wireshark软件操作手册（Wireshark软件简单认识）

Wireshark软件是Windows、UNIX、Linux和Macintosh OS X系统上非常流行的协议分析器，也就是我们常说的抓包软件。

WinPacp，一种捕获网络数据流的Windows驱动程序。对于Wireshaark软件而言，只有与WinPcap（或叫作pcap）数据包捕获驱动程序和兼容网卡一起使用是，才会显示错误。

Pacp，packet Capture，是基于UNIX应用编程接口（API）构建的，又称为libpcap。Winpacp是Windows兼容版，是确保Wireshark分析器正常工作的一个重要组件。

Ⅰ.进入Wireshark软件

打开Wireshark软件后，进入Wireshark软件的主界面。（使用的Wireshark软件为英文版。）

Wireshark软件主界面

菜单栏，一共有11个选项，从左往右依次是File（文件）、Edit（编辑）、View（视图）、Go（跳转）、Capture（捕获）、Analyze（分析）、Statistics（统计）、Telephony（电话）、Wireless（无线）、Tools（工具）、Help（帮助）。

从主界面上可以看到，Wireshark软件检测到该计算机上有四个端口，以太网2、WLAN、以太网和本地连接*2，其中WLAN右侧是变动的波浪线，说明计算机的无线网卡正在工作，当前正在传输数据。

Ⅱ.查看数据包详情

双击WLAN，进入解码后的视图。

数据流的详细情况界面图

在数据包列表窗格中，共有7列，第3列Source列，表示源地址列，显示的是数据包的源IP地址；第4列Destination列，表示目的地址，显示的是数据包的目的IP地址；第5列Protocol列，协议列，表示该数据包使用何种协议；第6列Length列，长度列，表示该数据包的长度（以字节为单位）；第7列Info列（information的缩写），信息列，表示数据包的详细信息。

数据包内容窗格和数据包字节窗格是对应的，点击数据包内容窗格中的任意一列，相对应的字节信息都还在字节窗格中被标注出来。

Ethernet Ⅱ帧

双击Ethernet Ⅱ所在的那一行或者单击箭头，会出现关于Ethernet Ⅱ帧的详细信息，主要展示的目的MAC地址和源MAC地址。

Ethernet II，DIX帧，最常见的帧类型，通常直接被IP协议使用。

Ⅲ.查看会话信息

回到Wireshark软件的主界面，点击Statistics（统计）键，出现下拉菜单，点击Conversations（会话）。

Conversations（会话）

进入Conversations（会话）窗口。

会话窗口图

在会话窗口里，默认显示的会话类型有5种，Ethernet、IPv4、IPv6、TCP、UDP，是最常见的5类协议。协议后面跟的数字，表示该网络当前这个时刻建立有多少个会话，比如TCP·12，就表示侦测的WLAN网络，当前建立的TCP会话共有12个。

会话窗口里显示的内容主要是源IP地址、源端口、目的IP地址、目的端口、包数目、字节数目等。

Ⅳ.查看跟踪缓冲区中的数据包分布百分比和大小

回到Wireshark软件的主界面，点击Statistics（统计）键，出现下拉菜单，点击Protocol Hierarchy（协议分层）。

Protocol Hierarchy（协议分层）

进入Protocol Hierarchy（协议分层）界面。

协议分层窗口图

Protocol Hierarchy（协议分层）界面里，主要看两项内容，一是看在数据包缓冲区里，数据包的分布百分比，从上图可以看出，IPv4的数据包占比最大。二是看相关数据包的大小，大小以字节为单位列出。

Ⅴ.查看Wireshark软件每秒钟捕获数据包数量的展示

回到Wireshark软件的主界面，点击Statistics（统计）键，出现下拉菜单，点击I/O Graph（图形展示）。

I/O Graph（图形展示）

进入I/O Graph界面。

图形展示窗口图

坐标图以Time（s）时间为横轴，Packets/1 sec每秒捕获包数量为纵轴。

若是选择查看自己想要的图形，在Y Axis（Y轴）部分，双击Packets,出现下拉列表，变更Y轴单位。

下拉列表图

关于SMA Period，Simple Moving Average Period，简单移动平均期，意为软件所取的值是一个极短的默认时间段的平均值，因为时间可以无限小的划分，不存在完全意义上的瞬时值。这个值也可以调整，和改变Y轴单位方法一致。

Ⅵ.过滤器

Wireshark软件，过滤器可以减少软件要从跟踪文件中显示的信息量，也有利于工作人员观察重要信息，及时排除故障。

回到Wireshark软件的主界面，点击Capture（捕获）键，出现下拉菜单，点击Capture Fiters。

Capture Filters（过滤器）

进入Capture Filters界面。

过滤器窗口图

当前的Capture Filters界面，显示的是Wireshark软件的预置过滤器，Name是过滤器的名称，Filter是过滤器的命名语句。

,