1.9.3　Wireshark的使用

1.启动Wireshark

安装结束后可以直接从桌面（双击Wireshark的快捷方式）或“开始程序”菜单（单击[开始]→[所有程序]→[Wireshark]→[Wireshark]菜单命令）中启动Wireshark。图1-15所示为Wireshark的主窗口界面。

图　1-15　Wireshark的主窗口界面

2.捕获数据包

执行[Capture]→[Interfaces…]菜单命令，弹出网络接口的选择界面，如图1-16所示。

图　1-16　网络接口的选择界面

此时单击第二个接口右边的Start按钮，即可开始捕获数据包了。图1-17所示为捕获数据包的界面。

图　1-17　数据包捕获界面

执行[Capture]→[Stop]菜单命令，将停止数据包捕获。

3.数据包统计

执行[Statistics]→[Summary]菜单命令，弹出数据包统计界面，如图1-18所示。

图　1-18　数据包统计界面

4.保存与打开数据包文件

执行[File]→[Save As…]菜单命令可将捕获的数据包存储到一个文件中。

执行[File]→[Open…]菜单命令可将存储到文件中的数据包回放、显示出来。

5.数据包过滤

在主界面的过滤器（Filter）设置栏中可设置数据包显示与捕获的过滤条件，如图1-19所示。

图　1-19　数据包过滤器设置栏

单击图1-19中所示的Expression…按钮，弹出过滤器设置对话框，如图1-20所示。

图　1-20　过滤器设置对话框

在此以捕获与显示IP源地址为192.168.0.15的数据包为例，设置过滤器，如图1-21所示。

图　1-21　设置过滤器

设置好过滤器后单击OK按钮，Wireshark将回到主界面，注意在过滤器栏中出现了ip.src==192.168.0.15的过滤表达式，如图1-22所示。

图　1-22　设置过滤器后的界面

设置过滤器后，过滤器并没有立即应用，需要单击Apply按钮才能实际应用，过滤后的结果如图1-23所示。

图　1-23　应用过滤器后的结果

如果对过滤的表达式较熟悉，也可以在主界面的过滤器（Filter）设置栏中直接输入过滤表达式进行过滤设置。