裝所有的包。大多數情況下的 linux 需要安裝 gtk+和 glib.反過來說，你可能需要安裝所有包的定制版。安裝命令可以參考例 2.3 “在redhat linux 6.2 或者基于該版本得發行版下安裝需要的 rpm 包”。如果您還沒有安裝，您

33、可能需要安裝需要的 rpms。例例 2.3. 2.3. 在在 redhat linux 6.2redhat linux 6.2 或者基于該版本得發行版下安裝需要的或者基于該版本得發行版下安裝需要的 rpmrpm 包包cd /mnt/cdrom/redhat/rpmsrpm -ivh glib-1.2.6-3.i386.rpmrpm -ivh glib-devel-1.2.6-3.i386.rpmrpm -ivh gtk+-1.2.6-7.i386.rpmrpm -ivh gtk+-devel-1.2.6-7.i386.rpmrpm -ivh libpcap-0.4-19.i386.rpm注意注

34、意如果您使用 redhat 6.2 之后的版本，需要的 rmps 包可能已經變化。您需要使用正確的 rmps 包。在 debian 下您可以使用 apt-ge 命令。apt-get 將會為您完成所有的操作。參見例 2.4 “在 deban 下安裝 deb”例例 2.4. 2.4. 在在 debandeban 下安裝下安裝 debdebapt-get install wireshark-dev. 在在 unixunix 下編譯下編譯 wiresharkwireshark如果在 unix 操作系統下可以用如下步驟編譯 wireshark 源代碼：1. 如果使用 linux 則解壓 g

35、zipd targzipd tar 文件,如果您使用 unix，則解壓 gun tartar 文件。對于 linux 命令如下：tar zxvf wireshark-0.99.5-tar.gz對于 unix 版本，命令如下gzip -d wireshark-0.99.5-tar.gztar xvf wireshark-0.99.5-tar注意注意使用管道命令行 gzip dc wireshark-0.99.5-tar.gz|tar xvf 同樣可以9注意注意如果您在 windows 下下載了 wireshark,你會發現文件名中的那些點變成了下劃線。2. 將當前目錄設置成源文件的目錄。3. 配

36、置您的源文件以編譯成適合您的 unix 的版本。命令如下：./configure如果找個步驟提示錯誤，您需要修正錯誤，然后重新 configure.解決編譯錯誤可以參考第 2.6 節 “解決 unix下安裝過程中的問題 ”4. 使用 make 命令將源文件編譯成二進制包，例如：make5. 安裝您編譯好的二進制包到最終目標，使用如下命令：make install一旦您使用 make install 安裝了 wireshark,您就可以通過輸入 wireshark 命令來運行它了。. 在在 unixunix 下安裝二進制包下安裝二進制包一般來說，在您的 unix 下安裝二進制發行包

37、使用的方式根據您的 unix 的版本類型而各有不同。例如 aix 下，您可以使用 smit 安裝，tru64 unix 您可以使用 setld 命令。.5.1. 在在 linuxlinux 或類似環境下安裝或類似環境下安裝 rpmrpm 包包使用如下命令安裝 wireshark rpm 包rpm -ivh wireshark-0.99.5.i386.rpm如果因為缺少 wireshark 依賴的軟件而導致安裝錯誤，請先安裝依賴的軟件，然后再嘗試安裝。 redhat 下依賴的軟件請參考例 2.3 “在 redhat linux 6.2 或者基于該版本得發行版下安裝需要的 rpm 包

38、”.5.2. 在在 debiandebian 環境下安裝環境下安裝 debdeb 包包使用下列命令在 debian 下安裝 wiresharkapt-get install wiresharkapt-get 會為您完成所有的相關操作.5.3. 在在 gentoo linuxgentoo linux 環境下安裝環境下安裝 portageportage使用如下命令在 gentoo linux 下安裝 wireshark 以及所有的需要的附加文件use=adns gtk ipv6 portaudio snmp ssl kerberos threads selinux em

39、erge wireshark.5.4. 在在 freebsdfreebsd 環境下安裝包環境下安裝包使用如下命令在 freebsd 下安裝 wiresharkpkg_add -r wiresharkpkg_add 會為您完成所有的相關操作. 解決解決 unixunix 下安裝過程中的問題下安裝過程中的問題 1010 安裝過程中可能會遇到一些錯誤信息。這里給出一些錯誤的解決辦法：如果 configureconfigure 那一步發生錯誤。你需要找出錯誤的原因，您可以檢查日志文件config.log(在源文件目錄下)，看看都發生了哪些錯誤。有價值的信息通常在最后幾行。一

