关闭

关闭

关闭

封号提示

内容

首页 Wireshark使用教程.doc

Wireshark使用教程.doc

Wireshark使用教程.doc

上传者: 13128737132 2012-07-26 评分 0 0 0 0 0 0 暂无简介 简介 举报

简介:本文档为《Wireshark使用教程doc》,可适用于IT/计算机领域,主题内容包含脚本之家整理:wwwjbnet第  章 介绍 什么是Wireshark 主要应用 特性 捕捉多种网络接口 支持多种其它程序捕捉的文件 支持多格式输出符等。

脚本之家整理:wwwjbnet第  章 介绍 什么是Wireshark 主要应用 特性 捕捉多种网络接口 支持多种其它程序捕捉的文件 支持多格式输出 对多种协议解码提供支持 开源软件 Wireshark不能做的事 系通需求 一般说明 MicrosoftWindows UnixLinux 从哪里可以得到Wireshark Wiresahrk简史 Wireshark开发维护 汇报问题和获得帮助 网站 百科全书 FAQ 邮件列表 报告问题 在UNIXLinux平台追踪软件错误 在Windows平台追踪软件错误第  章 编译安装Wireshark 须知 获得源 在UNIX下安装之前 在UNIX下编译Wireshark 在UNIX下安装二进制包 在Linux或类似环境下安装RPM包 在Debian环境下安装Deb包 在GentooLinux环境下安装Portage 在FreeBSD环境下安装包 解决UNIX下安装过程中的问题 在Windows下编译源 在Windows下安装Wireshark 安装Wireshark 手动安装WinPcap 更新Wireshark 更新WinPcap 卸载Wireshark 卸载WinPcap第  章 用户界面 须知 启动Wireshark 主窗口 主窗口概述 主菜单 "File"菜单 "Edit"菜单 "View"菜单 "Go"菜单 "Capture"菜单 "Analyze"菜单 "Statistics"菜单 "Help"菜单 "Main"工具栏 "Filter"工具栏 "PcaketList"面板 "PacketDetails"面板 "PacketByte"面板 状态栏第  章 实时捕捉数据包 介绍 准备工作 开始捕捉 捕捉接口对话框 捕捉选项对话框 捕捉桢 捉数据帧为文件。 停止捕捉桢 显示桢选项 名称解析设置 按钮 捕捉文件格式、模式设置 链路层包头类型 捕捉时过滤 自动过滤远程通信 在捕捉过程中 停止捕捉 重新启动捕捉第  章 文件输入/输出及打印 说明 打开捕捉文件 打开捕捉文件对话框 输入文件格式 保存捕捉包 "saveCaptureFileAs保存文件为"对话框 输出格式 合并捕捉文件 合并文件对话框 文件集合 文件列表对话框 导出数据 "ExportasPlainTextFile"对话框 "ExportasPostScriptFile"对话框 "ExportasCSV(CommaSeparatedValues)File"对话框 "ExportasPSMLFile"对话框 "ExportasPDMLFile"对话框 "Exportselectedpacketbytes"对话框 "ExportObjects"对话框 打印包 打印对话框 包范围选项 包格式选项第  章 处理已经捕捉的包 浏览您捕捉的包 弹出菜单项 包列表面板的弹出菜单 包详情面板的弹出菜单 浏览时过滤包 建立显示过滤表达式 显示过滤字段 比较值 组合表达式 常见的错误 “FilterExpression过滤表达式”对话框 定义保存过滤器 查找包 查找包对话框 "FindNext查找下一个"命令 "FindPrevious查找上一个"命令 到指定的包 "GOBack"返回命令 "GoForward向前"命令 "GotoPacket到指定的包"对话框 "GotoCorrespondingPacket到对应的包"命令 "GotoFirestPacket到第一个包"命令 "GotoLastPacket到最后一个包"命令 标记包 时间显示格式及参考时间 包参考时间第  章 高级 说明 "FollowTCPStream" "FollowTCPStream"对话框 时间戳 Wireshark内置 捕捉文件格式 准确性 时区 正确设置你的计算机的时区 Wireshark和时区的关系 合并包 什么是合并包 如何用Wireshark合并包 名称解析 名字解析的流弊 以太网名字解析(mac层) IP地址解析(网络层) IPX名称解析(网络层) TCPUDP端口名解析(传输层) 校检和 Wireshark校检和验证 Checksumoffloading第  章 统计 说明 摘要窗口 "ProtocolHierarchy"窗口 "Endpoints" 什么是Endpoint "Endpoints"窗口 特定协议的"EndpointList"窗口 会话conversations 什么是会话conversation "Conversations会话"window 协议指定“ConversationList会话列表”窗口 "IOGraphs"窗口 服务相应时间 "ServiceResponseTimeDCERPC"窗口 协议指定统计窗口第  章 个性化Wireshark 说明 从命令行启动Wireshark 包色彩显示设置 设置协议解码 "EnableProtocols"对话框 用户指定解码器 显示用户指定解码器 首选项 用户表表 创建过滤宏 TektronicsKxxRF协议表 用户DLTs协议表 SNMP用户表第  章 介绍 什么是WiresharkWireshark是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包并尝试显示包的尽可能详细的情况。