Wiresharkpcapnetworklibrary來進(jìn)展封包捕獲。QQ、郵箱、msn、賬號等的密碼！2023Ethereal的主要開發(fā)者打算離開他原來供職的公司，并連續(xù)開發(fā)這個軟件。但由于Ethereal這個名稱的使用權(quán)已經(jīng)被原來那個公司注冊，這個名字也就應(yīng)運(yùn)而生了。之后，我們就可以進(jìn)入下一步，更進(jìn)一步了解這個強(qiáng)大的工具。的計算機(jī)正在訪問“openmaniak”網(wǎng)站時的截圖。MENUS〔菜單〕SHORTCUTS〔快捷方式〕顯示過濾器〕PACKETLISTPANE〔封包列表)1MENUS〔菜單〕PACKETDETAILSPANE〔封包具體信息〕DISSECTORPANE〔16進(jìn)制數(shù)據(jù)〕MISCELLANOUS〔雜項〕Wireshark進(jìn)展配置：“File“〔文件〕“Edit“〔編輯〕〕“Go“〔轉(zhuǎn)到〕捕獲〕分析〕

翻開或保存捕獲的信息。的視圖。跳轉(zhuǎn)到捕獲的數(shù)據(jù)。設(shè)置分析選項。的統(tǒng)計信息。“Help“〔幫助〕

查看本地或者在線支持。SHORTCUTS〔快捷方式〕在菜單下面，是一些常用的快捷按鈕。您可以將鼠標(biāo)指針移動到某個圖標(biāo)上以獲得其功能說明。DISPLAYFILTER〔顯示過濾器〕顯示過濾器用于查找捕獲記錄中的內(nèi)容。Wireshark過濾器中的具體內(nèi)容。返回頁面頂部PACKETLISTPANE〔封包列表〕MAC/IP地址，TCP/UDP端口號，協(xié)議或者封包的內(nèi)容。Source〔來源〕Destination〔目的地〕列中看到的將Port〔端口〕列將會為空。Source〔來源〕Destination〔目的地〕列地址。Port〔端口〕4或者更高層時才會顯示。您可以在這里添加/刪除列或者轉(zhuǎn)變各列的顏色：Editmenu->PreferencesPACKETDETAILSPANE〔封包具體信息〕這里顯示的是在封包列表中被選中工程的具體信息。layer信息。進(jìn)制數(shù)據(jù)〕中也被叫做“16進(jìn)制數(shù)據(jù)查看面板”。這里顯示的內(nèi)容與“封包具體信息”中一樣，16進(jìn)制的格式表述。在上面的例子里，我們在封包具體信息P端口〔06進(jìn)制數(shù)據(jù)將自動顯示在下面的面板中〔0。MISCELLANOUS〔雜項〕在程序的最下端，您可以獲得如下信息：-正在進(jìn)展捕獲的網(wǎng)絡(luò)設(shè)備。捕獲是否已經(jīng)開頭或已經(jīng)停頓。捕獲結(jié)果的保存位置。已捕獲的數(shù)據(jù)量。(P)顯示的封包數(shù)量。(D)(經(jīng)過顯示過濾器過濾后仍舊顯示的封包)(M)Wireshark并開頭分析網(wǎng)絡(luò)是格外簡潔的。要的局部。過猶不及。這就是為什么過濾器會如此重要。它們可以幫助我們在龐雜的結(jié)果中快速找到我們需要的信息。捕獲過濾器：用于打算將什么樣的信息記錄在捕獲結(jié)果中。需要在開頭捕獲前設(shè)置。那么我應(yīng)當(dāng)使用哪一種過濾器呢？兩種過濾器的目的是不同的。捕獲過濾器是數(shù)據(jù)經(jīng)過的第一層過濾器，它用于掌握捕獲數(shù)據(jù)的數(shù)量，以避開產(chǎn)生過大的日志文件。〔簡單〕的過濾器。它允許您在日志文件中快速準(zhǔn)確地找到所需要的記錄。兩種過濾器使用的語法是完全不同的。我們將在接下來的幾頁中對它們進(jìn)展介紹：2.顯示過濾器捕獲過濾器Winpcap〔Windows〕庫開發(fā)的軟件一樣，比方著名設(shè)置捕獲過濾器的步驟是：captureoptions。填寫“capturefilter“欄或者點(diǎn)擊“capturefilter“按鈕為您的過濾器起一個名字并保存，以便在今后的捕獲中連續(xù)使用這個過濾器。〔Start〕進(jìn)展捕獲。語ProtoDirectiHost(ValLogicalOther法：colons)ueOperationsexpression_r例tcp dst子：