40、般原因是因為您缺少 gtk+環境， 或者您的 gtk+版本過低。 configure 錯誤的另一個原因是因為因為缺少 libpcap(這就是前面提到的捕捉包的工具)。另外一個常見問題是很多用戶抱怨最后編譯、鏈接過程需要等待太長時間。這通常是因為使用老式的 sedsed 命令（比如solaris 下傳輸）。自從 libtool 腳本使用 sed 命令建立最終鏈接命令，常常會導致不可知的錯誤。您可以通過下載最新版本的 sed 解決該問題 /gnu/sed.html.如果您無法檢測出錯誤原因。發送郵件到 wireshark-dev 說明您的問題。當然，郵

41、件里要附上 config.log 以及其他您認為對解決問題有幫助的東西，例如 make 過程的追蹤。. 在在 windowswindows 下編譯源下編譯源在 windows 平臺下，我們建議最好是使用二進制包直接安裝，除非您是從事 wireshark 開發的。 如果想了解關于windows 下編譯安裝 wireshark，請查看我們的開發 wiki 網站 /development 來了解最新的開發方面的文檔。. 在在 windowswindows 下安裝下安裝 wiresharkwireshark本節將探討在 win

42、dows 下安裝 wireshark 二進制包。.8.1. 安裝安裝 wiresharkwireshark您獲得的 wireshark 二進制安裝包可能名稱類似 wireshark-setup-x.y.z.exe. wireshark 安裝包包含 winpcap,所以您不需要單獨下載安裝它。您只需要在 /download.html#releases 下載 wireshark 安裝包并執行它即可。除了普通的安裝之外，還有幾個組件供挑選安裝。提示：盡量保持默認設置提示：盡量保持默認設置如果您不了解設置的作用的話。選擇組件選擇組件 1111

43、 wireshark(包括 gtk1 和 gtk2 接口無法同時安裝):如果您使用 gtk2 的 gui 界面遇到問題可以嘗試 gtk1，在 windows 下 256 色（8bit）顯示模式無法運行 gtk2.但是某些高級分析統計功能在 gtk1 下可能無法實現。wireshark gtk1wireshark gtk1-wireshark 是一個 gui 網絡分析工具wireshark gtk2wireshark gtk2-wireshark 是一個 gui 網絡分析工具（建議使用 gtk2 gui 模組工具）gtk-wimpgtk-wimp-gtkwimp 是詩歌 gtk2 窗口模擬(看起

44、來感覺像原生 windows32 程序，推薦使用)tssharktsshark-tshark 是一個命令行的網絡分析工具插件/擴展(wireshark,tshark 分析引擎):dissector pluginsdissector plugins-分析插件：帶有擴展分析的插件tree statistics pluginstree statistics plugins-樹狀統計插件：統計工具擴展mate - meta analysis and tracing engine (experimental)mate - meta analysis and tracing engine (experim

45、ental) :可配置的顯示過濾引擎，參考/mate.snmp mibssnmp mibs: snmp，mibs 的詳細分析。tools/工具(處理捕捉文件的附加命令行工具userusers guides guide-用戶手冊-本地安裝的用戶手冊。如果不安裝用戶手冊，幫助菜單的大部分按鈕的結果可能就是訪問internet.editcapeditcap - editcap is a program that reads a capture file and writes some or all of the packets into another

46、 capture file. /editcap 是一個讀取捕捉文件的程序，還可以將一個捕捉文件力的部分或所有信息寫入另一個捕捉文件。 （文件合并 or 插入？）text2pcaptext2pcap - text2pcap is a program that reads in an ascii hex dump and writes the data into alibpcap-style capture file./tex2pcap 是一個讀取 ascii hex，寫入數據到 libpcap 個文件的程序。mergecapmergecap - mergecap is a program tha

