Wireshark中文使用教程(用戶版)3.4 Wireshark窗格
3.4.1 “Packet List”窗格
Packet List窗格顯示當前捕獲文件中的所有數據包。
圖3.16。“Packet List”窗格
Packet List中的每一行對應于捕獲文件中的一個數據包。如果您在此窗格中選擇一行,則更多詳細信息將顯示在“Packet Details” 和“Packet Bytes”窗格中。
在剖析數據包時,Wireshark會將來自協議剖析器的信息放入列中。由于較高級別的協議可能會覆蓋較低級別的信息,因此通常只會看到最高級別的信息。
例如,讓我們看一下一個包含TCP數據包的數據包,該數據包在一個以太網數據包的IP內,以太網剖析器將寫入其數據(例如以太網地址),IP剖析器將通過其自己的數據(例如IP地址)將其覆蓋,TCP剖析器將覆蓋IP信息,依此類推。
首選項設置選擇顯示哪些列,請參見8.1.4 首選項。
默認列將顯示:
No.捕獲文件中數據包的編號。即使使用了顯示過濾器,該數字也不會改變。Time時間數據包的時間戳。可以更改此時間戳記的顯示格式,請參見5.3.12 時間顯示格式和時間參考。Source源此數據包來自的地址。Destination目標此數據包將到達的地址。Protocol協議協議名稱,簡稱(縮寫)。Length長度每個數據包的長度。Info信息有關數據包內容的更多信息。
第一列顯示每個數據包與所選數據包的關系。例如,在上面的圖像中選擇第一個數據包,這是一個DNS請求。Wireshark在數據包2中顯示了請求本身的向右箭頭,然后顯示了響應的左向箭頭。為什么會有虛線?還有更多使用相同端口號的DNS數據包。Wireshark將它們視為屬于同一會話,并繪制一條連接它們的線。
表3.16。相關數據包符號
| 符號 | 對應 |
|---|---|
 |
對話中的第一個數據包。 |
 |
所選會話的一部分。 |
 |
不屬于所選對話。 |
 |
對話中的最后一個數據包。 |
 |
請求。 |
 |
響應。 |
 |
所選數據包確認該數據包。 |
 |
所選數據包是此數據包的重復確認。 |
 |
所選分組以某種其他方式與此分組相關,例如作為重組的一部分。 |
數據包列表中有一個Intelligent Scrollbar,可顯示附近數據包的微型地圖。 滾動條的每條光柵線對應一個數據包,因此地圖中顯示的數據包數量取決于您的物理顯示和數據包列表的高度,高分辨率顯示屏上的數據包列表很高,將向您顯示很多數據包。
3.4.2 “Packet Details”窗格
數據包詳細信息窗格以更詳細的形式顯示當前數據包(在“Packet List”窗格中選擇)。
圖3.17。“Packet Details”窗格
此窗格顯示在“Packet List”窗格中選擇的數據包的協議和協議字段。包中的協議和字段顯示在樹中,可以展開和折疊。
有一個上下文菜單(單擊鼠標右鍵)。
一些協議字段具有特殊含義。
- Generated fields.Wireshark本身將生成捕獲的數據中不存在的其他協議信息。此信息括在方括號(“ [”和“]”)中。生成的信息包括響應時間,TCP分析,IP地理位置信息和校驗和驗證。
- Links.如果Wireshark在捕獲文件中檢測到與另一個數據包的關系,它將生成到該數據包的鏈接。鏈接帶有下劃線并顯示為藍色。如果雙擊鏈接,Wireshark將跳至相應的數據包。
3.4.3“Packet Bytes”窗格
數據包字節窗格以十六進制轉儲樣式顯示當前數據包的數據(在“Packet List”窗格中選擇)。
圖3.18。“Packet Bytes”窗格
“Packet Bytes”窗格顯示數據包數據的規范 十六進制轉儲。每行包含數據偏移量,十六個十六進制字節和十六個ASCII字節。非printalbe字節將用句點(“。”)替換。
取決于數據包數據,有時可以使用一頁以上的頁面,例如,當Wireshark將某些數據包重新組裝為單個數據塊時。(有關詳細信息,請參見 6.1.6 包重組)。在這種情況下,您可以通過單擊窗格底部相應的選項卡來查看每個數據源。
圖3.19。帶標簽的“數據包字節”窗格
附加頁面通常包含從多個數據包重組或解密的數據。
如果窗格中的大小對于所有選項卡標簽而言都太小,可單擊鼠標右鍵,選項卡標簽的上下文菜單將顯示所有可用頁面的列表。
推薦文章: