Wireshark使用教程：[2]用户界面

1、安装完成后，即可运行wireshark。打开wireshark 后的抓包主界面如下图所示。Wireshark 主窗口由如下部分组成： 1.菜单——用于开始操作。 2.主工具栏——提供快速访问菜单中经常用到的项目的功能。 3.Fiter toolbar/过滤工具栏——提供处理当前显示过滤得方法。 4.Packet List 面板——显示打开文件的每个包的摘要。点击面板中的单独条目，包的其他情况将会显示在另外两个面板中。 5.Packet detail 面板——显示您在Packet list 面板中选择的包的更多详情。 6.Packet bytes 面板——显示您在Packet list 面板选择的包的数据，以及在Packet details 面板高亮显示的字段。7.状态栏——显示当前程序状态以及捕捉数据的更多详情。

4、过滤工具栏点击Filter 按钮会弹出display filter 对话框这个和在工具栏上输入协议来查找包的结果是一样的，只是它方便点 New——增加一个新的过滤器到列表中。当酡箔挝棍前输入的Fiter name，Filterstring 将会被使用并被保存，如果这些都为空，将会设置为―new‖。 Delete——删除选中的过滤器。如果没有过滤器被选中则为灰色 Filter name——修改当前选择的过滤器的名称。注：过滤器名称仅用在此处为了区分方便而已，没有其他用处。可以将多个过滤器使用同一个名称，但这样很不方便。 Filter string——修改当前选中过滤器的内容。仅适用显示过滤：在输入时进行语法检查。 Add expression——仅适用显示过滤：打开增加表达式对话框，辅助创建过滤表达式。 OK——仅适用显示过滤：应用当前显示选择的过滤器，关闭当前对话框。 Apply——仅适用显示过滤：应用当前显示选择的过滤器。 Cancel——放弃当前设置，关闭当前对话框。点击Expression 按钮，会出现Filter Expression 对话框Field name——从协议字段书中选择协议字段。每个可过滤协议都放在第一级。点击―+‖展开列表，可以获得关于那些协议的可过滤字段。 Relation——从可以关系列表中选择关系。Is present 是一元关系，如果选择的字段存在，表达式为真值。其它关系为二元关系，需附加数据来完成。如果从字段名列表选择一个字段，并选择一个二元关系，你可能需要输入值，也有可能是范围信息。 Value——在此输入合适的配置值，输入的值同样要符合你选择的fieldname 的属性值类型。 Predefined values——有些协议字段包含预设值可用，这点和C 语言中的枚举变量类似。如果选择的协议有这样的值定义，你可以再次选择。在工具栏上输：tcp点击在此区域输入或修改显示的过滤字符，在输入过程中会进行语法检查。如果您输入的格式不正确，或者未输入完成，则背景显示为红色。直到您输入合法的表达式，背景会变为绿色。你可以点击下拉列表选择您先前键入的过滤字符。列表会一直保留，即使您重新启动程序。

6、封包列表信息这里显示的是在封包列表中被选中项目的详细信息。信息按照不同的OSIlayer 进行了分组，您可以展开每个项目查看。