Wirehark - Trực tuyến trên đám mây

Chạy Wirehark trong nhà cung cấp dịch vụ lưu trữ miễn phí OnWorks qua Ubuntu Online, Fedora Online, trình giả lập trực tuyến Windows hoặc trình mô phỏng trực tuyến MAC OS

Đây là lệnh wirehark có thể được chạy trong nhà cung cấp dịch vụ lưu trữ miễn phí OnWorks bằng cách sử dụng một trong nhiều máy trạm trực tuyến miễn phí của chúng tôi như Ubuntu Online, Fedora Online, trình giả lập trực tuyến Windows hoặc trình mô phỏng trực tuyến MAC OS

Chạy trong Ubuntu Chạy trong Fedora Chạy trong Windows Sim Chạy trong MACOS Sim

CHƯƠNG TRÌNH:

TÊN

Wirehark - Kết xuất và phân tích lưu lượng mạng một cách tương tác

SYNOPSIS

Wireshark [ -a ] ... [ -b ] ...
[ -B ] [ -c ] [ -C ]
[ -D ] [ --display =] [ -f ] [ -g ]
[ -h ] [ -H ] [ -i | -] [ -I ] [ -j ] [ -J ] [ -k ]
[ -K ] [ -l ] [ -L ] [ -m ] [ -n ] [ -N ]
[ -o ] ... [ -p ] [ -P ] [ -r ]
[ -R ] [ -s ] [ -S ]
[ -t a | ad | adoy | d | dd | e | r | u | ud | udoy] [ -v ] [ -w ] [ -X ]
[ -y ] [ -Y ] [ -z ] [ ]

MÔ TẢ

Wireshark là một bộ phân tích giao thức mạng GUI. Nó cho phép bạn duyệt qua gói tin một cách tương tác
dữ liệu từ mạng trực tiếp hoặc từ tệp chụp đã lưu trước đó. Wiresharkbản địa của
định dạng tệp chụp là mũ định dạng, cũng là định dạng được sử dụng bởi tcpdump và nhiều
Các công cụ khác.

Wireshark có thể đọc / nhập các định dạng tệp sau:

· Pcap - chụp từ Wireshark/TShark/cái mũ lưỡi trai, tcpdumpvà nhiều công cụ khác bằng cách sử dụng
Định dạng chụp của libpcap / WinPcap / tcpdump's / WinDump

· Pcap-ng - người kế nhiệm "thế hệ tiếp theo" cho định dạng pcap

· snoop và atmsnoop chụp

· Shomiti / Finisar Viên thanh tra chụp

· Tiểu thuyết máy phân tích mạng LAN chụp

· Microsoft mạng Màn Hình chụp

· AIX's iptrace chụp

· Mạng Cinco NetXRay chụp

· Liên kết mạng dựa trên Windows Đánh hơi chụp

· Network General / Network Associates dựa trên nền tảng DOS Đánh hơi (nén hoặc không nén)
chụp

· AG Group / WildPackets / Savvius EtherPeek/TokenPeek/AiroPeek/EtherTrợ giúp/PacketGrabber
chụp

· RADCOMChụp phân tích WAN / LAN của

· Dụng cụ mạng Observer phiên bản 9 chụp

· Lucent / Ascend đầu ra gỡ lỗi bộ định tuyến

· Các tệp từ HP-UX's cây tầm ma

· Toshiba Kết xuất kết xuất bộ định tuyến ISDN

· Đầu ra từ i4btrace từ dự án ISDN4BSD

· Dấu vết từ mắtSDN USBS0.

· Đầu ra trong Nhật ký IP định dạng từ Hệ thống phát hiện xâm nhập an toàn của Cisco

· ppppd các bản ghi (định dạng pppdump)

· Đầu ra từ VMS's TCPIPtrace/theo dõi TCP/UCX $ TRACE tiện ích

· Đầu ra văn bản từ DBS đồng hồ ether Tiện ích VMS

· Mạng trực quan ' Hình ảnh Thời gian hoạt động nắm bắt giao thông

· Đầu ra từ Cô sin Gỡ lỗi L2

· Đầu ra từ InfoVista 5Xem Đại lý mạng LAN

· Chụp định dạng ERF của Hệ thống đo lường Endace

· Ngăn xếp Bluetooth Bluez của Linux hcidump -w bước chân

· Tệp .out Catapult DCT2000

· Gammu tạo văn bản đầu ra từ điện thoại Nokia DCT3 ở chế độ Netmonitor

· Dòng IBM (OS / 400) Dấu vết giao tiếp (ASCII & UNICODE)

· Juniper Netscreen snoop tệp

· Các tệp btsnoop của hệ điều hành Symbian

· Tệp TamoSoft CommView

· Tệp định dạng Textronix K12xx 32bit .rf5

· Chụp định dạng tệp văn bản Textronix K12

· Các tệp Apple PacketLogger

· Các tập tin từ phần mềm PC108 của Aethra Viễn thông cho các dụng cụ thử nghiệm của họ

· Luồng truyền tải MPEG-2 như được định nghĩa trong ISO / IEC 13818-1

· Các tệp Thanh tra CAM của Rabbit Labs

· Các tệp Colasoft Capsa

Không cần phải nói Wireshark loại tệp bạn đang đọc; nó sẽ xác định
loại tệp của chính nó. Wireshark cũng có khả năng đọc bất kỳ định dạng tệp nào trong số này
nếu chúng được nén bằng gzip. Wireshark nhận ra điều này trực tiếp từ tệp; các
Phần mở rộng '.gz' không bắt buộc cho mục đích này.

Giống như các máy phân tích giao thức khác, WiresharkCửa sổ chính của nó hiển thị 3 dạng xem của một gói tin. Nó
hiển thị một dòng tóm tắt, mô tả ngắn gọn gói tin là gì. Một màn hình hiển thị chi tiết gói là
hiển thị, cho phép bạn đi sâu vào giao thức hoặc trường chính xác mà bạn quan tâm.
Cuối cùng, một kết xuất hex cho bạn biết chính xác gói trông như thế nào khi nó đi qua
dây.

Ngoài ra, Wireshark có một số tính năng làm cho nó trở nên độc đáo. Nó có thể lắp ráp tất cả các
các gói trong cuộc hội thoại TCP và hiển thị cho bạn dữ liệu ASCII (hoặc EBCDIC, hoặc hex) trong đó
cuộc hội thoại. Hiển thị bộ lọc trong Wireshark rất mạnh mẽ; nhiều trường hơn có thể lọc
in Wireshark so với các trình phân tích giao thức khác và cú pháp bạn có thể sử dụng để tạo
bộ lọc phong phú hơn. Như Wireshark tiến triển, mong đợi ngày càng có nhiều trường giao thức
được phép trong bộ lọc hiển thị.

Việc bắt gói được thực hiện với thư viện pcap. Cú pháp bộ lọc chụp sau
các quy tắc của thư viện pcap. Cú pháp này khác với cú pháp bộ lọc hiển thị.

Hỗ trợ tệp nén sử dụng (và do đó yêu cầu) thư viện zlib. Nếu zlib
thư viện không có, Wireshark sẽ biên dịch, nhưng sẽ không thể đọc được khi nén
các tập tin.

Tên đường dẫn của tệp tin chụp sẽ được đọc có thể được chỉ định bằng -r tùy chọn hoặc có thể là
được chỉ định như một đối số dòng lệnh.

LỰA CHỌN

Hầu hết người dùng sẽ muốn bắt đầu Wireshark không có tùy chọn và định cấu hình nó từ menu
thay thế. Những người dùng đó có thể bỏ qua phần này.

-Một
Chỉ định một tiêu chí chỉ định khi Wireshark là ngừng viết để chụp
tập tin. Tiêu chí là về hình thức thử nghiệm:giá trị, Nơi thử nghiệm là một trong những:

thời gian:giá trị Dừng ghi vào tệp chụp sau giá trị giây đã trôi qua.

Kích thước tập tin:giá trị Dừng ghi vào tệp chụp sau khi nó đạt đến kích thước giá trị kB. Nếu như
tùy chọn này được sử dụng cùng với tùy chọn -b, Wireshark sẽ ngừng ghi vào
tệp chụp hiện tại và chuyển sang tệp tiếp theo nếu đạt đến kích thước tệp. Lưu ý rằng
kích thước tệp được giới hạn ở giá trị tối đa là 2 GiB.

các tập tin:giá trị Dừng ghi để chụp các tệp sau giá trị số lượng tệp đã được viết.

-NS
Nguyên nhân Wireshark để chạy ở chế độ "nhiều tệp". Ở chế độ "nhiều tệp", Wireshark
sẽ ghi vào một số tệp chụp. Khi tập tin chụp đầu tiên đầy, Wireshark
sẽ chuyển cách ghi sang tệp tiếp theo và cứ tiếp tục như vậy.

Các tên tệp được tạo dựa trên tên tệp được cung cấp với -w cờ, số lượng
tệp và vào ngày giờ tạo, ví dụ: outfile_00001_20050604120117.pcap,
outfile_00002_20050604120523.pcap, ...

Với các tập tin tùy chọn này cũng có thể tạo thành một "bộ đệm vòng". Điều này sẽ lấp đầy
các tệp mới cho đến khi số lượng tệp được chỉ định, tại thời điểm đó Wireshark sẽ loại bỏ
dữ liệu trong tệp đầu tiên và bắt đầu ghi vào tệp đó, v.v. Nếu các tập tin
tùy chọn chưa được đặt, các tệp mới sẽ được lấp đầy cho đến khi một trong các điều kiện dừng chụp phù hợp
(hoặc cho đến khi đĩa đầy).

Tiêu chí là về hình thức chính:giá trị, Nơi chính là một trong những:

thời gian:giá trị chuyển sang tệp tiếp theo sau giá trị giây đã trôi qua, ngay cả khi
tệp hiện tại chưa được lấp đầy hoàn toàn.

Kích thước tập tin:giá trị chuyển sang tệp tiếp theo sau khi nó đạt đến kích thước giá trị kB. Lưu ý rằng
kích thước tệp được giới hạn ở giá trị tối đa là 2 GiB.

các tập tin:giá trị bắt đầu lại với tệp đầu tiên sau giá trị số lượng tệp đã được viết
(tạo thành một bộ đệm vòng). Giá trị này phải nhỏ hơn 100000. Cần thận trọng khi sử dụng
khi sử dụng số lượng lớn tệp: một số hệ thống tệp không xử lý nhiều tệp trong một
thư mục duy nhất tốt. Các các tập tin tiêu chí yêu cầu một trong hai thời gian or Kích thước tập tin được
được chỉ định để kiểm soát thời điểm chuyển đến tệp tiếp theo. Cần lưu ý rằng mỗi -b
tham số nhận chính xác một tiêu chí; để chỉ định hai tiêu chí, mỗi tiêu chí phải được đặt trước
bởi -b tùy chọn.

Ví dụ: -b kích thước tệp: 1000 -b tệp: 5 dẫn đến một bộ đệm vòng có năm tệp có kích thước
một megabyte mỗi.

-NS
Đặt kích thước bộ đệm chụp (trong MiB, mặc định là 2 MiB). Điều này được sử dụng bởi chụp
trình điều khiển để đệm dữ liệu gói cho đến khi dữ liệu đó có thể được ghi vào đĩa. Nếu bạn gặp phải
gói tin bị rơi trong khi chụp, hãy cố gắng tăng kích thước này lên. Lưu ý rằng, trong khi Wireshark
cố gắng đặt kích thước bộ đệm thành 2 MiB theo mặc định và có thể được yêu cầu đặt nó thành
giá trị lớn hơn, hệ thống hoặc giao diện mà bạn đang nắm bắt có thể âm thầm giới hạn
kích thước bộ đệm chụp thành giá trị thấp hơn hoặc nâng nó lên giá trị cao hơn.

Điều này có sẵn trên các hệ thống UNIX với libpcap 1.0.0 trở lên và trên Windows. Nó là
không khả dụng trên hệ thống UNIX với các phiên bản libpcap trước đó.

Tùy chọn này có thể xảy ra nhiều lần. Nếu được sử dụng trước lần xuất hiện đầu tiên của -i
tùy chọn, nó đặt kích thước bộ đệm chụp mặc định. Nếu được sử dụng sau một -i tùy chọn, nó thiết lập
kích thước bộ đệm chụp cho giao diện được chỉ định bởi -i lựa chọn xảy ra
trước tùy chọn này. Nếu kích thước bộ đệm chụp không được đặt cụ thể, giá trị mặc định
kích thước bộ đệm chụp được sử dụng để thay thế.

-NS
Đặt số lượng gói tối đa để đọc khi thu thập dữ liệu trực tiếp.

-C
Bắt đầu với cấu hình đã cho.

-D in danh sách các giao diện trên đó Wireshark có thể nắm bắt và thoát ra. Cho mỗi
giao diện mạng, một số và tên giao diện, có thể theo sau là văn bản
mô tả của giao diện, được in. Tên giao diện hoặc số có thể là
cung cấp cho -i cờ để chỉ định một giao diện để chụp.

Điều này có thể hữu ích trên các hệ thống không có lệnh liệt kê chúng (ví dụ: Windows
hệ thống hoặc thiếu hệ thống UNIX ifconfig -a); số có thể hữu ích trên Windows
Hệ thống 2000 trở lên, trong đó tên giao diện là một chuỗi hơi phức tạp.

Lưu ý rằng "có thể nắm bắt" có nghĩa là Wireshark đã có thể mở thiết bị đó để phát trực tiếp
chiếm lấy; nếu, trên hệ thống của bạn, một chương trình thực hiện việc chụp ảnh mạng phải được chạy từ
tài khoản có các đặc quyền đặc biệt (ví dụ: với tư cách là người chủ), sau đó, nếu Wireshark được chạy với
các -D cờ và không được chạy từ một tài khoản như vậy, nó sẽ không liệt kê bất kỳ giao diện nào.

--display =
Chỉ định màn hình X để sử dụng. Tên máy chủ và màn hình (máy chủ khác: 0.0) hoặc chỉ
màn hình (: 0.0) có thể được chỉ định. Tùy chọn này không khả dụng trong Windows.

-NS
Đặt biểu thức bộ lọc chụp.

Tùy chọn này có thể xảy ra nhiều lần. Nếu được sử dụng trước lần xuất hiện đầu tiên của -i
tùy chọn, nó đặt biểu thức bộ lọc chụp mặc định. Nếu được sử dụng sau một -i tùy chọn, nó
đặt biểu thức bộ lọc chụp cho giao diện được chỉ định bởi -i tùy chọn
xảy ra trước tùy chọn này. Nếu biểu thức bộ lọc chụp không được đặt
cụ thể, biểu thức bộ lọc chụp mặc định được sử dụng nếu được cung cấp.

-g
Sau khi đọc trong một tệp chụp bằng cách sử dụng -r cờ, đi đến gói con số.

-h In phiên bản và các tùy chọn và thoát.

- Ẩn hộp thoại thông tin chụp trong quá trình chụp gói trực tiếp.

