Wireshark初步入门

第一次捕获数据包

为了能让Wireshark获得一些数据包，你能够开始你的第一次数据包捕获实验了。你可能会想：“当网络什么问题都没有的时候，怎么能捕获数据包呢？”
首先，网络老是有问题的。
其次，作数据包分析并不必定要等到有问题的时候再作。事实上，大多数的数据包分析员在分析没有问题的网络流量上花的时间要比解决问题的时候多。为了能高效地解决网络问题，你也一样须要获得一个基准来与之对比。举例来讲，若是你想经过分析网络流量来解决关于DHCP的问题，你至少须要知道DHCP在正常工做时的数据流是什么样子的。
更普遍地讲，为了可以发现平常网络活动的异常，你必须对平常网络活动的状况有所了解。
下面咱们来捕获数据包。

1. 打开Wireshark。
2. 从主下拉菜单中选择Capture，而后是Interface。（捕获 --> 选项）
   这时你应该能够看到一个对话框，里面列出了你能够用来捕获数据包的各类设备，以及它们的IP地址。
3. 选择你想要使用的设备，如图所示，单击Start，或者直接单击欢迎画面中Interface List下的某一个设备。随后数据就会在窗口中显现出来。
   
   
4. 等上一分钟左右，当你打算中止捕获并查看你的数据时，在Capture的下拉菜单中单击Stop按钮便可。（捕获 --> 中止）

当作完以上步骤，Wireshark的主窗口中应该已经呈现了相应的数据，但此时你可能对这些数据的规模感到头疼，这也就是为何咱们把Wireshark一整块的主窗口进行划分的缘由。

Wireshark主窗口

Wireshark的主窗口以下所示。

Wireshark主窗口的设计包括3个面板：Packet List、Packet Details、Packet Bytes。
主窗口的3个面板想忽悠着来呢西。若是但愿在Packet Details面板中查看一个单独的数据包的具体内容，你必须在Packet List面板中单击选中那个数据包。在你选中了数据包以后，你能够经过在Packet Details面板中选中数据包的某个字段，从而在Packet Bytes面板中查看相应字段的字节信息。
下面介绍每一个面板的内容。
Packet List(数据包列表): 最上面的面板用表格显示了当前不惑文件中的全部数据包，其中包括了数据包序号、数据包被捕获的相对时间、数据包的源地址和目的地址、数据包的协议以及在数据包中找到的概况信息等列。
Packet Details(数据包细节): 中间的面板分层地显示了一个数据包中地内容，而且能够经过展开或是收缩来显示这个数据包中所捕获地所有内容。
Packet Bytes(数据包字节): 最下面的面板多是最使人困惑地，由于它显示了一个数据包未经处理地原始样子，也就是其在链路上传播时地样子。这些原始数据看上去一点都不舒服并且不容易理解。

Wireshark首选项

Wireshark提供了一些首选项设定，可让你根据须要进行定时。若是须要设定Wireshark首选项，在主下拉菜单中选择Edit而后单击Preferences，而后你即可以看到一个首选项地对话框，里面有一些能够定制地选项，如图所示。 （编辑 --> 首选项）

Wireshark首选项分为6个主要部分。
User Interface(用户接口): 这些选项决定了Wireshark将如何显示数据。你能够根据你的我的喜爱对大多数选项进行调整，好比是否保存窗口位置、3个主要窗口的布局、滚动条地摆放、Packet List面板中列地摆放，以及显示捕获数据的字体、前景色和背景色等。
Capture(捕获): 这些选项可让你对捕获数据包地方式进行特殊的设定，好比你默认使用的设备、是否默认使用混杂模式、是否实时更新Packet List面板等。
Printing(打印): 这个部分中的选项可让你对Wireshark如何打印你的数据进行特殊的设定。
Name Resolutions(名字解析): 经过这些设定，你能够开启Wireshark将地址（包括MAC、网络以及传输名字解析）解析成更加容易分辨地名字这一功能，而且能够设定能够并发处理名字解析请求的最大数目。
Statistics(统计): 这一部分提供了一些Wireshark中统计功能地设定选项。
Protocols(协议): 这个部分中的选项与捕捉和显示各类Wireshark可以解码地数据包有关。并非每个协议都有配置选项，可是一些协议地某些选项则能够进行更改。除非你有特殊的缘由去修改这些选项，不然最好保持它们地默认值。

数据包彩色高亮

Wireshark地彩色高亮有助于快速标识协议。

每个数据包地颜色都是有讲究地，这些颜色对应着数据包使用的协议。举例来讲，全部的DNS流量都是蓝色的，而HTTP流量都是绿色的。将数据包进行彩色高亮，可让你很快地讲不通协议的数据包分开，而不须要对每一个数据包都查看Packet List面板中地协议列。你会发现这样在浏览较大地不惑文件时，能够极大地节省时间。

如图所示，Wireshark经过Coloring RUles（着色规则）窗口能够很容易地查看每一个协议所对应的颜色。能够在主下拉菜单中选择View而后单击Coloring Rules来打开这个窗口。

你能够建立你本身的着色规则，或者修改已有设置。举例来讲，使用下列步骤能够讲=将HTTP流量绿色的默认背景改为淡紫色。

1. 打开Wireshark，而且打开Coloring Rules窗口（View -> Coloring Rules）。
2. 在着色规则地列表中找到HTTP着色规则并单击选中。
3. 单击Edit按钮，你会看到一个Edit Color Filter窗口，以下图所示。
   
   这里的2.2.7版本稍微有一点改动，具体能够看出来。
4. 单击Background Color按钮。
5. 使用颜色滚轮选择一个你但愿使用的颜色，而后单击OK。
6. 再次单击OK来应用改变，并回到主窗口。主窗口此时应该已经重载，并使用了更改过的颜色样式。

让你在网络上使用Wireshark时，你可能会发现你处理某些协议比其余协议要多。这时彩色高亮地数据包就能让你工做地更加方便。举例来讲，若是你以为你的网络上有一个恶意的DHCP服务器在分发IP，你能够简单地修改DHCP协议的着色规则，使其呈现黄色（或者其余便于辨认地颜色）。这可使你可以更快地找出全部DHCP流量，并让你地数据包分析工做更有效率。 你还能够经过基于你本身定制地过滤器建立着色规则，来扩展这些着色规则地用途。