80 and

tcpdst3128Protocol〔協(xié)議〕:可能的值etherfddiiparprarpdecnetlatscamoprcmopdltcpandudp.假設(shè)沒有特別指明是什么協(xié)議，則默認(rèn)使用全部支持的協(xié)議。Direction〔方向〕:可能的值srcdstsrcanddstsrcordst“srcordst“作為關(guān)鍵字。例如，“host“與“srcordsthost“是一樣的。Host(s):netporthostportrange.“host“關(guān)鍵字。例如，“src“與“srchost“一樣。LogicalOperations〔規(guī)律運(yùn)算〕:notandor.具有最高的優(yōu)先級。或(“or“)和與(“and“)具有一樣的優(yōu)先級，運(yùn)算時從左至右進(jìn)展。例如，“nottcpport3128andtcpport23“與“(nottcpport3128andtcpport23“一樣。“nottcpport3128andtcpport23“與“not(tcpport3128andtcpport23)“不同。例子：tcp dst 3128TCP端口為3128的封包。ipsrchost地址為的封包。hostIP地址為的封包。srcportrange2023-25002023至2500范圍內(nèi)的封包。notimcp〔icmpping工具使用〕srchost2andnotdstnet/16/16的封包。(srchost2orsrcnet/16)andtcpdstportrange200-10000anddstnet/8或者為/16TCP端口號在200至10000之間，并且目的位于網(wǎng)絡(luò)/8內(nèi)的全部封包。留意事項：“\”。“etherproto\ip與關(guān)鍵字“ip“一樣).IP協(xié)議作為目標(biāo)。“ipproto\icmp與關(guān)鍵字“icmp“一樣).icmp作為目標(biāo)。或“ether“后面使用“multicast“及“broadcast“關(guān)鍵字。當(dāng)您想排解播送懇求時，“nobroadcast“就會格外有用。的主頁以獲得更具體的捕獲過濾器語法說明。上可以找到更多捕獲過濾器的例子。顯示過濾器：它的功能比捕獲過濾器更為強(qiáng)大，而且在您想修改正濾器條件時，并不需要重捕獲一次。ProtocolString1ProtocolString1String2ComparisonoperatorValueLogicalOperationsOther. .法：例ftp子：

passive

ip ==

xor icmp.typeProtocol〔協(xié)議〕:層的協(xié)議。點(diǎn)擊“Expression...“按鈕后，您可以看到它們。比方：IP，TCP，DNS，SSH您同樣可以在如下所示位置找到所支持的協(xié)議：String1String2(可選項):協(xié)議的子類。“+“號，然后選擇其子類。Comparisonoperators〔比較運(yùn)算符〕:可以使用6種比較運(yùn)算符：英文寫法：C語言寫法：含義：eq==等于ne!=不等于gt>大于lt<小于ge >=le <=

大于等于小于等于Logicalexpression_rs〔規(guī)律運(yùn)算符〕:英文寫法：C語言寫法：含義：andor

&& 規(guī)律與|| 規(guī)律或xornot

規(guī)律異^^或! 規(guī)律非的一個條件滿足時，這樣的結(jié)果才會被顯示在屏幕上。讓我們舉個例子：“tcp.dstport80xortcp.dstport1025“例子：snmp || dns || ICMP封icmp 包。ip.addr==IP地址為的封包。ip.src!=orip.dst!=顯示來源不為或者目的不為的封包。換句話說，顯示的封包將會為：IP：任意以及IP：除了以外任意ip.src!=andip.dst!=IP不為