-tôi | -
Đặt tên của giao diện mạng hoặc đường ống để sử dụng cho việc bắt gói trực tiếp.

Tên giao diện mạng phải khớp với một trong các tên được liệt kê trong "Wireshark -D"
(miêu tả trên); một số, như được báo cáo bởi "Wireshark -D", cũng có thể được sử dụng. Nếu
bạn đang sử dụng UNIX, "netstat -i"Hoặc"ifconfig -a"cũng có thể hoạt động với giao diện danh sách
tên, mặc dù không phải tất cả các phiên bản của UNIX đều hỗ trợ -a gắn cờ cho ifconfig.

Nếu không có giao diện nào được chỉ định, Wireshark tìm kiếm danh sách các giao diện, chọn
giao diện không lặp lại đầu tiên nếu có bất kỳ giao diện không lặp lại nào và chọn
giao diện lặp đầu tiên nếu không có giao diện không lặp lại. Nếu không có
tất cả các giao diện, Wireshark báo lỗi và không bắt đầu chụp.

Tên đường ống phải là tên của FIFO (đường ống được đặt tên) hoặc `` - '' để đọc dữ liệu từ
đầu vào tiêu chuẩn. Trên hệ thống Windows, tên ống phải có dạng
`` \\ đường ống \. \tên đường ống''. Dữ liệu đọc từ các đường ống phải ở định dạng pcap tiêu chuẩn.

Tùy chọn này có thể xảy ra nhiều lần. Khi chụp từ nhiều giao diện,
tập tin chụp sẽ được lưu ở định dạng pcap-ng.

-Tôi đặt giao diện ở "chế độ giám sát"; điều này chỉ được hỗ trợ trên IEEE 802.11 Wi-Fi
và chỉ được hỗ trợ trên một số hệ điều hành.

Lưu ý rằng ở chế độ giám sát, bộ điều hợp có thể tách khỏi mạng mà
nó được liên kết, do đó bạn sẽ không thể sử dụng bất kỳ mạng không dây nào với
bộ chuyển đổi. Điều này có thể ngăn truy cập tệp trên máy chủ mạng hoặc máy chủ lưu trữ phân giải
tên hoặc địa chỉ mạng, nếu bạn đang chụp ở chế độ màn hình và không được kết nối
tới mạng khác bằng bộ điều hợp khác.

Tùy chọn này có thể xảy ra nhiều lần. Nếu được sử dụng trước lần xuất hiện đầu tiên của -i
tùy chọn, nó bật chế độ màn hình cho tất cả các giao diện. Nếu được sử dụng sau một -i Tùy chọn,
nó bật chế độ giám sát cho giao diện được chỉ định bởi -i tùy chọn
xảy ra trước tùy chọn này.

-j Sử dụng sau -J để thay đổi hành vi khi không tìm thấy kết quả phù hợp chính xác nào cho bộ lọc. Với
tùy chọn này chọn gói đầu tiên trước đó.

-J
Sau khi đọc trong một tệp chụp bằng cách sử dụng -r cờ, chuyển đến gói phù hợp với
bộ lọc (hiển thị cú pháp bộ lọc). Nếu không tìm thấy kết quả phù hợp chính xác thì gói đầu tiên sau
được chọn.

-k Bắt đầu phiên chụp ngay lập tức. Nếu -i cờ đã được chỉ định, việc chụp ảnh sử dụng
giao diện được chỉ định. Nếu không thì, Wireshark tìm kiếm danh sách các giao diện,
chọn giao diện không lặp lại đầu tiên nếu có bất kỳ giao diện không lặp lại nào,
và chọn giao diện lặp đầu tiên nếu không có giao diện nào không lặp lại; nếu như
không có giao diện, Wireshark báo lỗi và không bắt đầu chụp.

-K
Tải các khóa mật mã kerberos từ tệp keytab được chỉ định. Tùy chọn này có thể được sử dụng
nhiều lần để tải các khóa từ một số tệp.

Ví dụ: -K krb5.keytab

-l Bật tự động cuộn nếu màn hình gói đang được cập nhật tự động như
các gói đến trong quá trình chụp (như được chỉ định bởi -S cờ).

-L Liệt kê các kiểu liên kết dữ liệu được hỗ trợ bởi giao diện và thoát.

-m
Đặt tên của phông chữ được sử dụng bởi Wireshark cho hầu hết các văn bản. Wireshark sẽ xây dựng
tên của phông chữ đậm được sử dụng cho dữ liệu trong ngăn dạng xem byte tương ứng với
trường được chọn trong ngăn chi tiết gói từ tên của phông chữ văn bản chính.

-n Tắt độ phân giải tên đối tượng mạng (chẳng hạn như tên máy chủ, tên cổng TCP và UDP),
-N cờ có thể ghi đè cái này.

-N
Chỉ bật tính năng phân giải tên cho các loại địa chỉ và số cổng cụ thể, với
tính năng phân giải tên cho các loại địa chỉ và số cổng khác đã bị tắt. Cờ này
ghi đè -n nếu cả hai -N và -n đang có mặt. Nếu cả hai -N và -n cờ không có,
tất cả các độ phân giải tên được bật.

Đối số là một chuỗi có thể chứa các chữ cái:

m để kích hoạt phân giải địa chỉ MAC

n để kích hoạt phân giải địa chỉ mạng

N để cho phép sử dụng trình phân giải bên ngoài (ví dụ: DNS) để phân giải địa chỉ mạng

t để kích hoạt độ phân giải số cổng của lớp truyền tải

C để bật tra cứu DNS đồng thời (không đồng bộ)

d để kích hoạt độ phân giải từ các gói DNS đã bắt được

-o
Đặt tùy chọn hoặc giá trị gần đây, ghi đè giá trị mặc định và bất kỳ giá trị nào được đọc từ
một tùy chọn / tệp gần đây. Đối số cho cờ là một chuỗi có dạng
tên trước:giá trị, Nơi tên trước là tên của sở thích / giá trị gần đây (là
cùng tên sẽ xuất hiện trong tùy chọn / tệp gần đây), và giá trị là giá trị
mà nó sẽ được thiết lập. Từ Ethereal 0.10.12, các cài đặt gần đây thay thế
trước đây được sử dụng cờ -B, -P và -T để thao tác với các kích thước GUI.

If tên trước là "uat", bạn có thể ghi đè cài đặt trong các bảng truy cập người dùng khác nhau bằng cách sử dụng
hình thức uat:uât tên tập tin:uât ghi. uât tên tập tin phải là tên của tệp UAT,
ví dụ người dùng. uat_record phải ở dạng bản ghi hợp lệ cho tệp đó,
bao gồm cả dấu ngoặc kép. Ví dụ: để chỉ định một DLT người dùng từ dòng lệnh, bạn
nên sử dụng

-o "uat: user_dooter: \" Người dùng 0 (DLT = 147) \ ", \" cảnh sát \ ", \" 0 \ ", \" \ ", \" 0 \ ", \" \ ""

-p Đừng đưa giao diện vào chế độ lăng nhăng. Lưu ý rằng giao diện có thể ở
chế độ lăng nhăng vì một số lý do khác; kể từ đây, -p không thể được sử dụng để đảm bảo rằng
chỉ lưu lượng được ghi lại là lưu lượng được gửi đến hoặc từ máy mà trên đó
Wireshark đang chạy, lưu lượng truyền phát và lưu lượng phát đa hướng đến các địa chỉ đã nhận
bằng máy đó.

Tùy chọn này có thể xảy ra nhiều lần. Nếu được sử dụng trước lần xuất hiện đầu tiên của -i
tùy chọn, không có giao diện nào sẽ được đưa vào chế độ quảng cáo. Nếu được sử dụng sau một -i
tùy chọn, giao diện được chỉ định bởi -i tùy chọn xảy ra trước tùy chọn này
sẽ không bị đưa vào chế độ lăng nhăng.

-P
Cài đặt đường dẫn đặc biệt thường được phát hiện tự động. Điều này được sử dụng cho các trường hợp đặc biệt,
ví dụ: khởi động Wireshark từ một vị trí đã biết trên thẻ USB.

Tiêu chí là về hình thức chính:con đường, Nơi chính là một trong những:

cải biên:con đường đường dẫn của các tệp cấu hình cá nhân, như tệp tùy chọn.

nhân vật:con đường đường dẫn của các tệp dữ liệu cá nhân, đó là thư mục được mở ban đầu. Sau
lần khởi tạo đầu tiên, tệp gần đây sẽ giữ cho thư mục được sử dụng lần cuối.

-r
Đọc dữ liệu gói từ trong tập tin, có thể là bất kỳ định dạng tệp chụp được hỗ trợ nào (bao gồm
các tệp được nén). Không thể sử dụng các đường ống hoặc stdin đã đặt tên ở đây! Để chụp từ một
ống hoặc từ việc sử dụng stdin -i -

-NS
Khi đọc một tệp chụp được chỉ định với -r cờ, gây ra bộ lọc được chỉ định
(sử dụng cú pháp của bộ lọc hiển thị, thay vì cú pháp của bộ lọc chụp) được
áp dụng cho tất cả các gói được đọc từ tệp chụp; các gói không phù hợp với bộ lọc là
bỏ đi.

-NS
Đặt độ dài ảnh chụp nhanh mặc định để sử dụng khi chụp dữ liệu trực tiếp. Không nhiều hơn cái búng tay
byte của mỗi gói mạng sẽ được đọc vào bộ nhớ hoặc được lưu vào đĩa. Giá trị 0
chỉ định độ dài ảnh chụp nhanh là 65535, để gói tin đầy đủ được ghi lại; đây là
mặc định.

Tùy chọn này có thể xảy ra nhiều lần. Nếu được sử dụng trước lần xuất hiện đầu tiên của -i
tùy chọn, nó đặt độ dài ảnh chụp nhanh mặc định. Nếu được sử dụng sau một -i tùy chọn, nó đặt
độ dài ảnh chụp nhanh cho giao diện được chỉ định bởi -i tùy chọn xảy ra trước
tùy chọn này. Nếu độ dài ảnh chụp nhanh không được đặt cụ thể, ảnh chụp nhanh mặc định
chiều dài được sử dụng nếu được cung cấp.

-Tự động cập nhật màn hình hiển thị gói khi các gói đến.

-ta | ad | adoy | d | dd | e | r | u | ud | udoy
Đặt định dạng của dấu thời gian gói được hiển thị trong cửa sổ danh sách gói. Các
định dạng có thể là một trong số:

a tuyệt đối: Giờ tuyệt đối, là giờ địa phương trong múi giờ của bạn, là thời gian thực tế
gói đã được chụp, không có ngày hiển thị

ad tuyệt đối với ngày: Ngày tuyệt đối, được hiển thị dưới dạng YYYY-MM-DD và thời gian, dưới dạng cục bộ
thời gian trong múi giờ của bạn, là ngày và giờ thực tế gói được bắt

người yêu tuyệt đối với ngày sử dụng ngày trong năm: Ngày tuyệt đối, được hiển thị là YYYY / DOY,
và thời gian, là giờ địa phương trong múi giờ của bạn, là ngày và giờ thực tế gói tin
bị bắt

d delta: Thời gian delta là thời gian kể từ khi gói tin trước đó được bắt

dd delta_displayed: Thời gian delta_displayed là thời gian kể từ lần hiển thị trước đó
gói đã được bắt

e kỷ nguyên: Thời gian tính bằng giây kể từ kỷ nguyên (1 tháng 1970 năm 00 00:00:XNUMX)

r tương đối: Thời gian tương đối là thời gian trôi qua giữa gói đầu tiên và
gói hiện tại

u UTC: Thời gian tuyệt đối, là UTC, là thời gian thực tế gói tin được bắt, không có
ngày hiển thị

ud UTC với ngày: Ngày tuyệt đối, được hiển thị là YYYY-MM-DD và thời gian, là UTC, là
thời gian và ngày thực tế gói được bắt

ngu xuẩn UTC với ngày sử dụng ngày trong năm: Ngày tuyệt đối, được hiển thị dưới dạng YYYY / DOY và
thời gian, là UTC, là ngày và giờ thực tế gói được bắt

Định dạng mặc định là tương đối.

-v In phiên bản và thoát.

-w
Đặt tên tệp chụp mặc định.

-X
Chỉ định một tùy chọn được chuyển đến một Wireshark mô-đun. Tùy chọn eXtension nằm trong
hình thức khóa_phần mở rộng:giá trị, Nơi khóa_phần mở rộng có thể:

lua_script:lua_script_filename nói Wireshark để tải tập lệnh đã cho ngoài
các tập lệnh Lua mặc định.

lua_scriptnum:đối số nói Wireshark để chuyển đối số đã cho vào tập lệnh lua
được xác định bởi 'num', là số thứ tự được lập chỉ mục của lệnh 'lua_script'.
Ví dụ: nếu chỉ một tập lệnh được tải bằng '-X lua_script: my.lua', thì '-X
lua_script1: foo 'sẽ chuyển chuỗi' foo 'sang tập lệnh' my.lua '. Nếu hai tập lệnh
đã được tải, chẳng hạn như '-X lua_script: my.lua' và '-X lua_script: other.lua' trong đó
đặt hàng, sau đó một '-X lua_script2: bar' sẽ chuyển chuỗi 'bar' đến lua thứ hai
script, cụ thể là 'other.lua'.

định dạng đọc:định dạng tệp nói Wireshark sử dụng định dạng tệp nhất định để đọc trong
tệp (tệp được cung cấp trong -r tùy chọn lệnh).

stdin_descr:Mô tả nói Wireshark để sử dụng mô tả đã cho khi chụp
từ đầu vào tiêu chuẩn (-i -).

-y
Nếu bắt đầu từ dòng lệnh với -k, đặt loại liên kết dữ liệu để sử dụng
trong khi bắt các gói tin. Các giá trị được báo cáo bởi -L là các giá trị có thể được sử dụng.

Tùy chọn này có thể xảy ra nhiều lần. Nếu được sử dụng trước lần xuất hiện đầu tiên của -i
tùy chọn, nó đặt loại liên kết chụp mặc định. Nếu được sử dụng sau một -i tùy chọn, nó thiết lập
loại liên kết nắm bắt cho giao diện được chỉ định bởi -i lựa chọn xảy ra
trước tùy chọn này. Nếu loại liên kết chụp không được đặt cụ thể, mặc định
loại liên kết chụp được sử dụng nếu được cung cấp.

-Y
Bắt đầu với bộ lọc hiển thị đã cho.

-z
Nhận Wireshark để thu thập các loại thống kê khác nhau và hiển thị kết quả trong một
cửa sổ cập nhật theo thời gian bán thực.

Số liệu thống kê được thực hiện hiện nay là:

-z giúp đỡ
Hiển thị tất cả các giá trị có thể có cho -z.

-z afp, srt [,lọc]
Hiển thị thống kê thời gian phản hồi của dịch vụ Giao thức nộp hồ sơ của Apple.