你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具就好像使电工用来测量进入电信的电量的电度表一样。(当然比那个更高级)过去的此类工具要么是过于昂贵要么是属于某人私有或者是二者兼顾。Wireshark出现以后这种现状得以改变。Wireshark可能算得上是今天能使用的最好的开元网络分析软件。(源码网整理:wwwcodepubcom) 主要应用下面是Wireshark一些应用的举例:网络管理员用来解决网络问题网络安全工程师用来检测安全隐患开发人员用来测试协议执行情况用来学习网络协议除了上面提到的Wireshark还可以用在其它许多场合。 特性支持UNIX和Windows平台在接口实时捕捉包能详细显示包的详细协议信息可以打开保存捕捉的包可以导入导出其他捕捉程序支持的包数据格式可以通过多种方式过滤包多种方式查找包通过过滤以多种色彩显示包创建多种统计分析…还有许多不管怎么说要想真正了解它的强大您还得使用它才行图  Wireshark捕捉包并允许您检视其内 捕捉多种网络接口Wireshark可以捕捉多种网络接口类型的包哪怕是无线局域网接口。想了解支持的所有网络接口类型可以在我们的网站上找到http:wikiwiresharkorgCaptureSetupNetworkMedia 支持多种其它程序捕捉的文件Wireshark可以打开多种网络分析软件捕捉的包详见 支持多格式输出Wieshark可以将捕捉文件输出为多种其他捕捉软件支持的格式详见 对多种协议解码提供支持可以支持许多协议的解码(在Wireshark中可能被称为解剖) 开源软件Wireshark是开源软件项目用GPL协议发行。您可以免费在任意数量的机器上使用它不用担心授权和付费问题所有的源代码在GPL框架下都可以免费使用。因为以上原因人们可以很容易在Wireshark上添加新的协议或者将其作为插件整合到您的程序里这种应用十分广泛。 Wireshark不能做的事Wireshark不能提供如下功能Wireshark不是入侵检测系统。如果他她在您的网络做了一些他她们不被允许的奇怪的事情Wireshark不会警告您。但是如果发生了奇怪的事情Wireshark可能对察看发生了什么会有所帮助。Wireshark不会处理网络事务它仅仅是“测量”(监视)网络。Wireshark不会发送网络包或做其它交互性的事情(名称解析除外但您也可以禁止解析)。 系统需求想要安装运行Wireshark需要具备的软硬件条件 一般说明给出的值只是最小需求在大多数网络中可以正常使用但不排除某些情况下不能使用。在繁忙的网络中捕捉包将很容塞满您的硬盘!举个简单的例子:在MBITs全双工以太网中捕捉数据将会产生MBytiesmin的数据!在此类网络中拥有高速的CPU大量的内存和足够的磁盘空间是十分有必要的。如果Wireshark运行时内存不足将会导致异常终止。可以在http:wikiwiresharkorgKnownBugsOutOfMemory察看详细介绍以及解决办法。Wireshark作为对处理器时间敏感任务在多处理器多线程系统环境工作不会比单独处理器有更快的速度例如过滤包就是在一个处理器下线程运行除了以下情况例外:在捕捉包时“实时更新包列表”此时捕捉包将会运行在一个处理下显示包将会运行在另一个处理器下。此时多处理或许会有所帮助。 MicrosoftWindowsWindows,XPHome版,XPPro版,XPTabletPCXPMediaCenter,ServerorVista(推荐在XP下使用)bit奔腾处理器或同等规格的处理器(建议频率:MHz或更高),bit处理器在WoW仿真环境下见一般说明MB系统内存(建议Mbytes或更高)MB可用磁盘空间(如果想保存捕捉文件需要更多空间)*(建议*或更高)分辨率最少(bit)色(色旧设备安装时需要选择”legacyGTK”)网卡需求:以太网:windows支持的任何以太网卡都可以无线局域网卡:见MicroLogixsupportlist,不捕捉包头和无数据桢。其它接口见:http:wikiwiresharkorgCaptureSetupNetworkMedia说明基于以下三点原因将不会对旧版Windows提供支持:没有任何开发人员正在使用那些操作系统这将使支持变得更加困难Wireshark运行所依赖的库文件(如GTKWinPCap等)也放弃对它们的支持。同样微软也放弃了对它们的技术支持。Windows,和ME不能运行Wireshark。已知的最后一个可以运行在以上平台的版本是Ethereal(需要安装WinPCap),你依然可以使用从:http:etherealcomdownloadhtml获得。顺便提一下:微软于年月日停止对ME支持。WindowsNT今后将无法运行Wireshark最有一个已知版本是Wireshark(需安装自带的WinPCap),你依然可以从:http:prdownloadssourceforgenetwiresharkwiresharksetupexe得到它。顺便提一下:微软于年月日停止对NT的支持。WindowsCE及嵌入版windows(NTXP)不被支持。bit处理器运行Wireshark需要在bit仿真环境下(称作WoW),最低需要安装WinPCap。支持多显示(不知道是显示其还是监视器)安装但会遇到一些不可预料的问题。 UnixLinuxWireshark目前可以运行在许多UNIX平台系统可以对照上面Windows下的指标。