47、t combines multiple saved capture files into a single outputfile. / mergecap 是一個可以將多個播捉文件合并為一個的程序。capinfoscapinfos - capinfos is a program that provides information on capture files. /capinfos是一個顯示捕捉文件信息的程序。“adadditional tasksditional tasks”頁”頁start menu shortcutsstart menu shortcuts-開始菜單快捷方式-增加一些快捷

48、方式到開始菜單desktop icondesktop icon-桌面圖標-增加 wireshark 圖標到桌面quick launch iconquick launch icon-快速啟動圖標-增加一個 wireshark 圖標到快速啟動工具欄associate file extensions to wiresharkassociate file extensions to wireshark-wireshark 文件關聯-將捕捉包默認打開方式關聯到 wiresharkinstall winpcap?install winpcap?”頁”頁wireshark 安裝包里包含了最新版的 winpc

49、ap 安裝包。如果您沒有安裝 winpcap 。您將無法捕捉網絡流量。但是您還是可以打開以保存的捕捉包文件。currently installed winpcap versioncurrently installed winpcap version-當前安裝的 winpcap 版本install winpcap x.xinstall winpcap x.x -如果當前安裝的版本低于 wireshark 自帶的，該選項將會是默認值。start winpcap service npf at startupstart winpcap service npf at startup -將 winpcap

50、 的服務 npf 在啟動時運行-這樣其它非管理員用戶就同樣可以捕捉包了。更多關于 winpcap 的信息：wireshark 相關 /winpcapwinpcap 官方網站：安裝命令選項安裝命令選項您可以直接在命令行運行安裝包，不加任何參數，這樣會顯示常用的參數以供交互安裝。 在個別應用中，可以選擇一些參數定制安裝：/ncrc/ncrc 禁止 crc 校檢/s/s 靜默模式安裝或卸載 wireshark.注意：靜默模式安裝時不會安裝 winpcap!/desktopicon/desktopicon 安裝桌

51、面圖標，/desktopicon=yes 表示安裝圖標，反之則不是，適合靜默模式。/quicklaunchicon/quicklaunchicon 將圖標安裝到快速啟動工具欄，=yes-安裝到工具欄，=no-不安裝，不填按默認設置。/d/d 設置默認安裝目錄($instdir),首選安裝目錄和安裝目錄注冊表鍵值，該選項必須設置到最后。即使路徑包含空格例例 2.5. 2.5.wireshark-setup-0.99.5.exe /ncrc /s /desktopicon=yes /quicklaunchicon=no /d=c:program filesfoo.8.2. 手動安裝手

52、動安裝 winpcapwinpcap注意注意事先聲明，wireshark 安裝時會謹慎對待 winpcap 的安裝，所以您通常不必擔心 winpcap。下面的 winpcap 僅適合您需要嘗試未包括在 wireshark 內的不同版本 winpcap。例如一個新版本的 winpcap 發布了，您需要安裝它。單獨的 winpcap 版本（包括 alpha or beta 版）可以在下面地址下載到winpcap 官方網站：w 鏡像站點: http:/ winpcap 的安裝包名稱通常類似于”auto-installer”。它們可以在 nt4.0/2000/

53、xp/vista 下安裝。.8.3. 更新更新 wiresharkwireshark有時候您可能想將您的 winpcap 更新到最新版本，如果您訂閱了 wireshark 通知郵件，您將會獲得 wireshark 新版本發布的通知，見第 1.6.4 節 “郵件列表”。新版誕生通常需要 8-12 周。更新 wireshark 就是安裝一下新版本。下載并安裝它就可以。更新通常不需要重新啟動，也不會更改過去的默認設置.8.4. 更新更新 winpcapwinpcapwinpcap 的更新不是十分頻繁，通常一年左右。新版本出現的時候您會收到 winpcap 的通知。更新 w

54、inpcap 后需要重新啟動。警告警告在安裝新版 winpcap 之前，如果您已經安裝了舊版winpcap,您必須先卸載它。最近版本的winpcap 安裝時會自己卸載舊版。.8.5. 卸載卸載 wiresharkwireshark你可以用常見方式卸載 wireshark,使用添加/刪除程序，選擇”wireshark”選項開始卸載即可。wireshark 卸載過程中會提供一些選項供您選擇卸載哪些部分，默認是卸載核心組件，但保留個人設置和 winpcap.winpcap 默認不會被卸載，因為其他類似 wireshark 的程序有可能同樣適用 winpcap.8.6. 卸