-z chuyển đổi,kiểu[,lọc]
Tạo một bảng liệt kê tất cả các cuộc hội thoại có thể được nhìn thấy trong ảnh chụp.
kiểu chỉ định các loại điểm cuối hội thoại mà chúng tôi muốn tạo
số liệu thống kê; hiện tại những cái được hỗ trợ là:

địa chỉ Ethernet "eth"
Địa chỉ kênh sợi quang "fc"
Địa chỉ FDDI "fddi"
địa chỉ IPv4 "ip"
Địa chỉ IPv6 "ipv6"
Địa chỉ IPX "ipx"
Cặp ổ cắm TCP / IP "tcp" Cả IPv4 và IPv6 đều được hỗ trợ
"tr" địa chỉ Token Ring
Cặp ổ cắm UDP / IP "udp" Cả IPv4 và IPv6 đều được hỗ trợ

Nếu tùy chọn lọc được chỉ định, chỉ những gói phù hợp với bộ lọc sẽ
được sử dụng trong các tính toán.

Bảng được trình bày với một dòng cho mỗi cuộc hội thoại và hiển thị số
của gói / byte theo mỗi hướng cũng như tổng số gói / byte.
Theo mặc định, bảng được sắp xếp theo tổng số gói.

Các bảng này cũng có thể được tạo trong thời gian chạy bằng cách chọn
loại hội thoại từ menu "Công cụ / Thống kê / Danh sách Hội thoại /".

-z dcerpc, srt,tên-hoặc-uuid,chính.nhỏ[,lọc]
Thu thập dữ liệu SRT (Thời gian đáp ứng dịch vụ) cuộc gọi / trả lời cho giao diện DCERPC tên or
uuid, phiên bản chính.nhỏ. Dữ liệu được thu thập là số lượng cuộc gọi cho mỗi
thủ tục, MinSRT, MaxSRT và AvgSRT. Giao diện tên và uuid là trường hợp-
vô cảm.

Ví dụ: -z dcerpc,srt,12345778-1234-abcd-ef00-0123456789ac,1.0 sẽ thu thập dữ liệu
cho Giao diện CIFS SAMR.

Tùy chọn này có thể được sử dụng nhiều lần trên dòng lệnh.

Nếu tùy chọn lọc được cung cấp, số liệu thống kê sẽ chỉ được tính toán trên những
lệnh gọi phù hợp với bộ lọc đó.

Ví dụ: -z dcerpc,srt,12345778-1234-abcd-ef00-0123456789ac,1.0,ip.addr==1.2.3.4
sẽ thu thập số liệu thống kê SAMR SRT cho một máy chủ cụ thể.

-z bootp, stat [,lọc]
Hiển thị thống kê DHCP (BOOTP).

-z chuyên gia
Hiển thị thông tin chuyên gia.

-z fc, srt [,lọc]
Thu thập dữ liệu SRT (Thời gian đáp ứng dịch vụ) cuộc gọi / trả lời cho FC. Dữ liệu được thu thập là
số lượng cuộc gọi cho mỗi lệnh Fibre Channel, MinSRT, MaxSRT và AvgSRT.

Ví dụ: -z fc, srt sẽ tính Thời gian đáp ứng dịch vụ là đồng bằng thời gian
giữa gói đầu tiên của cuộc trao đổi và gói cuối cùng của cuộc trao đổi.

Dữ liệu sẽ được trình bày dưới dạng các bảng riêng biệt cho tất cả các lệnh FC bình thường, Chỉ
những lệnh được nhìn thấy trong quá trình chụp sẽ hiển thị số liệu thống kê của nó.

Tùy chọn này có thể được sử dụng nhiều lần trên dòng lệnh.

Nếu tùy chọn lọc được cung cấp, số liệu thống kê sẽ chỉ được tính toán trên những
lệnh gọi phù hợp với bộ lọc đó.

Ví dụ: -z "fc, srt, fc.id == 01.02.03" sẽ chỉ thu thập số liệu thống kê cho các gói FC
được chủ nhà trao đổi tại FC địa chỉ 01.02.03.

-z h225, bộ đếm [,lọc]
Đếm tin nhắn ITU-T H.225 và lý do của chúng. Trong cột đầu tiên, bạn nhận được một danh sách
trong số các thông báo H.225 và các lý do thông báo H.225 xảy ra trong quá trình chụp hiện tại
tập tin. Số lần xuất hiện của mỗi thông báo hoặc lý do được hiển thị trong
cột thứ hai.

Ví dụ: -z h225, bộ đếm

Tùy chọn này có thể được sử dụng nhiều lần trên dòng lệnh.

Nếu tùy chọn lọc được cung cấp, số liệu thống kê sẽ chỉ được tính toán trên những
lệnh gọi phù hợp với bộ lọc đó.

Ví dụ: -z "h225, bộ đếm, ip.addr == 1.2.3.4" sẽ chỉ thu thập số liệu thống kê cho H.225
các gói được trao đổi bởi host tại địa chỉ IP 1.2.3.4.

-z h225, srt [,lọc]
Thu thập dữ liệu SRT (Thời gian đáp ứng dịch vụ) yêu cầu / phản hồi cho ITU-T H.225 RAS.
Dữ liệu được thu thập là số lượng cuộc gọi của mỗi Loại tin nhắn ITU-T H.225 RAS,
SRT tối thiểu, SRT tối đa, SRT trung bình, tối thiểu trong gói và tối đa trong gói.
Bạn cũng sẽ nhận được số lượng Yêu cầu mở (Yêu cầu không được trả lời), Đã bị loại bỏ
Phản hồi (Phản hồi không có yêu cầu phù hợp) và Tin nhắn trùng lặp.

Ví dụ: -z h225, srt

Tùy chọn này có thể được sử dụng nhiều lần trên dòng lệnh.

Nếu tùy chọn lọc được cung cấp, số liệu thống kê sẽ chỉ được tính toán trên những
lệnh gọi phù hợp với bộ lọc đó.

Ví dụ: -z "h225, srt, ip.addr == 1.2.3.4" sẽ chỉ thu thập số liệu thống kê cho ITU-T H.225
Các gói RAS được máy chủ trao đổi tại địa chỉ IP 1.2.3.4.

-z io, thống kê
Thu thập số liệu thống kê gói / byte để chụp trong khoảng thời gian 1 giây. Điều này
tùy chọn sẽ mở ra một cửa sổ với tối đa 5 biểu đồ được mã hóa màu trong đó số gói-
thống kê trên giây hoặc số byte trên giây có thể được tính toán và
hiển thị.

Tùy chọn này có thể được sử dụng nhiều lần trên dòng lệnh.

Cửa sổ biểu đồ này cũng có thể được mở từ Phân tích: Thống kê: Lưu lượng: IO-Stat
mục menu.

-z ldap, srt [,lọc]
Thu thập dữ liệu SRT (Thời gian đáp ứng dịch vụ) cuộc gọi / trả lời cho LDAP. Dữ liệu được thu thập là
số lượng lệnh gọi cho mỗi lệnh LDAP được triển khai, MinSRT, MaxSRT và AvgSRT.

Ví dụ: -z ldap, srt sẽ tính Thời gian đáp ứng dịch vụ là đồng bằng thời gian
giữa Yêu cầu và Phản hồi.

Dữ liệu sẽ được trình bày dưới dạng các bảng riêng biệt cho tất cả các lệnh LDAP đã triển khai,
Chỉ những lệnh được nhìn thấy trong quá trình chụp sẽ hiển thị số liệu thống kê của nó.

Tùy chọn này có thể được sử dụng nhiều lần trên dòng lệnh.

Nếu tùy chọn lọc được cung cấp, số liệu thống kê sẽ chỉ được tính toán trên những
lệnh gọi phù hợp với bộ lọc đó.

Ví dụ: sử dụng -z "ldap, srt, ip.addr == 10.1.1.1" sẽ chỉ thu thập số liệu thống kê cho LDAP
các gói được trao đổi bởi host tại địa chỉ IP 10.1.1.1.

Các lệnh LDAP duy nhất hiện được triển khai và các số liệu thống kê sẽ
có sẵn là: BIND SEARCH MODIFY ADD DELETE MODRDN COMPARE EXTENDED

-z megaco, srt [,lọc]
Thu thập dữ liệu SRT (Thời gian đáp ứng dịch vụ) của yêu cầu / phản hồi cho MEGACO. (Đây là
tương tự như -z smb, srt). Dữ liệu được thu thập là số lượng cuộc gọi cho mỗi cuộc gọi đã biết
Lệnh MEGACO, SRT tối thiểu, SRT tối đa và SRT trung bình.

Ví dụ: -z megaco, srt

Tùy chọn này có thể được sử dụng nhiều lần trên dòng lệnh.

Nếu tùy chọn lọc được cung cấp, số liệu thống kê sẽ chỉ được tính toán trên những
lệnh gọi phù hợp với bộ lọc đó.

Ví dụ: -z "megaco, srt, ip.addr == 1.2.3.4" sẽ chỉ thu thập số liệu thống kê cho MEGACO
các gói được trao đổi bởi host tại địa chỉ IP 1.2.3.4.

-z mgcp, srt [,lọc]
Thu thập dữ liệu SRT (Thời gian đáp ứng dịch vụ) của yêu cầu / phản hồi cho MGCP. (Đây là
tương tự như -z smb, srt). Dữ liệu được thu thập là số lượng cuộc gọi cho mỗi MGCP đã biết
Loại, SRT tối thiểu, SRT tối đa và SRT trung bình.

Ví dụ: -z mgcp, srt

Tùy chọn này có thể được sử dụng nhiều lần trên dòng lệnh.

Nếu tùy chọn lọc được cung cấp, số liệu thống kê sẽ chỉ được tính toán trên những
lệnh gọi phù hợp với bộ lọc đó.

Ví dụ: -z "mgcp, srt, ip.addr == 1.2.3.4" sẽ chỉ thu thập số liệu thống kê cho các gói MGCP
được trao đổi bởi máy chủ lưu trữ tại địa chỉ IP 1.2.3.4.

-z mtp3, msus [, ]
Hiển thị số liệu thống kê MTP3 MSU.

-z đa hướng, thống kê [, ]
Hiển thị thống kê luồng đa hướng UDP.

-z rpc, chương trình
Thu thập dữ liệu SRT cuộc gọi / trả lời cho tất cả các chương trình / phiên bản ONC-RPC đã biết. Dữ liệu
được thu thập là số lượng cuộc gọi cho mỗi giao thức / phiên bản, MinSRT, MaxSRT và
AvgSRT

-z rpc, srt,tên-hoặc-số,phiên bản[, ]
Thu thập dữ liệu SRT (Thời gian đáp ứng dịch vụ) cuộc gọi / trả lời cho chương trình tên/phiên bản or
con số/phiên bản. Dữ liệu được thu thập là số lượng cuộc gọi cho mỗi thủ tục, MinSRT,
MaxSRT và AvgSRT. Chương trình tên không phân biệt chữ hoa chữ thường.

Ví dụ: -z rpc, srt, 100003,3 sẽ thu thập dữ liệu cho NFS v3.

Tùy chọn này có thể được sử dụng nhiều lần trên dòng lệnh.

Nếu tùy chọn lọc được cung cấp, số liệu thống kê sẽ chỉ được tính toán trên những
lệnh gọi phù hợp với bộ lọc đó.

Ví dụ: -z rpc, srt, nfs, 3, nfs.fh.hash == 0x12345678 sẽ thu thập NFS v3 SRT
thống kê cho một tệp cụ thể.

-z scsi, srt,lệnh ghép ngắn[, ]
Thu thập dữ liệu SRT (Thời gian đáp ứng dịch vụ) cuộc gọi / trả lời cho bộ lệnh SCSI .

Các tập lệnh là 0: SBC 1: SSC 5: MMC

Dữ liệu được thu thập là số lượng cuộc gọi cho mỗi thủ tục, MinSRT, MaxSRT và
AvgSRT

Ví dụ: -z scsi, srt, 0 sẽ thu thập dữ liệu cho các LỆNH KHỐI SCSI (SBC).

Tùy chọn này có thể được sử dụng nhiều lần trên dòng lệnh.

Nếu tùy chọn lọc được cung cấp, số liệu thống kê sẽ chỉ được tính toán trên những
lệnh gọi phù hợp với bộ lọc đó.

Ví dụ: -z scsi, srt, 0, ip.addr == 1.2.3.4 sẽ thu thập số liệu thống kê SCSI SBC SRT cho một
máy chủ lưu trữ iscsi / ifcp / fcip cụ thể.

-z nhâm nhi, thống kê [,lọc]
Tùy chọn này sẽ kích hoạt bộ đếm cho các tin nhắn SIP. Bạn sẽ nhận được số lượng
sự xuất hiện của mỗi Phương pháp SIP và của mỗi Mã trạng thái SIP. Ngoài ra bạn cũng
lấy số lượng Tin nhắn SIP được gửi lại (chỉ dành cho SIP qua UDP).

Ví dụ: -z nhâm nhi, thống kê

Tùy chọn này có thể được sử dụng nhiều lần trên dòng lệnh.

Nếu tùy chọn lọc được cung cấp, số liệu thống kê sẽ chỉ được tính toán trên những
lệnh gọi phù hợp với bộ lọc đó.

Ví dụ: -z "nhâm nhi, stat, ip.addr == 1.2.3.4" sẽ chỉ thu thập số liệu thống kê cho các gói SIP
được trao đổi bởi máy chủ lưu trữ tại địa chỉ IP 1.2.3.4.

-z smb, srt [,lọc]
Thu thập dữ liệu SRT (Thời gian đáp ứng dịch vụ) cuộc gọi / trả lời cho SMB. Dữ liệu được thu thập là
số lượng lệnh gọi cho mỗi lệnh SMB, MinSRT, MaxSRT và AvgSRT.

Ví dụ: -z smb, srt

Dữ liệu sẽ được trình bày dưới dạng các bảng riêng biệt cho tất cả các lệnh SMB thông thường, tất cả
Các lệnh Transaction2 và tất cả các lệnh Giao dịch NT. Chỉ những lệnh đó
được nhìn thấy trong ảnh chụp sẽ hiển thị số liệu thống kê của chúng. Chỉ lệnh đầu tiên
trong một chuỗi lệnh xAndX sẽ được sử dụng trong tính toán. Vì vậy, cho chung
Chuỗi SessionSetupAndX + TreeConnectAndX, chỉ lệnh gọi SessionSetupAndX mới là
được sử dụng trong các số liệu thống kê. Đây là một lỗ hổng có thể được sửa chữa trong tương lai.

Tùy chọn này có thể được sử dụng nhiều lần trên dòng lệnh.

Nếu tùy chọn lọc được cung cấp, số liệu thống kê sẽ chỉ được tính toán trên những
lệnh gọi phù hợp với bộ lọc đó.

Ví dụ: -z "smb, srt, ip.addr == 1.2.3.4" sẽ chỉ thu thập số liệu thống kê cho các gói SMB
được trao đổi bởi máy chủ lưu trữ tại địa chỉ IP 1.2.3.4.

-z voip, cuộc gọi
Tùy chọn này sẽ hiển thị một cửa sổ hiển thị các cuộc gọi VoIP được tìm thấy trong tệp chụp.
Đây là cửa sổ được hiển thị giống như khi bạn đi tới Trình đơn thống kê và chọn
Cuộc gọi VoIP.

Ví dụ: -z voip, cuộc gọi

-z wlan, stat [, ]
Hiển thị số liệu thống kê về mạng và trạm IEEE 802.11.

-z wsp, stat [, ]
Hiển thị bộ đếm gói WSP.

- giao thức vô hiệu hóa
Tắt tính năng mổ xẻ của proto_name.

--enable-heuristic
Cho phép phân tích giao thức heuristic.

- vô hiệu hóa-heuristic
Vô hiệu hóa phân tích giao thức heuristic.

GIAO DIỆN

MENU MẶT HÀNG
Mở tập tin
Tệp: Mở Gần đây
Tệp: Hợp nhất
Hợp nhất tệp chụp khác với tệp hiện đang được tải. Các Tệp: Hợp nhất hộp thoại
cho phép hợp nhất "Được bổ sung trước", "Theo thứ tự thời gian" hoặc "Được thêm vào", liên quan đến
đã tải một.

Tệp: Đóng
Mở hoặc đóng tệp chụp. Các Mở tập tin hộp thoại cho phép một bộ lọc
được chỉ định; khi tệp chụp được đọc, bộ lọc được áp dụng cho tất cả các gói đã đọc
từ tệp và các gói không phù hợp với bộ lọc sẽ bị loại bỏ. Các Mở tập tin
mới đây là một menu con và sẽ hiển thị danh sách các tệp đã mở trước đó.

Tệp: Lưu
Tệp: Lưu dưới dạng
Lưu bản chụp hiện tại hoặc các gói hiện được hiển thị từ bản chụp đó, vào một
tập tin. Các hộp kiểm cho phép bạn chọn lưu tất cả các gói hay chỉ những gói có
đã vượt qua bộ lọc hiển thị hiện tại và / hoặc những bộ lọc hiện được đánh dấu, và
menu tùy chọn cho phép bạn chọn (từ danh sách các định dạng tệp trong đó
chụp hoặc các gói hiện được hiển thị từ quá trình chụp đó, có thể được lưu), một tệp
định dạng để lưu nó.

Tệp: Bộ tệp: Danh sách tệp
Hiển thị hộp thoại liệt kê tất cả các tệp của tập hợp tệp phù hợp với tệp hiện đang được tải
tập tin. Tập hợp tệp là một tổ hợp các tệp kết quả từ việc thu thập bằng cách sử dụng "nhiều
chế độ files "/" ringbuffer ", có thể nhận dạng được bằng mẫu tên tệp, ví dụ:
Tên tệp_00001_20050604101530.pcap.

Tập tin: Tập tin: Tập tin tiếp theo
Tệp: Bộ tệp: Tệp trước
Nếu tệp hiện đang được tải là một phần của tập hợp tệp (xem ở trên), hãy mở tệp tiếp theo /
tệp trước đó trong tập hợp đó.

Tệp: Xuất
Xuất dữ liệu đã chụp sang định dạng bên ngoài. Lưu ý: không thể nhập lại dữ liệu
vào Wireshark, vì vậy hãy đảm bảo giữ tệp chụp.

Tệp: In
In dữ liệu gói từ bản chụp hiện tại. Bạn có thể chọn phạm vi gói
in (gói nào được in) và định dạng đầu ra của mỗi gói (cách mỗi gói
gói được in). Định dạng đầu ra sẽ tương tự với các giá trị được hiển thị, vì vậy
dòng tóm tắt, chế độ xem chi tiết gói và / hoặc kết xuất hex của gói có thể
đã in.

Các tùy chọn in có thể được thiết lập với Chỉnh sửa: Tùy chọn mục menu hoặc trong hộp thoại
xuất hiện bởi mục menu này.

Tệp: Quit
Thoát khỏi ứng dụng.

Chỉnh sửa: Sao chép: Mô tả
Sao chép mô tả của trường đã chọn trong cây giao thức vào khay nhớ tạm.

Chỉnh sửa: Sao chép: Tên trường
Sao chép tên trường của trường đã chọn trong cây giao thức vào khay nhớ tạm.

Chỉnh sửa: Bản sao: Giá trị
Sao chép giá trị của trường đã chọn trong cây giao thức vào khay nhớ tạm.

Chỉnh sửa: Sao chép: Dưới dạng Bộ lọc
Tạo bộ lọc hiển thị dựa trên dữ liệu hiện được đánh dấu trong chi tiết gói
và sao chép bộ lọc đó vào khay nhớ tạm.

Nếu dữ liệu đó là một trường có thể được kiểm tra trong biểu thức bộ lọc hiển thị, màn hình
bộ lọc sẽ kiểm tra trường đó; nếu không, bộ lọc hiển thị sẽ dựa trên
bù đắp tuyệt đối trong gói. Do đó, nó có thể không đáng tin cậy nếu gói
chứa các giao thức có tiêu đề có độ dài thay đổi, chẳng hạn như vòng mã thông báo được định tuyến nguồn
gói.

Chỉnh sửa: Tìm gói tin
Tìm kiếm tiến hoặc lùi, bắt đầu với gói hiện được chọn (hoặc nhiều nhất
gói được chọn gần đây, nếu không có gói nào được chọn). Tiêu chí tìm kiếm có thể là một màn hình
biểu thức lọc, một chuỗi các chữ số thập lục phân hoặc một chuỗi văn bản.

Khi tìm kiếm một chuỗi văn bản, bạn có thể tìm kiếm dữ liệu gói hoặc bạn có thể tìm kiếm
văn bản trong cột Thông tin trong ngăn danh sách gói hoặc trong ngăn chi tiết gói.

Các chữ số thập lục phân có thể được phân tách bằng dấu hai chấm, dấu chấm hoặc dấu gạch ngang. Chuỗi văn bản
tìm kiếm có thể là ASCII hoặc Unicode (hoặc cả hai) và có thể không phân biệt chữ hoa chữ thường.

Chỉnh sửa: Tìm tiếp theo
Chỉnh sửa: Tìm trước
Tìm kiếm tiến / lùi cho một gói phù hợp với bộ lọc từ lần tìm kiếm trước,
bắt đầu với gói hiện được chọn (hoặc gói được chọn gần đây nhất, nếu
không có gói nào được chọn).

Chỉnh sửa: Đánh dấu gói (chuyển đổi)
Đánh dấu (hoặc bỏ đánh dấu nếu hiện được đánh dấu) gói đã chọn. Trường "frame.marked" là
đặt cho các gói được đánh dấu, vì vậy, ví dụ: bộ lọc hiển thị có thể được sử dụng
để chỉ hiển thị các gói được đánh dấu và để hộp thoại "Chỉnh sửa: Tìm Gói" có thể được sử dụng
để tìm gói được đánh dấu tiếp theo hoặc trước đó.

Chỉnh sửa: Tìm dấu tiếp theo
Chỉnh sửa: Tìm Dấu trước
Tìm gói tin được đánh dấu tiếp theo / trước đó.

Chỉnh sửa: Đánh dấu tất cả các gói
Chỉnh sửa: Bỏ đánh dấu tất cả các gói
Đánh dấu / Bỏ đánh dấu tất cả các gói hiện đang được hiển thị.

Chỉnh sửa: Tham chiếu thời gian: Đặt tham chiếu thời gian (chuyển đổi)
Đặt (hoặc bỏ đặt nếu hiện được đặt) gói đã chọn làm gói Tham chiếu Thời gian. Khi nào
một gói được đặt làm gói Tham chiếu Thời gian, các dấu thời gian trong ngăn danh sách gói
sẽ được thay thế bằng chuỗi "* REF *". Dấu thời gian tương đối sau này
các gói sau đó sẽ được tính toán liên quan đến dấu thời gian của Tham chiếu thời gian này
và không phải là gói đầu tiên trong quá trình chụp.

Các gói đã được chọn làm gói Tham chiếu Thời gian sẽ luôn được hiển thị trong
ngăn danh sách gói. Bộ lọc hiển thị sẽ không ảnh hưởng hoặc ẩn các gói này.

Nếu có một cột được hiển thị cho "Số byte tích lũy" thì bộ đếm này sẽ được đặt lại tại
mỗi gói Tham chiếu Thời gian.

Chỉnh sửa: Thời gian Tham khảo: Tìm Tiếp theo
Chỉnh sửa: Tham khảo thời gian: Tìm trước
Tìm kiếm tiến / lùi cho một gói được tham chiếu thời gian.

Chỉnh sửa: Hồ sơ cấu hình
Quản lý hồ sơ cấu hình để có thể sử dụng nhiều hơn một bộ tùy chọn và
cấu hình.

Chỉnh sửa: Tùy chọn
Đặt các tùy chọn GUI, chụp, in và giao thức (xem hộp thoại "Tùy chọn" bên dưới).

Xem: Thanh công cụ chính
Chế độ xem: Thanh công cụ Lọc
Xem: Thanh trạng thái
Hiển thị hoặc ẩn các điều khiển cửa sổ chính.

Xem: Danh sách gói
Xem: Chi tiết gói
Xem: Các byte gói
Hiển thị hoặc ẩn các ngăn cửa sổ chính.

Xem: Định dạng hiển thị thời gian
Đặt định dạng của dấu thời gian gói được hiển thị trong cửa sổ danh sách gói.

Xem: Tên Độ phân giải: Giải quyết Tên
Cố gắng giải quyết một tên cho mục hiện được chọn.

Chế độ xem: Độ phân giải Tên: Bật cho ... Lớp
Bật hoặc tắt tính năng dịch địa chỉ sang tên trong màn hình.

Xem: Tô màu danh sách gói
Bật hoặc tắt các quy tắc tô màu. Vô hiệu hóa sẽ cải thiện hiệu suất.

Xem: Tự động cuộn trong Live Capture
Bật hoặc tắt tính năng tự động cuộn danh sách gói trong khi chụp trực tiếp
trong tiến trình.

Xem: Phóng to
Xem: Thu nhỏ
Phóng to / thu nhỏ dữ liệu cửa sổ chính (bằng cách thay đổi kích thước phông chữ).

Xem: Kích thước bình thường
Đặt lại hệ số thu phóng của phóng to / thu nhỏ trở lại kích thước phông chữ bình thường.

Xem: Thay đổi kích thước tất cả các cột
Thay đổi kích thước tất cả các cột để phù hợp nhất với hiển thị gói hiện tại.

Chế độ xem: Mở rộng / Thu gọn các cây con
Mở rộng / Thu gọn mục hiện được chọn và nó là các cây con trong gói
chi tiết.

Xem: Mở rộng tất cả
Xem: Thu gọn tất cả
Mở rộng / Thu gọn tất cả các nhánh của chi tiết gói tin.

Chế độ xem: Tô màu cuộc trò chuyện
Chọn màu cho một cuộc trò chuyện.

Xem: Đặt lại màu 1-10
Đặt lại màu cho cuộc trò chuyện.

Xem: Quy tắc tô màu
Thay đổi màu nền trước và màu nền của thông tin gói tin trong danh sách
gói, dựa trên bộ lọc hiển thị. Danh sách các bộ lọc hiển thị được áp dụng cho từng
gói một cách tuần tự. Sau khi bộ lọc hiển thị đầu tiên khớp với một gói, bất kỳ phần bổ sung nào
bộ lọc hiển thị trong danh sách bị bỏ qua. Do đó, nếu bạn đang lọc
sự tồn tại của các giao thức, trước tiên bạn nên liệt kê các giao thức cấp cao hơn và
giao thức cấp thấp hơn cuối cùng.

Cách thức hoạt động của màu
Các gói được tô màu theo danh sách các bộ lọc màu. Mỗi bộ lọc bao gồm
tên, biểu thức bộ lọc và màu sắc. Một gói được tô màu theo
bộ lọc đầu tiên phù hợp. Các biểu thức bộ lọc màu sử dụng hoàn toàn giống nhau
cú pháp như các biểu thức bộ lọc hiển thị.

Khi Wireshark khởi động, các bộ lọc màu được tải từ:

1. Tệp lọc màu cá nhân của người dùng hoặc, nếu không tồn tại,

2. Tệp bộ lọc màu toàn cục.

Nếu cả hai đều không tồn tại thì các gói sẽ không được tô màu.

Xem: Hiển thị gói trong cửa sổ mới
Tạo một cửa sổ mới chứa chế độ xem chi tiết gói và cửa sổ kết xuất hex của
gói hiện tại được chọn; cửa sổ này sẽ tiếp tục hiển thị thông tin chi tiết của gói tin đó
và dữ liệu ngay cả khi gói khác được chọn.

Xem: Tải lại
Tải lại tệp chụp. Giống như Tệp: Đóng và Mở tập tin cùng một tập tin một lần nữa.

Quay lại
Quay lại lịch sử gói đã truy cập trước đó.

Tiến triển
Tiếp tục trong lịch sử gói đã truy cập trước đó.

Đi: Đi tới Gói
Chuyển đến một gói được đánh số cụ thể.

Đi: Đi đến Gói tương ứng
Nếu một trường trong ngăn chi tiết gói chứa số gói được chọn, hãy chuyển đến
số gói được chỉ định bởi trường đó. (Điều này chỉ hoạt động nếu người mổ xẻ đặt
mục nhập vào chi tiết gói đặt nó vào chi tiết dưới dạng trường có thể lọc
thay vì chỉ ở dạng văn bản.) Ví dụ, có thể sử dụng điều này để chuyển đến gói
yêu cầu tương ứng với một câu trả lời hoặc câu trả lời tương ứng với một yêu cầu, nếu điều đó
số gói đã được đưa vào chi tiết gói.

Đi: Gói trước
Đi: Gói tiếp theo
Đi: Gói đầu tiên
Đi: Gói cuối cùng
Chuyển đến gói trước / tiếp theo / đầu tiên / cuối cùng trong quá trình chụp.

Đi: Gói trước trong cuộc hội thoại
Đi: Gói tiếp theo trong cuộc trò chuyện
Chuyển đến gói trước / sau của cuộc hội thoại (TCP, UDP hoặc IP)

Chụp: Giao diện
Hiển thị một hộp thoại với tất cả các giao diện hiện đã biết và hiển thị
lượng lưu lượng mạng. Các phiên chụp có thể được bắt đầu từ đây. Hãy coi chừng: giữ
hộp mở này dẫn đến tải hệ thống cao!

Chụp: Tùy chọn
Bắt đầu chụp gói trực tiếp (xem "Hộp thoại Tùy chọn Chụp" bên dưới). Nếu không có tên tệp
được chỉ định, một tệp tạm thời sẽ được tạo để lưu trữ. Vị trí của
tệp có thể được chọn bằng cách đặt biến môi trường TMPDIR của bạn trước khi bắt đầu
Wireshark. Nếu không, vị trí TMPDIR mặc định phụ thuộc vào hệ thống, nhưng có thể
hay / var / tmp or / Tmp.

Chụp: Bắt đầu
Bắt đầu chụp gói trực tiếp với các tùy chọn đã chọn trước đó. Điều này sẽ không mở
hộp thoại tùy chọn và có thể thuận tiện cho việc chụp nhiều lần với cùng một
tùy chọn.