55、載卸載 winpcapwinpcap你可以單獨卸載 winpcap,在添加/刪除程序選擇”winpcap”卸載它。注意注意卸載 winpcap 之后您將不能使用 wireshark 捕捉包。在卸載完成之后最好重新啟動計算機。9譯者注：看到別人翻譯 pipelin 之類的，似乎就是叫管道，不知道是否準確10譯者注： 本人不熟悉 unix/linux， 這一段翻譯的有點云里霧里， 可能大家通過這部分想安裝 wireshark 會適得其反，那就對不住了。下面個人說一下 unix/linux 下安裝方法。 unix/linux 下安裝時，有兩種安裝方式，1 是下載源碼包自己編譯，這種方式的好處是因為下

56、載源碼包是單一的，可以自行加以修改，編譯就是適合自己平臺的了。 2、是利用已經做好的發行包直接安裝，這種方法的好處是只要下載到跟自己平臺對應的就可以，但缺點也在這里，不是每個平臺都能找到合適的。 不管是編譯安裝， 還是使用發行包安裝， 都需要有一些有些基本基本支持。 比如 linux 下的 gtk+支持，捕捉包時需要用的 libpcap. 這一點可以參考第 2.3 節 “在 unix 下安裝之前 ”。編譯的一般步驟是解壓，編譯，安裝（tar zxvf wireshark-0.99.5-tar.gz;make;make installtar zxvf wireshark-0.99.5-tar.g

57、z;make;make install ）.直接安裝則是根據各自平臺安裝的特點。11涉及到過多的名次，軟件又沒有中文版，這里及以后盡量不翻譯名稱第第 3 3 章章 用戶界面用戶界面. 須知須知現在您已經安裝好了 wireshark,幾乎可以馬上捕捉您的一個包。緊接著的這一節我們將會介紹：wireshark 的用戶界面如何使用如何捕捉包如何查看包如何過濾包以及其他的一些工作。. 啟動啟動 wiresharkwireshark你可以使用 shell 命令行或者資源管理器啟動 wireshark.提示提示開始 wireshark 時您可以指定適當的參數。參見第 9.2 節

58、 “從命令行啟動 wireshark”注意注意在后面的章節中，將會出現大量的截圖，因為 wireshark 運行在多個平臺 ，并且支持多個 guitoolkit(gtk1.x/2x),您的屏幕上顯示的界面可能與截圖不盡吻合。但在功能上不會有實質性區別。盡管有這些區別，也不會導致理解上的困難。. 主窗口主窗口先來看看圖 3.1 “主窗口界面”，大多數打開捕捉包以后的界面都是這樣子（如何捕捉/打開包文件隨后提到）。圖圖 3.1. 3.1. 主窗口界面主窗口界面和大多數圖形界面程序一樣，wireshark 主窗口由如下部分組成：1. 菜單（見第 3.4 節 “主菜單”）用于開始操作。2

59、. 主工具欄(見第 3.13 節 “main工具欄”)提供快速訪問菜單中經常用到的項目的功能。3. fiter toolbar/過濾工具欄(見第 3.14 節 “filter工具欄”)提供處理當前顯示過濾得方法。(見 6.3:”瀏覽時進行過濾”)4. packet list 面板（見第 3.15 節 “pcaket list面板”）顯示打開文件的每個包的摘要。點擊面板中的單獨條目，包的其他情況將會顯示在另外兩個面板中。5. packet detail面板（見第 3.16 節 “packet details面板”）顯示您在 packet list面板中選擇的包德更多詳情。6. packet by

60、tes面板（見第 3.17 節 “packet byte面板”）顯示您在 packet list面板選擇的包的數據，以及在 packet details 面板高亮顯示的字段。7. 狀態欄（見第 3.18 節 “狀態欄”）顯示當前程序狀態以及捕捉數據的更多詳情。注意注意主界面的三個面版以及各組成部分可以自定義組織方式。見第 9.5 節 “首選項”.3.1. 主窗口概述主窗口概述packet list 和 detail 面版控制可以通過快捷鍵進行。 表 3.1“導航快捷鍵” 顯示了相關的快捷鍵列表。 表 3.5“go菜單項”有關于快捷鍵的更多介紹表表 3.1. 3.1. 導航快捷鍵導航快捷鍵