Chụp: Dừng lại
Dừng chụp trực tiếp đang chạy.

Chụp: Khởi động lại
Trong khi quay trực tiếp đang chạy, hãy dừng nó và khởi động lại với các tùy chọn tương tự.
Điều này có thể thuận tiện để loại bỏ các gói không liên quan, nếu không có gói nào có giá trị
bị bắt cho đến nay.

Capture: Bộ lọc Capture
Chỉnh sửa danh sách các bộ lọc chụp đã lưu, cho phép các bộ lọc được thêm, thay đổi hoặc
đã xóa.

Phân tích: Bộ lọc hiển thị
Chỉnh sửa danh sách bộ lọc hiển thị đã lưu, cho phép thêm, thay đổi bộ lọc hoặc
đã xóa.

Phân tích: Hiển thị Macro Bộ lọc
Tạo lối tắt cho các macro phức tạp

Phân tích: Áp dụng làm Bộ lọc
Tạo bộ lọc hiển thị dựa trên dữ liệu hiện được đánh dấu trong chi tiết gói
và áp dụng bộ lọc.

Nếu dữ liệu đó là một trường có thể được kiểm tra trong biểu thức bộ lọc hiển thị, màn hình
bộ lọc sẽ kiểm tra trường đó; nếu không, bộ lọc hiển thị sẽ dựa trên
bù đắp tuyệt đối trong gói. Do đó, nó có thể không đáng tin cậy nếu gói
chứa các giao thức có tiêu đề có độ dài thay đổi, chẳng hạn như vòng mã thông báo được định tuyến nguồn
gói.

Sản phẩm Chọn tùy chọn tạo một bộ lọc hiển thị để kiểm tra sự phù hợp của dữ liệu; các
Không Chọn tùy chọn tạo bộ lọc hiển thị kiểm tra sự không khớp của dữ liệu.
Sản phẩm và Chọn, Or Chọn, và Không Chọnvà Or Không Chọn tùy chọn thêm vào
cuối bộ lọc hiển thị trong dải ở trên cùng (hoặc dưới cùng) một VÀ hoặc HOẶC
theo sau là biểu thức bộ lọc hiển thị mới.

Phân tích: Chuẩn bị một bộ lọc
Tạo bộ lọc hiển thị dựa trên dữ liệu hiện được đánh dấu trong chi tiết gói.
Dải bộ lọc ở trên cùng (hoặc dưới cùng) được cập nhật nhưng nó chưa được áp dụng.

Phân tích: Các giao thức được kích hoạt
Cho phép bật hoặc tắt phân tích giao thức cho một giao thức cụ thể.
Các giao thức riêng lẻ có thể được bật hoặc tắt bằng cách nhấp vào chúng trong danh sách hoặc bằng cách
làm nổi bật chúng và nhấn phím cách. Toàn bộ danh sách có thể được kích hoạt,
bị vô hiệu hóa hoặc đảo ngược bằng cách sử dụng các nút bên dưới danh sách.

Khi một giao thức bị vô hiệu hóa, việc phân tích trong một gói cụ thể sẽ dừng lại khi điều đó
đạt được giao thức và Wireshark chuyển sang gói tiếp theo. Bất kỳ lớp nào cao hơn
các giao thức mà lẽ ra đã được xử lý sẽ không được hiển thị. Vì
ví dụ, vô hiệu hóa TCP sẽ ngăn chặn việc phân tích và hiển thị TCP, HTTP, SMTP,
Telnet và bất kỳ giao thức nào khác độc quyền phụ thuộc vào TCP.

Danh sách các giao thức có thể được lưu, để Wireshark sẽ khởi động với các giao thức
trong danh sách đó bị vô hiệu hóa.

Phân tích: Giải mã dưới dạng
Nếu bạn đã chọn một gói, hãy trình bày một hộp thoại cho phép bạn thay đổi
giải mã được sử dụng để giải mã gói tin này. Hộp thoại có một bảng cho mỗi liên kết
lớp, lớp mạng và số giao thức / cổng của lớp truyền tải và sẽ cho phép mỗi
chúng sẽ được thay đổi một cách độc lập. Ví dụ: nếu gói được chọn là TCP
gói đến cổng 12345, bằng cách sử dụng hộp thoại này, bạn có thể hướng dẫn Wireshark giải mã tất cả
các gói đến hoặc từ cổng TCP đó dưới dạng gói HTTP.

Phân tích: Giải mã do người dùng chỉ định
Tạo một cửa sổ mới cho biết liệu có bất kỳ ID giao thức nào đến ánh xạ phân tách đã được
do người dùng thay đổi. Cửa sổ này cũng cho phép người dùng đặt lại tất cả các giải mã thành
giá trị mặc định.

Phân tích: Theo dõi TCP Stream
Nếu bạn đã chọn gói TCP, hãy hiển thị nội dung của luồng dữ liệu cho TCP
kết nối mà gói tin đó thuộc về, dưới dạng văn bản, trong một cửa sổ riêng biệt, và rời khỏi
danh sách các gói ở trạng thái được lọc, chỉ với những gói là một phần của TCP đó
kết nối đang được hiển thị. Bạn có thể hoàn nguyên về chế độ xem cũ của mình bằng cách nhấn ENTER trong
hộp văn bản bộ lọc hiển thị, do đó gọi bộ lọc hiển thị cũ của bạn (hoặc đặt lại nó
trở lại không có bộ lọc hiển thị).

Cửa sổ hiển thị luồng dữ liệu cho phép bạn chọn:

· Có hiển thị toàn bộ cuộc trò chuyện, hoặc bên này hay bên kia của nó;

· Dữ liệu đang được hiển thị có được coi là văn bản ASCII hay EBCDIC hay không
dưới dạng dữ liệu hex thô;

và cho phép bạn in những gì hiện đang được hiển thị, sử dụng cùng các tùy chọn in
được sử dụng cho Tệp: In Gói mục menu hoặc lưu nó dưới dạng văn bản vào một tệp.

Phân tích: Theo dõi Luồng UDP
Phân tích: Theo dõi luồng SSL
(Tương tự với Phân tích: Theo TCP Stream)

Phân tích: Thông tin chuyên gia
Phân tích: Tổng hợp thông tin chuyên gia
(Đại loại là) nhật ký về các điểm bất thường được Wireshark tìm thấy trong một tệp tin chụp.

Phân tích: Bộ lọc hội thoại
Thống kê: Tổng hợp
Hiển thị thông tin tóm tắt về quá trình chụp ảnh, bao gồm thời gian đã trôi qua, số lượng gói tin,
số lượng byte, và những thứ tương tự. Nếu bộ lọc hiển thị có hiệu lực, thông tin tóm tắt sẽ
được hiển thị về chụp và về các gói hiện đang được hiển thị.

Thống kê: Hệ thống phân cấp giao thức
Hiển thị số lượng gói và số byte trong các gói đó, cho mỗi
giao thức trong dấu vết. Nó tổ chức các giao thức trong cùng một hệ thống phân cấp mà chúng
đã được tìm thấy trong dấu vết. Bên cạnh việc đếm các gói trong đó giao thức tồn tại,
số lượng cũng được thực hiện cho các gói trong đó giao thức là giao thức cuối cùng trong
cây rơm. Các số đếm giao thức cuối cùng này cho bạn biết có bao nhiêu gói (và số lượng byte
liên kết với những gói tin đó) kết thúc trong một giao thức cụ thể. Trong bảng, họ đang
được liệt kê trong "Gói kết thúc" và "Byte kết thúc".

Thống kê: Cuộc trò chuyện
Danh sách các cuộc trò chuyện; có thể lựa chọn theo giao thức. Xem thống kê: Danh sách hội thoại
phía dưới.

Thống kê: Điểm kết thúc
Danh sách địa chỉ điểm cuối theo giao thức với số gói / byte / .....

Thống kê: Độ dài gói
Số lượng độ dài gói được nhóm (0-19 byte, 20-39 byte, ...)

Thống kê: Đồ thị IO
Mở một cửa sổ nơi có thể hiển thị tối đa 5 biểu đồ với các màu khác nhau để biểu thị
số gói hoặc số byte mỗi giây cho tất cả các gói phù hợp với
lọc. Theo mặc định, chỉ một biểu đồ sẽ được hiển thị cho biết số lượng gói trên mỗi
thứ hai.

Phần trên cùng của cửa sổ chứa các biểu đồ và tỷ lệ cho trục X và Y. Nếu như
biểu đồ quá dài để vừa bên trong cửa sổ, có một thanh cuộn ngang bên dưới
vùng vẽ có thể cuộn biểu đồ sang trái hoặc phải. Chiều ngang
trục hiển thị thời gian chụp và trục tung sẽ hiển thị
đại lượng đo tại thời điểm đó.

Bên dưới vùng vẽ và thanh cuộn là các nút điều khiển. Ở dưới cùng bên trái có
sẽ là năm bộ kiểm soát tương tự để kiểm soát từng biểu đồ riêng lẻ, chẳng hạn như
"Hiển thị: " nút nào sẽ bật / tắt biểu đồ riêng lẻ đó. Nếu như
được đánh dấu, biểu đồ sẽ được hiển thị. "Màu sắc: "mà chỉ là một nút để
hiển thị màu nào sẽ được sử dụng để vẽ biểu đồ đó (màu chỉ có sẵn trong Gtk2
phiên bản) và cuối cùng là "Bộ lọc: "có thể được sử dụng để chỉ định một màn hình
lọc cho biểu đồ cụ thể đó.

Nếu văn bản bộ lọc trống thì tất cả các gói sẽ được sử dụng để tính toán số lượng cho
đồ thị đó. Nếu văn bản bộ lọc được chỉ định thì chỉ những gói phù hợp với màn hình đó
bộ lọc sẽ được xem xét trong tính toán số lượng.

Ở bên phải của 5 điều khiển biểu đồ, có bốn menu để kiểm soát các khía cạnh chung của
vùng vẽ và đồ thị. Menu "Đơn vị:" được sử dụng để kiểm soát những gì cần đo;
"packets / tick", "byte / tick" hoặc "advanced ..."

packets / tick sẽ đo số lượng các gói phù hợp với màn hình (nếu được chỉ định)
lọc cho đồ thị trong mỗi khoảng thời gian đo.

byte / tick sẽ đo tổng số byte trong tất cả các gói phù hợp với (nếu
được chỉ định) bộ lọc hiển thị cho đồ thị trong mỗi khoảng thời gian đo.

nâng cao ... xem bên dưới

"Khoảng thời gian đánh dấu": chỉ định khoảng thời gian đo lường nào sẽ sử dụng. Mặc định là 1 giây
và có nghĩa là dữ liệu sẽ được tính trong khoảng thời gian 1 giây.

"Pixels per tick:" chỉ định chiều rộng mỗi khoảng thời gian đo lường sẽ là bao nhiêu pixel
khu vực vẽ. Mặc định là 5 pixel cho mỗi lần đánh dấu.

"Y-scale:" kiểm soát giá trị tối đa cho trục y. Giá trị mặc định là "tự động" có nghĩa là
việc này Wireshark sẽ cố gắng điều chỉnh giá trị tối đa tự động.

"nâng cao ..." Nếu Đơn vị: nâng cao ... được chọn, cửa sổ sẽ hiển thị thêm hai
điều khiển cho từng biểu đồ trong số năm biểu đồ. Một điều khiển sẽ là một menu nơi loại
phép tính có thể được chọn từ SUM, COUNT, MAX, MIN, AVG và LOAD và một điều khiển,
hộp văn bản, nơi có thể chỉ định tên của một trường bộ lọc hiển thị.

Các hạn chế sau áp dụng cho kết hợp kiểu và trường:

SUM: có sẵn cho tất cả các loại số nguyên và sẽ tính toán SUM của tất cả các lần xuất hiện
của trường này trong khoảng thời gian đo. Lưu ý rằng một số trường có thể xảy ra nhiều
lần trong cùng một gói và sau đó tất cả các trường hợp sẽ được tổng hợp lại. Ví dụ: 'tcp.len'
sẽ đếm số lượng dữ liệu trọng tải được truyền qua TCP trong mỗi khoảng thời gian.

COUNT: có sẵn cho tất cả các loại trường. Điều này sẽ COUNT số lần nhất định
trường xảy ra trong mỗi khoảng thời gian. Lưu ý rằng một số trường có thể xuất hiện nhiều lần trong mỗi
gói và nếu đó là trường hợp thì mỗi trường hợp sẽ được tính một cách độc lập và
COUNT sẽ lớn hơn số gói.

MAX: có sẵn cho tất cả các trường thời gian nguyên và tương đối. Điều này sẽ tính toán giá trị tối đa
giá trị số nguyên / thời gian đã thấy cho trường trong khoảng thời gian. Ví dụ: 'smb.time'
sẽ vẽ biểu đồ thời gian phản hồi SMB tối đa.

MIN: khả dụng cho tất cả các trường thời gian nguyên và tương đối. Điều này sẽ tính toán tối thiểu
giá trị số nguyên / thời gian đã thấy cho trường trong khoảng thời gian. Ví dụ: 'smb.time'
sẽ vẽ biểu đồ thời gian phản hồi SMB tối thiểu.

AVG: khả dụng cho tất cả các trường thời gian nguyên và tương đối. Điều này sẽ tính toán
giá trị số nguyên / thời gian trung bình được nhìn thấy cho trường trong khoảng thời gian. Thí dụ:
'smb.time' sẽ vẽ biểu đồ thời gian phản hồi trung bình của SMB.

TẢI: chỉ khả dụng cho các trường thời gian tương đối (thời gian phản hồi).

Ví dụ về nâng cao: Hiển thị thời gian phản hồi NFS MAX / MIN / AVG thay đổi như thế nào theo thời gian:

Đặt biểu đồ đầu tiên thành:

bộ lọc: nfs && rpc.time
Calc: MAX rpc.time

Đặt biểu đồ thứ hai thành

bộ lọc: nfs && rpc.time
Calc: AVG rpc.time

Đặt biểu đồ thứ ba thành

bộ lọc: nfs && rpc.time
Calc: MIN rpc.time

Ví dụ về nâng cao: Hiển thị kích thước gói trung bình từ máy chủ abcd thay đổi như thế nào
tăng ca.

Đặt biểu đồ đầu tiên thành

bộ lọc: ip.addr == abcd && frame.pkt_len
Calc: AVG frame.pkt_len

LOAD: Kiểu LOAD io-stat rất khác với bất cứ thứ gì bạn từng thấy trước đây!
Trong khi thời gian phản hồi tự được vẽ biểu đồ bởi MIN, MAX, AVG là các chỉ báo trên
Tải của máy chủ (ảnh hưởng đến thời gian phản hồi của máy chủ), đo lường LOAD
máy khách TẢI. Điều này đo lường là khối lượng công việc mà khách hàng tạo ra, tức là
Máy khách sẽ đưa ra các lệnh mới nhanh như thế nào khi các lệnh trước đó đã hoàn thành. I E
mức độ đồng thời mà khách hàng có thể duy trì. Số càng cao, càng nhiều và
nhanh hơn là máy khách ra lệnh mới. Khi LOAD gặp sự cố, có thể do
tải khách hàng làm cho khách hàng chậm hơn trong việc đưa ra các lệnh mới (có thể có
cũng có lý do, có thể máy khách không có bất kỳ lệnh nào mà nó muốn phát hành
ngay sau đó).

Tải được đo bằng đồng thời / số i / o chồng chéo và giá trị 1000 có nghĩa là
có tải không đổi là một i / o.

Trong mỗi khoảng thời gian đánh dấu, số lượng chồng chéo được đo. Xem biểu đồ bên dưới
chứa ba lệnh: Bên dưới biểu đồ là các giá trị LOAD cho mỗi khoảng
sẽ được tính toán.

| | | | | | | | |
| | | | | | | | |
| | o ===== * | | | | | |
| | | | | | | | |
| o ======== * | o ============ * | | |
| | | | | | | | |
-------------------------------------------------- > Thời gian
500 1500 500 750 1000 500 0 0

Thống kê: Danh sách cuộc trò chuyện
Tùy chọn này sẽ mở ra một cửa sổ mới hiển thị danh sách tất cả các cuộc trò chuyện giữa
hai điểm cuối. Danh sách có một hàng cho mỗi cuộc trò chuyện duy nhất và hiển thị tổng số
số gói / byte được nhìn thấy cũng như số gói / byte theo mỗi hướng.

Theo mặc định, danh sách được sắp xếp theo số lượng gói nhưng bằng cách nhấp vào
tiêu đề cột; có thể sắp xếp lại danh sách theo thứ tự tăng dần hoặc giảm dần
bởi bất kỳ cột nào.

Trước tiên, hãy chọn một cuộc hội thoại bằng cách nhấp vào cuộc trò chuyện đó và sau đó sử dụng chuột phải
nút (trên những nền tảng có nút chuột phải) wirehark sẽ hiển thị
menu bật lên cung cấp một số thao tác lọc khác nhau để áp dụng cho việc chụp ảnh.

Các cửa sổ thống kê này cũng có thể được gọi từ dòng lệnh Wireshark bằng cách sử dụng
-z chuyển đổi tranh luận.

Thống kê: Thời gian đáp ứng dịch vụ
· AFP

· CON LẠC ĐÀ

· DCE-RPC

Mở cửa sổ để hiển thị thống kê Thời gian đáp ứng dịch vụ cho một DCE-RPC tùy ý
giao diện chương trình và hiển thị Thủ tục, Con số of Cuộc gọi, Tối thiểu SRT, tối đa SRT
và Trung bình SRT cho tất cả các thủ tục cho chương trình / phiên bản đó. Những cửa sổ này đã mở
sẽ cập nhật theo thời gian bán thực để phản ánh những thay đổi khi thực hiện chụp trực tiếp hoặc khi
đọc các tập tin chụp mới vào Wireshark.

Hộp thoại này cũng sẽ cho phép một chuỗi bộ lọc tùy chọn được sử dụng. Nếu một tùy chọn
chuỗi bộ lọc chỉ được sử dụng các cặp yêu cầu / phản hồi DCE-RPC khớp với
bộ lọc sẽ được sử dụng để tính toán các số liệu thống kê. Nếu không có chuỗi bộ lọc nào được chỉ định
tất cả các cặp yêu cầu / phản hồi sẽ được sử dụng.

· Đường kính

· Kênh sợi quang

Mở cửa sổ để hiển thị thống kê Thời gian đáp ứng dịch vụ cho Kênh sợi quang và
trưng bày FC Kiểu, Con số of Cuộc gọi, Tối thiểu SRT, tối đa SRT và Trung bình SRT cho tất cả
FC các loại. Các cửa sổ này đã mở sẽ cập nhật theo thời gian bán thực để phản ánh các thay đổi
khi thực hiện chụp trực tiếp hoặc khi đọc các tệp chụp mới vào Wireshark. Các
Thời gian đáp ứng dịch vụ được tính bằng khoảng thời gian giữa gói đầu tiên của
trao đổi và gói cuối cùng của cuộc trao đổi.

Hộp thoại này cũng sẽ cho phép một chuỗi bộ lọc tùy chọn được sử dụng. Nếu một tùy chọn
chuỗi bộ lọc chỉ được sử dụng các cặp trao đổi FC đầu tiên / cuối cùng khớp với
bộ lọc sẽ được sử dụng để tính toán các số liệu thống kê. Nếu không có chuỗi bộ lọc nào được chỉ định
tất cả các cặp yêu cầu / phản hồi sẽ được sử dụng.

· GTP

· H.225 ras

Thu thập yêu cầu / phản hồi dữ liệu SRT (Thời gian đáp ứng dịch vụ) cho ITU-T H.225 RAS.
Dữ liệu được thu thập là con số of cuộc gọi đối với mỗi Loại thông báo ITU-T H.225 RAS đã biết,
Tối thiểu SRT, tối đa SRT, Trung bình SRT, Tối thiểu in Góivà tối đa in Gói.
Bạn cũng sẽ nhận được số lượng Mở yêu cầu (Yêu cầu chưa được hồi đáp), Vứt bỏ
Câu trả lời (Phản hồi mà không có yêu cầu phù hợp) và Tin nhắn trùng lặp. Này
các cửa sổ đã mở sẽ cập nhật theo thời gian bán thực để phản ánh các thay đổi khi hoạt động trực tiếp
chụp hoặc khi đọc các tệp chụp mới vào Wireshark.

Bạn có thể áp dụng một chuỗi bộ lọc tùy chọn trong một hộp thoại, trước khi bắt đầu
phép tính. Thống kê sẽ chỉ được tính toán trên những cuộc gọi phù hợp với
lọc.

· LDAP

· MEGACO

· MGCP

Thu thập yêu cầu / phản hồi dữ liệu SRT (Thời gian đáp ứng dịch vụ) cho MGCP. Dữ liệu
thu thập là con số of cuộc gọi cho mỗi Loại MGCP đã biết, Tối thiểu SRT, tối đa SRT,
Trung bình SRT, Tối thiểu in Góivà tối đa in Gói. Những cửa sổ này được mở ra sẽ
cập nhật theo thời gian bán thực để phản ánh những thay đổi khi thực hiện chụp trực tiếp hoặc khi
đọc các tập tin chụp mới vào Wireshark.

Bạn có thể áp dụng một chuỗi bộ lọc tùy chọn trong một hộp thoại, trước khi bắt đầu
phép tính. Thống kê sẽ chỉ được tính toán trên những cuộc gọi phù hợp với
lọc.

· NCP

· ONC-RPC

Mở cửa sổ để hiển thị số liệu thống kê cho giao diện chương trình ONC-RPC tùy ý và
trưng bày Thủ tục, Con số of Cuộc gọi, Tối thiểu SRT, tối đa SRT và Trung bình SRT cho
tất cả các thủ tục cho chương trình / phiên bản đó. Các cửa sổ này đã mở sẽ cập nhật trong
thời gian bán thực để phản ánh những thay đổi khi thực hiện chụp trực tiếp hoặc khi đọc mới
chụp các tập tin vào Wireshark.

Hộp thoại này cũng sẽ cho phép một chuỗi bộ lọc tùy chọn được sử dụng. Nếu một tùy chọn
chuỗi bộ lọc chỉ được sử dụng các cặp yêu cầu / phản hồi ONC-RPC khớp với
bộ lọc sẽ được sử dụng để tính toán các số liệu thống kê. Nếu không có chuỗi bộ lọc nào được chỉ định
tất cả các cặp yêu cầu / phản hồi sẽ được sử dụng.

Trước tiên, hãy chọn một cuộc hội thoại bằng cách nhấp vào cuộc trò chuyện đó và sau đó sử dụng chuột phải
nút (trên những nền tảng có nút chuột phải) wirehark sẽ hiển thị
một menu bật lên cung cấp một số thao tác lọc khác nhau để áp dụng cho việc chụp ảnh.

· BÁN KÍNH

· SCSI

· SMB

Thu thập dữ liệu SRT (Thời gian đáp ứng dịch vụ) cuộc gọi / trả lời cho SMB. Dữ liệu được thu thập là
số lượng lệnh gọi cho mỗi lệnh SMB, MinSRT, MaxSRT và AvgSRT.

Dữ liệu sẽ được trình bày dưới dạng các bảng riêng biệt cho tất cả các lệnh SMB thông thường, tất cả
Các lệnh Transaction2 và tất cả các lệnh Giao dịch NT. Chỉ những lệnh đó
được nhìn thấy trong ảnh chụp sẽ hiển thị số liệu thống kê của nó. Chỉ lệnh đầu tiên trong
một chuỗi lệnh xAndX sẽ được sử dụng trong tính toán. Vì vậy, cho chung
Chuỗi SessionSetupAndX + TreeConnectAndX, chỉ lệnh gọi SessionSetupAndX mới là
được sử dụng trong các số liệu thống kê. Đây là một lỗ hổng có thể được sửa chữa trong tương lai.

Bạn có thể áp dụng một chuỗi bộ lọc tùy chọn trong một hộp thoại, trước khi bắt đầu
phép tính. Số liệu thống kê sẽ chỉ được tính trên những cuộc gọi phù hợp với
lọc.

Trước tiên, hãy chọn một cuộc hội thoại bằng cách nhấp vào cuộc trò chuyện đó và sau đó sử dụng chuột phải
nút (trên những nền tảng có nút chuột phải) wirehark sẽ hiển thị
một menu bật lên cung cấp một số thao tác lọc khác nhau để áp dụng cho việc chụp ảnh.

· SMB2

Thống kê: BOOTP-DHCP
Thống kê: So sánh
So sánh hai tệp Capture

Thống kê: Đồ thị dòng chảy
Biểu đồ luồng: Chung / TCP

Thống kê: HTTP
Phân phối tải HTTP, Bộ đếm gói & Yêu cầu

Thống kê: Địa chỉ IP
Đếm / Tỷ lệ / Phần trăm theo Địa chỉ IP

Thống kê: Đích IP
Đếm / Tỷ lệ / Phần trăm theo Địa chỉ IP / giao thức / cổng

Thống kê: Các loại giao thức IP
Đếm / Tỷ lệ / Phần trăm theo các loại giao thức IP

Thống kê: Chương trình ONC-RPC
Hộp thoại này sẽ mở ra một cửa sổ hiển thị thống kê SRT tổng hợp cho tất cả ONC-RPC
Các chương trình / phiên bản tồn tại trong tệp chụp.

Thống kê: Biểu đồ luồng TCP
Đồ thị: khứ hồi; Thông lượng; Trình tự thời gian (Stevens); Trình tự thời gian (tcptrace)

Thống kê: Luồng UDP Multicast
Số lượng / Tỷ lệ luồng đa hướng / ... theo cặp Nguồn / Địa chỉ đích / Cổng

Thống kê: Lưu lượng WLAN
Thống kê lưu lượng mạng WLAN

Điện thoại: ITU-T H.225
Đếm tin nhắn ITU-T H.225 và lý do của chúng. Trong cột đầu tiên, bạn nhận được danh sách
Thông báo H.225 và lý do thông báo H.225, xảy ra trong tệp chụp hiện tại.
Số lần xuất hiện của mỗi thông báo hoặc lý do sẽ được hiển thị trong giây
cột. Cửa sổ này được mở sẽ cập nhật theo thời gian bán thực để phản ánh những thay đổi khi
thực hiện chụp trực tiếp hoặc khi đọc các tệp chụp mới vào Wireshark.

Bạn có thể áp dụng một chuỗi bộ lọc tùy chọn trong một hộp thoại, trước khi bắt đầu bộ đếm.
Thống kê sẽ chỉ được tính toán trên những cuộc gọi phù hợp với bộ lọc đó.

Điện thoại: SIP
Kích hoạt bộ đếm cho các tin nhắn SIP. Bạn sẽ nhận được số lần xuất hiện của mỗi
Phương pháp SIP và của mỗi Mã trạng thái SIP. Ngoài ra, bạn cũng nhận được số lượng
gửi lại Tin nhắn SIP (chỉ dành cho SIP qua UDP).

Cửa sổ này được mở sẽ cập nhật theo thời gian bán thực để phản ánh những thay đổi khi phát trực tiếp
chụp hoặc khi đọc các tệp chụp mới vào Wireshark.

Bạn có thể áp dụng một chuỗi bộ lọc tùy chọn trong một hộp thoại, trước khi bắt đầu bộ đếm.
Thống kê sẽ chỉ được tính toán trên những cuộc gọi phù hợp với bộ lọc đó.

Công cụ: Quy tắc ACL tường lửa
Trợ giúp: Nội dung
Một số văn bản trợ giúp.

Trợ giúp: Các giao thức được hỗ trợ
Danh sách các giao thức được hỗ trợ và hiển thị các trường giao thức bộ lọc.

Trợ giúp: Trang thủ công
Hiển thị các phiên bản HTML được cài đặt cục bộ của các trang thủ công này trong trình duyệt web.

Trợ giúp: Wireshark Online
Các liên kết khác nhau tới các tài nguyên trực tuyến sẽ được mở trong trình duyệt web, như
.

Trợ giúp: Giới thiệu về Wireshark
Xem thông tin khác nhau về Wireshark (xem hộp thoại "Giới thiệu" bên dưới), chẳng hạn như phiên bản,
các thư mục được sử dụng, các plugin có sẵn, ...

CÁC CỬA SỔ
Cửa sổ chính
Cửa sổ chính chứa những thứ thông thường như menu, một số thanh công cụ, khu vực chính
và một thanh trạng thái. Khu vực chính được chia thành ba ngăn, bạn có thể thay đổi kích thước từng ngăn
sử dụng "ngón tay cái" ở đầu bên phải của mỗi vạch phân cách.

Cửa sổ chính linh hoạt hơn nhiều so với trước đây. Bố cục của cửa sổ chính có thể
được tùy chỉnh bởi Bố trí trang trong hộp thoại bật lên bởi Chỉnh sửa: Tùy chọn, Các
sau đây sẽ mô tả bố cục với cài đặt mặc định.

Thanh công cụ chính
Một số mục menu có sẵn để truy cập nhanh tại đây. Không có cách nào để
tùy chỉnh các mục trong thanh công cụ, tuy nhiên, thanh công cụ có thể bị ẩn bởi
Xem: Chính Thanh công cụ.

Thanh công cụ Lọc
Bộ lọc hiển thị có thể được nhập vào thanh công cụ bộ lọc. Bộ lọc cho HTTP,
Lưu lượng truy cập HTTPS và DNS có thể giống như sau:

tcp.port trong {80 443 53}

Chọn Filter: cho phép bạn chọn từ danh sách các bộ lọc được đặt tên
bạn có thể tùy chọn lưu. Nhấn các phím Return hoặc Enter, hoặc chọn
Đăng Nhập , sẽ khiến bộ lọc được áp dụng cho danh sách hiện tại
gói tin. Lựa chọn Xóa và làm lại nút xóa bộ lọc hiển thị để tất cả
các gói được hiển thị (một lần nữa).

Không có cách nào để tùy chỉnh các mục trong thanh công cụ, tuy nhiên thanh công cụ có thể
được che giấu bởi Xem: Bộ lọc Thanh công cụ.

Ngăn danh sách gói
Ngăn trên cùng chứa danh sách các gói mạng mà bạn có thể cuộn qua
và chọn. Theo mặc định, số gói, dấu thời gian gói, nguồn và
địa chỉ đích, giao thức và mô tả được hiển thị cho mỗi gói;
các Cột trang trong hộp thoại bật lên bởi Chỉnh sửa: Tùy chọn cho phép bạn thay đổi
điều này (mặc dù, thật không may, bạn hiện phải lưu các tùy chọn và
thoát và khởi động lại Wireshark để những thay đổi đó có hiệu lực).

Nếu bạn nhấp vào tiêu đề cho một cột, màn hình sẽ được sắp xếp theo
cột; nhấp vào tiêu đề một lần nữa sẽ đảo ngược thứ tự sắp xếp cho điều đó
cột.

Một nỗ lực được thực hiện để hiển thị thông tin càng cao trong ngăn xếp giao thức như
có thể, ví dụ: địa chỉ IP được hiển thị cho các gói IP, nhưng lớp MAC
địa chỉ được hiển thị cho các loại gói không xác định.

Nút chuột phải có thể được sử dụng để bật lên menu các thao tác.

Nút chuột giữa có thể được sử dụng để đánh dấu một gói tin.

Ngăn chi tiết gói
Ngăn giữa chứa màn hình hiển thị các chi tiết của
gói tin. Màn hình hiển thị từng trường và giá trị của nó trong mỗi tiêu đề giao thức trong
ngăn xếp. Nút chuột phải có thể được sử dụng để bật lên menu các thao tác.

Ngăn gói byte
Ngăn thấp nhất chứa kết xuất hex và ASCII của dữ liệu gói thực tế.
Việc chọn một trường trong chi tiết gói sẽ làm nổi bật các byte tương ứng trong
phần này.

Nút chuột phải có thể được sử dụng để bật lên menu các thao tác.

Thanh trạng thái
Thanh trạng thái được chia thành ba phần, ở bên trái một số tùy thuộc vào ngữ cảnh
mọi thứ được hiển thị, chẳng hạn như thông tin về tệp đã tải, ở giữa
số lượng gói được hiển thị và ở bên phải cấu hình hiện tại
Hồ sơ.

Thanh trạng thái có thể bị ẩn bởi Xem: Thanh trạng thái.

Sở thích (Preferences)
Sản phẩm Sở thích (Preferences) hộp thoại cho phép bạn kiểm soát các tùy chọn cá nhân khác nhau đối với hành vi
of Wireshark.

Tùy chọn giao diện người dùng
Sản phẩm người sử dang Giao thức được sử dụng để sửa đổi các khía cạnh nhỏ của GUI cho riêng bạn
sở thích cá nhân:

Thanh lựa chọn
Thanh lựa chọn trong danh sách gói và chi tiết gói có thể có
hành vi "duyệt" hoặc "chọn". Nếu thanh lựa chọn có "duyệt"
hành vi, các phím mũi tên sẽ di chuyển đường viền của thanh lựa chọn,
cho phép bạn duyệt qua phần còn lại của danh sách hoặc chi tiết mà không cần thay đổi
lựa chọn cho đến khi bạn nhấn phím cách. Nếu thanh lựa chọn có
hành vi "chọn", các phím mũi tên sẽ di chuyển thanh lựa chọn và thay đổi
lựa chọn mục mới trong danh sách gói hoặc chi tiết gói.

Lưu vị trí cửa sổ
Nếu mục này được chọn, vị trí của cửa sổ Wireshark chính sẽ
được lưu khi Wireshark thoát và được sử dụng khi Wireshark được khởi động lại.

Lưu kích thước cửa sổ
Nếu mục này được chọn, kích thước của cửa sổ Wireshark chính sẽ là
được lưu khi Wireshark thoát và được sử dụng khi Wireshark được khởi động lại.

Lưu trạng thái tối đa hóa cửa sổ
Nếu mục này được chọn, trạng thái tối đa của cửa sổ Wireshark chính
sẽ được lưu khi Wireshark tồn tại và được sử dụng khi Wireshark được khởi động
một lần nữa.

Hành vi hộp thoại mở tệp
Mục này cho phép người dùng chọn cách Wireshark xử lý danh sách
Hộp thoại "Mở tệp" khi mở tệp theo dõi. "Nhớ cuối cùng
Directory "khiến Wireshark tự động định vị hộp thoại trong
thư mục của tệp được mở gần đây nhất, ngay cả giữa các lần khởi chạy
Wireshark. "Luôn mở trong Thư mục" cho phép người dùng xác định
thư mục liên tục mà hộp thoại sẽ luôn mặc định.

thư mục
Cho phép người dùng chỉ định một thư mục File Open liên tục. Theo dõi
dấu gạch chéo hoặc dấu gạch chéo ngược sẽ tự động được thêm vào.

Tệp mở bản xem trước hết thời gian
Các mục này cho phép người dùng xác định lượng thời gian dành cho việc đọc
chụp tệp để trình bày dữ liệu xem trước trong hộp thoại Mở tệp.

Mở các mục nhập danh sách tối đa gần đây
Menu Tệp hỗ trợ danh sách tệp gần đây. Mục này cho phép người dùng
chỉ định có bao nhiêu tệp được theo dõi trong danh sách này.

Yêu cầu các tệp chụp chưa được lưu
Khi đóng tệp chụp hoặc chính Wireshark nếu tệp không được lưu
nhưng người dùng được cung cấp tùy chọn để lưu tệp khi mục này
thiết lập.

Kết thúc trong quá trình tìm kiếm
Mục này xác định hành vi khi đến đầu hoặc cuối
của một tập tin chụp. Khi thiết lập, tìm kiếm sẽ kết thúc và tiếp tục,
nếu không thì nó dừng lại.

Hộp thoại cài đặt hiển thị nút lưu
Mục này xác định xem các hộp thoại khác nhau có nút Lưu rõ ràng hay không
hoặc lưu đó được ẩn trong OK / Apply.

Lệnh trình duyệt web
Mục nhập này chỉ định dòng lệnh để khởi chạy trình duyệt web. Nó được sử dụng
để truy cập nội dung trực tuyến, như Wiki và hướng dẫn sử dụng. Sử dụng '% s' để đặt
URL yêu cầu trong dòng lệnh.

Hiển thị đèn LED trong nhãn tab hộp thoại Expert Infos
Mục này xác định xem hình ảnh có màu giống đèn LED có được hiển thị trong
Nhãn tab hộp thoại Thông tin chuyên gia.

Tùy chọn bố cục
Sản phẩm Bố trí cho phép bạn chỉ định bố cục chung của cửa sổ chính. Bạn có thể
chọn từ sáu bố cục khác nhau và điền vào ba ngăn với nội dung bạn
như.

Thanh cuộn
Các thanh cuộn dọc trong ba ngăn có thể được đặt ở trên
trái hoặc phải.

Màu hàng xen kẽ
Hiển thị Hex
Phương pháp đánh dấu trong màn hình kết xuất hex cho giao thức đã chọn
mục có thể được đặt để sử dụng video nghịch đảo hoặc các ký tự in đậm.

Kiểu thanh công cụ
Lọc vị trí thanh công cụ
Tiêu đề cửa sổ tùy chỉnh
Tùy chọn cột
Sản phẩm Cột trang cho phép bạn chỉ định số lượng, tiêu đề và định dạng của mỗi cột
trong danh sách gói.

Sản phẩm Cột tiêu đề mục nhập được sử dụng để chỉ định tiêu đề của cột được hiển thị tại
đầu danh sách gói. Loại dữ liệu mà cột hiển thị có thể là
được chỉ định bằng cách sử dụng Cột định dạng menu tùy chọn. Hàng nút bên trái
thực hiện các hành động sau:

Mới Thêm một cột mới vào danh sách.

Xóa bỏ
Xóa mục danh sách hiện được chọn.

Lên xuống
Di chuyển mục danh sách đã chọn lên hoặc xuống một vị trí.

Tùy chọn Phông chữ
Sản phẩm Font cho phép bạn chọn phông chữ được sử dụng cho hầu hết các văn bản.

Tùy chọn màu sắc
Sản phẩm Màu sắc có thể được sử dụng để thay đổi màu của văn bản được hiển thị trong TCP
cửa sổ luồng và cho các gói được đánh dấu. Để thay đổi màu, chỉ cần chọn một
từ menu "Set:" và sử dụng công cụ chọn màu để có được màu mong muốn
màu sắc. Các màu văn bản mới được hiển thị dưới dạng văn bản mẫu.

Tùy chọn chụp
Sản phẩm Chụp trang cho phép bạn chỉ định các thông số khác nhau để bắt gói tin trực tiếp
dữ liệu; chúng được sử dụng lần đầu tiên bắt đầu chụp.

Sản phẩm Giao diện: hộp kết hợp cho phép bạn chỉ định giao diện để chụp từ đó
dữ liệu gói, hoặc tên của FIFO để lấy dữ liệu gói.

Sản phẩm Ngày Link đi: menu tùy chọn cho phép bạn, đối với một số giao diện, chọn dữ liệu
tiêu đề liên kết bạn muốn xem trên các gói tin bạn chụp. Ví dụ, trong một số
Hệ điều hành và với một số phiên bản của libpcap, bạn có thể chọn, trên giao diện 802.11,
liệu các gói có xuất hiện dưới dạng gói Ethernet hay không (với một Ethernet giả
tiêu đề) hoặc dưới dạng gói 802.11.

Sản phẩm Hạn chế mỗi gói đến hữu ích. Cảm ơn ! byte hộp kiểm cho phép bạn đặt độ dài ảnh chụp nhanh thành
sử dụng khi thu thập dữ liệu trực tiếp; bật hộp kiểm, sau đó đặt số
byte để sử dụng làm độ dài ảnh chụp nhanh.

Sản phẩm Filter: mục nhập văn bản cho phép bạn đặt biểu thức bộ lọc chụp sẽ được sử dụng khi
sự bắt giữ.

Nếu bất kỳ biến môi trường nào SSH_CONNECTION, SSH_CLIENT, REMOTEHOST,
DISPLAY hoặc SESSIONNAME được đặt, Wireshark sẽ tạo bộ lọc chụp mặc định
loại trừ lưu lượng truy cập từ các máy chủ và cổng được xác định trong các biến đó.

Sản phẩm Chụp gói in promiscuous chế độ hộp kiểm cho phép bạn chỉ định xem có
đặt giao diện ở chế độ lăng nhăng khi chụp.

Sản phẩm Cập nhật of gói in thực thời gian hộp kiểm cho phép bạn chỉ định rằng
hiển thị nên được cập nhật khi các gói được nhìn thấy.

Sản phẩm Tự động cuộn in sống nắm bắt hộp kiểm cho phép bạn chỉ định xem, trong
chụp "Cập nhật danh sách gói trong thời gian thực", ngăn danh sách gói sẽ
tự động cuộn để hiển thị các gói được bắt gần đây nhất.

Quyền in ưu tiên
Các nút radio ở đầu In trang cho phép bạn chọn giữa
in các gói với Tệp: In Gói mục menu dưới dạng văn bản hoặc PostScript, và
gửi đầu ra trực tiếp đến một lệnh hoặc lưu nó vào một tệp. Các command:
hộp nhập văn bản, trên các hệ thống tương thích với UNIX, là lệnh để gửi tệp đến
(Thường lpr), và File: hộp nhập cho phép bạn nhập tên của tệp bạn
muốn lưu vào. Ngoài ra, bạn có thể chọn File: nút để duyệt qua
hệ thống tệp cho một tệp lưu cụ thể.

Tùy chọn độ phân giải tên
Sản phẩm Kích hoạt tính năng MAC tên độ phân giải, Kích hoạt tính năng mạng tên độ phân giải và Kích hoạt tính năng
vận chuyển tên độ phân giải hộp kiểm cho phép bạn chỉ định xem địa chỉ MAC,
địa chỉ mạng và số cổng của lớp truyền tải phải được dịch sang
tên.

Sản phẩm Kích hoạt tính năng đồng thời DNS tên độ phân giải cho phép Wireshark gửi nhiều
yêu cầu giải quyết tên và không đợi kết quả trước khi tiếp tục
mổ xẻ. Điều này làm tăng tốc độ phân tích với độ phân giải tên mạng nhưng
ban đầu có thể bỏ lỡ các độ phân giải. Số lượng yêu cầu đồng thời có thể được thiết lập
ở đây là tốt.

SMI đường dẫn

SMI mô-đun

Tùy chọn trình phát RTP
Trang này cho phép bạn chọn số kênh hiển thị trong trình phát RTP
cửa sổ. Nó xác định chiều cao của cửa sổ, có thể có nhiều kênh hơn và
hiển thị bằng thanh cuộn.

Tùy chọn Giao thức
Ngoài ra còn có các trang cho các giao thức khác nhau mà Wireshark mổ xẻ, kiểm soát
cách Wireshark xử lý các giao thức đó.

Chỉnh sửa danh sách bộ lọc chụp
Chỉnh sửa danh sách bộ lọc hiển thị
Chụp bộ lọc
Bộ lọc hiển thị
Đọc bộ lọc
Bộ lọc tìm kiếm
Sản phẩm Chỉnh sửa Chụp Lọc Danh sách hộp thoại cho phép bạn tạo, sửa đổi và xóa chụp
bộ lọc và Chỉnh sửa Giao diện Lọc Danh sách hộp thoại cho phép bạn tạo, sửa đổi và xóa
bộ lọc hiển thị.

Sản phẩm Chụp Lọc hộp thoại cho phép bạn thực hiện tất cả các thao tác chỉnh sửa được liệt kê, đồng thời
cho phép bạn chọn hoặc xây dựng một bộ lọc được sử dụng khi bắt các gói tin.

Sản phẩm Giao diện Lọc hộp thoại cho phép bạn thực hiện tất cả các thao tác chỉnh sửa được liệt kê, đồng thời
cho phép bạn chọn hoặc xây dựng một bộ lọc được sử dụng để lọc ảnh chụp hiện tại
đã xem.

Sản phẩm Đọc Lọc hộp thoại cho phép bạn thực hiện tất cả các thao tác chỉnh sửa được liệt kê và cũng cho phép
bạn chọn hoặc xây dựng một bộ lọc được sử dụng như một bộ lọc đọc cho tệp chụp mà bạn
mở.

Sản phẩm Tìm kiếm Lọc hộp thoại cho phép bạn thực hiện tất cả các thao tác chỉnh sửa được liệt kê, đồng thời
cho phép bạn chọn hoặc xây dựng một biểu thức bộ lọc được sử dụng trong một hoạt động tìm kiếm.

Trong tất cả các hộp thoại đó, Lọc tên mục nhập chỉ định tên mô tả cho một
bộ lọc, ví dụ web và DNS giao thông. Các Lọc chuỗi mục nhập là văn bản thực sự
mô tả hành động lọc cần thực hiện, như đã mô tả ở trên. các nút hộp thoại thực hiện
những hành động sau:

Mới Nếu có văn bản trong hai hộp nhập, hãy tạo một mục danh sách liên kết mới.

Chỉnh sửa Sửa đổi mục danh sách hiện được chọn để khớp với mục trong các hộp nhập.

Xóa bỏ
Xóa mục danh sách hiện được chọn.

Thêm biểu thức ...
Đối với các biểu thức bộ lọc hiển thị, bật lên một hộp thoại để cho phép bạn tạo
lọc biểu thức để kiểm tra một trường cụ thể; nó cung cấp danh sách tên trường,
và, khi thích hợp, liệt kê từ đó chọn các thử nghiệm để thực hiện trên hiện trường
và các giá trị để so sánh với nó. Trong hộp thoại đó, nút OK sẽ
khiến biểu thức bộ lọc bạn đã xây dựng được nhập vào Lọc chuỗi
ở vị trí con trỏ hiện tại.

OK Trong Chụp Lọc , đóng hộp thoại và tạo bộ lọc trong
Lọc chuỗi nhập bộ lọc trong Chụp Sở thích (Preferences) hộp thoại. bên trong
Giao diện Lọc , đóng hộp thoại và tạo bộ lọc trong Lọc
chuỗi vào bộ lọc hiển thị hiện tại và áp dụng nó cho ảnh chụp hiện tại.
Trong tạp chí Đọc Lọc , đóng hộp thoại và tạo bộ lọc trong
Lọc chuỗi nhập bộ lọc trong Mở Chụp Tập tin hộp thoại. bên trong Tìm kiếm
Lọc , đóng hộp thoại và tạo bộ lọc trong Lọc chuỗi
nhập bộ lọc trong Tìm kiếm Gói thoại.

Áp dụng Làm cho bộ lọc trong Lọc chuỗi vào bộ lọc hiển thị hiện tại và
áp dụng nó cho chụp hiện tại.

Lưu Nếu danh sách các bộ lọc đang được chỉnh sửa là danh sách các bộ lọc chụp, hãy lưu
danh sách bộ lọc hiện tại đến tệp bộ lọc chụp ảnh cá nhân và nếu danh sách
bộ lọc đang được chỉnh sửa là danh sách bộ lọc hiển thị, lưu bộ lọc hiện tại
danh sách vào tệp bộ lọc hiển thị cá nhân.

Đóng Đóng hộp thoại mà không làm bất cứ điều gì với bộ lọc trong Lọc chuỗi
nhập cảnh.

Hộp thoại Bộ lọc Màu
Hộp thoại này hiển thị danh sách các bộ lọc màu và cho phép nó được sửa đổi.

DANH SÁCH BỘ LỌC
Các hàng đơn có thể được chọn bằng cách nhấp vào. Nhiều hàng có thể được chọn bằng cách sử dụng
phím ctrl và shift kết hợp với nút chuột.

MỚI Thêm bộ lọc mới ở cuối danh sách và mở hộp thoại Chỉnh sửa bộ lọc màu
hộp. Bạn sẽ phải thay đổi biểu thức bộ lọc ít nhất trước khi bộ lọc
Được chấp nhận. Định dạng của các biểu thức bộ lọc màu giống với định dạng của
bộ lọc hiển thị. Bộ lọc mới đã được chọn, vì vậy nó có thể được chuyển lên ngay lập tức
và xuống, xóa hoặc chỉnh sửa. Để tránh nhầm lẫn, tất cả các bộ lọc được bỏ chọn trước đó
bộ lọc mới được tạo.

EDIT
Mở hộp thoại Chỉnh sửa Bộ lọc Màu cho bộ lọc đã chọn. (Nếu nút này là
bị vô hiệu hóa, bạn có thể có nhiều hơn một bộ lọc được chọn, làm cho nó trở nên mơ hồ
sẽ được chỉnh sửa.)

Kích hoạt
Bật (các) bộ lọc màu đã chọn.

VÔ HIỆU HÓA
Tắt (các) bộ lọc màu đã chọn.

DELETE
Xóa (các) bộ lọc màu đã chọn.

XUẤT KHẨU
Cho phép bạn chọn một tệp để lưu danh sách bộ lọc màu hiện tại.
Bạn cũng có thể chọn chỉ lưu các bộ lọc đã chọn. Một nút được cung cấp cho
lưu các bộ lọc trong tệp bộ lọc màu chung (bạn phải có đủ
tất nhiên là quyền để ghi tệp này).

NHẬP KHẨU
Cho phép bạn chọn một tệp chứa các bộ lọc màu sau đó được thêm vào
cuối danh sách hiện tại. Tất cả các bộ lọc đã thêm đều được chọn, vì vậy chúng có thể
đã chuyển đến đúng vị trí trong danh sách với tư cách là một nhóm. Để tránh nhầm lẫn, tất cả
bộ lọc không được chọn trước khi bộ lọc mới được nhập. Một nút được cung cấp
để tải các bộ lọc từ tệp bộ lọc màu chung.

TRONG SÁNG
Xóa tệp bộ lọc màu cá nhân của bạn, tải lại tệp bộ lọc màu chung,
nếu có, và đóng hộp thoại.

LÊN Di chuyển (các) bộ lọc đã chọn lên danh sách, làm cho nhiều khả năng chúng sẽ
dùng để tô màu gói tin.

Down
Di chuyển (các) bộ lọc đã chọn xuống danh sách, làm cho khả năng chúng sẽ ít hơn
được sử dụng để tô màu các gói tin.

OK Đóng hộp thoại và sử dụng các bộ lọc màu khi chúng đứng.

ÁP DỤNG
Tô màu các gói theo danh sách bộ lọc màu hiện tại, nhưng không
đóng hộp thoại.

LƯU GIỮ
Lưu danh sách bộ lọc màu hiện tại trong tệp bộ lọc màu cá nhân của bạn.
Trừ khi bạn làm điều này, chúng sẽ không được sử dụng vào lần tiếp theo bạn khởi động Wireshark.

ĐÓNG
Đóng hộp thoại mà không thay đổi màu sắc của các gói. Lưu ý rằng
những thay đổi bạn đã thực hiện đối với danh sách bộ lọc màu hiện tại sẽ không được hoàn tác.

Hộp thoại Tùy chọn Chụp
Sản phẩm Chụp Các lựa chọn Hộp thoại cho phép bạn chỉ định các thông số khác nhau để chụp trực tiếp
dữ liệu gói.

Sản phẩm Giao diện: trường cho phép bạn chỉ định giao diện mà từ đó thu thập dữ liệu gói
hoặc một lệnh để lấy dữ liệu gói thông qua một đường ống.

Sản phẩm liên kết lớp cú đội đầu đi: trường cho phép bạn chỉ định tiêu đề lớp liên kết giao diện
loại. Trường này thường bị vô hiệu hóa, vì hầu hết giao diện chỉ có một loại tiêu đề.

Sản phẩm Chụp gói in promiscuous chế độ hộp kiểm cho phép bạn chỉ định xem
giao diện nên được đưa vào chế độ lăng nhăng khi chụp.

Sản phẩm Hạn chế mỗi gói đến hữu ích. Cảm ơn ! byte hộp kiểm và trường cho phép bạn chỉ định giá trị tối đa
số byte trên mỗi gói để chụp và lưu; nếu hộp kiểm không được chọn,
giới hạn sẽ là 65535 byte.

Sản phẩm Chụp Filter: mục nhập cho phép bạn chỉ định bộ lọc chụp bằng kiểu tcpdump
chuỗi bộ lọc như mô tả ở trên.

Sản phẩm File: entry cho phép bạn chỉ định tệp mà các gói đã bắt sẽ được lưu vào đó,
như trong Máy in Các lựa chọn hộp thoại trên. Nếu không được chỉ định, các gói được bắt sẽ
được lưu trong một tệp tạm thời; bạn có thể lưu các gói đó vào một tệp với Tệp: Lưu
As mục menu.

Sản phẩm Sử dụng nhiều các tập tin hộp kiểm cho phép bạn chỉ định rằng việc chụp ảnh sẽ được thực hiện trong
chế độ "nhiều tệp". Tùy chọn này bị vô hiệu hóa, nếu Cập nhật of gói in thực
thời gian tùy chọn được kiểm tra.

Sản phẩm Sau hồ sơ mỗi hữu ích. Cảm ơn ! megabyte hộp kiểm và các trường cho phép bạn chỉ định rằng một
chuyển sang tệp tiếp theo sẽ được thực hiện nếu đạt đến kích thước tệp đã chỉ định. Bạn có thể
cũng chọn đơn vị thích hợp, nhưng hãy lưu ý rằng kích thước tệp có tối đa là 2 GiB.
Hộp kiểm buộc phải được chọn vì chế độ "nhiều tệp" yêu cầu kích thước tệp
để được chỉ định.

Sản phẩm Sau hồ sơ mỗi hữu ích. Cảm ơn ! phút) hộp kiểm và các trường cho phép bạn chỉ định rằng
chuyển sang tệp tiếp theo nên được thực hiện sau khi thời gian được chỉ định đã trôi qua, ngay cả khi
không đạt được kích thước chụp đã chỉ định.

Sản phẩm Nhẫn đệm với hữu ích. Cảm ơn ! các tập tin trường cho phép bạn chỉ định số lượng tệp của một chiếc nhẫn
đệm. Tính năng này sẽ ghi lại vào tệp đầu tiên, sau khi đã chỉ định
số lượng tệp đã được sử dụng.

Sản phẩm Dừng nắm bắt sau khi hữu ích. Cảm ơn ! các tập tin trường cho phép bạn chỉ định số lượng tệp chụp
được sử dụng cho đến khi dừng chụp.

Sản phẩm Dừng nắm bắt sau khi hữu ích. Cảm ơn ! (các) gói hộp kiểm và trường cho phép bạn chỉ định rằng
Wireshark sẽ ngừng chụp sau khi đã bắt được một số gói tin; nếu
hộp kiểm không được chọn, Wireshark sẽ không ngừng chụp ở một số
gói tin bị bắt.

Sản phẩm Dừng nắm bắt sau khi hữu ích. Cảm ơn ! megabyte hộp kiểm và trường cho phép bạn chỉ định rằng
Wireshark sẽ ngừng chụp sau tệp mà các gói đã bắt đang được
đã lưu phát triển lớn hơn hoặc lớn hơn một số megabyte được chỉ định. Nếu
hộp kiểm không được chọn, Wireshark sẽ không ngừng chụp ở một số kích thước tệp chụp
(mặc dù hệ điều hành mà Wireshark đang chạy hoặc đĩa có sẵn
không gian, vẫn có thể giới hạn kích thước tối đa của tệp chụp). Tùy chọn này đã bị vô hiệu hóa,
nếu chế độ "nhiều tệp" được sử dụng,

Sản phẩm Dừng nắm bắt sau khi hữu ích. Cảm ơn ! thứ hai hộp kiểm và trường cho phép bạn chỉ định rằng
Wireshark sẽ ngừng chụp sau khi đã bắt được một số
giây; nếu hộp kiểm không được chọn, Wireshark sẽ không ngừng chụp sau một số
thời gian cố định đã trôi qua.

Sản phẩm Cập nhật of gói in thực thời gian hộp kiểm cho phép bạn chỉ định xem màn hình
nên được cập nhật khi các gói được bắt và, nếu bạn chỉ định điều đó, Tự động
cuộn in sống nắm bắt hộp kiểm cho phép bạn chỉ định ngăn danh sách gói nên
tự động cuộn để hiển thị các gói được bắt gần đây nhất khi các gói mới đến.

Sản phẩm Kích hoạt tính năng MAC tên độ phân giải, Kích hoạt tính năng mạng tên độ phân giải và Kích hoạt tính năng vận chuyển
tên độ phân giải hộp kiểm cho phép bạn chỉ định xem địa chỉ MAC, địa chỉ mạng,
và số cổng của lớp vận chuyển nên được dịch sang tên.

Giới thiệu
Sản phẩm Giới thiệu cho phép bạn xem các thông tin khác nhau về Wireshark.

Giới thiệu: Wireshark
Sản phẩm Wireshark trang cho phép bạn xem thông tin chung về Wireshark, như
phiên bản đã cài đặt, thông tin cấp phép và những thứ khác.

Giới thiệu: Tác giả
Sản phẩm Tác giả trang hiển thị tác giả và tất cả những người đóng góp.

Giới thiệu: Thư mục
Sản phẩm Thư mục trang cho phép bạn xem tên thư mục mà Wireshark đang tìm kiếm
cấu hình khác nhau và các tệp khác.

Giới thiệu: Plugins
Sản phẩm bổ sung cho phép bạn xem các mô-đun plugin mổ xẻ có sẵn trên hệ thống của bạn.

Sản phẩm bổ sung Danh sách hiển thị tên và phiên bản của từng mô-đun plugin giải phẫu được tìm thấy trên
hệ thống của bạn.

Trên các hệ thống tương thích với Unix, các plugin được tìm kiếm trong các thư mục sau:
các lib / wirehark / plugins / $ VERSION thư mục trong thư mục cài đặt chính
(ví dụ, / usr / local / lib / Wirehark / plugins / $ VERSION), và sau đó
$ HOME / .wireshark / plugin.

Trên hệ thống Windows, các plugin được tìm kiếm trong các thư mục sau:
plugin \ $ VERSION thư mục trong thư mục cài đặt chính (ví dụ:
C: \ Program Tệp \ Wireshark \ plugins \ $ VERSION), và sau đó
% APPDATA% \ Wireshark \ plugins \ $ VERSION (hoặc nếu% APPDATA% không được xác định,
% USERPROFILE% \ Ứng dụng Dữ liệu \ Wireshark \ plugins \ $ VERSION).

$ VERSION là số phiên bản của giao diện plugin, thường là phiên bản
số lượng Wireshark. Lưu ý rằng một mô-đun plugin giải phẫu có thể hỗ trợ nhiều hơn một
giao thức; không nhất thiết phải có sự tương ứng XNUMX-XNUMX giữa những người mổ xẻ
các mô-đun và giao thức plugin. Các giao thức được hỗ trợ bởi một mô-đun plugin mổ xẻ là
được bật và tắt bằng cách sử dụng Chỉnh sửa: Giao thức hộp thoại, giống như các giao thức được tích hợp sẵn
Wireshark được.

YÊU CẦU LỌC TỔNG HỢP

Xem trang hướng dẫn sử dụng của bộ lọc pcap(7) hoặc, nếu điều đó không tồn tại, tcpdump(8), hoặc, nếu điều đó
không tồn tại, .

DISPLAY LỌC TỔNG HỢP

Để có bảng đầy đủ các trường giao thức và giao thức có thể lọc trong Wireshark xem
các bộ lọc Wirehark(4) trang hướng dẫn sử dụng.

Sử dụng Wirehark trực tuyến bằng các dịch vụ onworks.net