二进制包最少在以下平台可用:APPleMacOSXDebianGNULinuxFreeBSDNetBSDOpenPKGRedHatFedoraEnterpriseLinuxrPathLinuxSunSolarisiSunSolarisSparc如果二进制包在您的平台无法使用你可以下载源文件并尝试编译它。希望您能发送邮件到wiresharkdevATwiresharkorg分享您的经验。 从哪里可以得到Wireshark你可以从我们的网站下载最新版本的Wiresharkhttp:wwwwiresharkorgdownloadhtml网站上您可以选择适合您的镜像站点。Wireshark通常在周内发布一次新版本如果您想获得Wireshark发布的消息通知你可以订阅Wiresharkannounce邮件列表。详见第  节“邮件列表” Wiresahrk简史年以后GeraldCombs需要一个工具追踪网络问题并想学习网络知识。所以他开始开发Ethereal(Wireshark项目以前的名称)以解决以上的两个需要。Ethereal是第一版经过数次开发停顿年经过这么长的时间补丁Bug报告以及许多的鼓励版诞生了。Ethereal就是以这种方式成功的。此后不久GilbertRamirez发现它的潜力并为其提供了底层分析年月GuyHarris正寻找一种比TcpView更好的工具他开始为Ethereal进行改进并提供分析。年以后正在进行TCPIP教学的RichardSharpe关注了它在这些课程中的作用。并开始研究该软件是否他所需要的协议。如果不行新协议支持应该很方便被添加。所以他开始从事Ethereal的分析及改进。从那以后帮助Ethereal的人越来越多他们的开始几乎都是由于一些尚不被Ethereal支持的协议。所以他们拷贝了已有的解析器并为团队提供了改进回馈。年项目MovedHouse(这句不知道怎么翻译)并重新命名为:Wireshark Wireshark开发维护Wireshark最初由GeraldCombs开发。目前由Wiresharkteam进行进一步开发和维护。Wiresharkteam是一个由修补bug提高Wireshark功能的独立成员组成的松散组织。有大量的成员为Wireshark提供协议分析。同时我们也希望这些活动能持续机芯。通过查看Wireshark帮助菜单下的About,你可以找到为Wireshark提供代码的人员名单或者你也可以通过Wireshark网站的authors页面找到。Wireshark是开源软件项目发布遵循GNUGeneralPublicLicence(GPL协议),所有源代码可以在GPL框架下免费使用。欢迎您修改Wireshark以便适合您的需要如果您可以提供您的改进给Wiresharkteam我们将不胜感激。为WiresharkTeam提供您的改进建议有以下益处:如果其他人发现您提供的改进十分有用会肯定它们的价值您将会得知你曾像Wiresharkteam一样帮助过他人ThedevelopersofWiresharkmightimproveyourchangesevenmore,asthere'salwaysroomforimprovementOrtheymayimplementsomeadvancedthingsontopofyourcode,whichcanbeusefulforyourselftooThemaintainersanddevelopersofWiresharkwillmaintainyourcodeaswell,fixingitwhenAPIchangesorotherchangesaremade,andgenerallykeepingitintunewithwhatishappeningwithWiresharkSoifWiresharkisupdated(whichisdoneoften),youcangetanewWiresharkversionfromthewebsiteandyourchangeswillalreadybeincludedwithoutanyeffortforyouWireshar源代码和二进制kits(二进制工具包?)可以根据自己的平台对应下载网站是:http:wwwwiresharkorgdownloadhtml 汇报问题和获得帮助如果您在使用中碰到了问题或者您需要Wireshark的帮助有以下几种可能让您有兴趣的方法(当然还包括这本书)。 网站通过访问http:wwwwiresharkorg你将会发现关于Wireshark许多有用的信息。 百科全书WiresharkWiki(http:wikiwiresharkorg)提供广泛的跟Wireshark以及捕捉包有关信息。你将会发现一些没有被包括在本书内信息例如:wiki上有解释如何在交换网络捕捉包同时我们正努力建立协议参考等等。最好的事情是如果对某些知识有独到见解(比如您精通某种协议)您可以通过浏览器编辑它。 FAQ最经常被问到的问题“FrequentlyAskedQuestions”提供一个经常被问到的问题以及答案的列表。ReadTheFAQ在您发送任何邮件到邮件列表之前确信您已经阅读了FAQ因为这里面很可能已经提供了您想问的问题答案。这将大大节约您的时间(记住有很多人提交了大量的邮件)。 邮件列表下面的几个几个邮件列表分别属于不同的主题:Wiresharkusers这是一个Wireshark用户的列表大家提交关于安装和使用Wireshark的问题其它人(非常有用)提供的答案。(译者注:其他人当然也是指用户?)wiresharkannounce这是一个关于程序发布信息的列表通常每周出现一次。wiresharkdev这是一个关于Wireshark开发的邮件列表如果开始开发协议分析可以从加入该列表你可以通过网站http:wwwwiresharkorg订阅每个邮件列表简单点击网站左手边的邮件列表链接就可以。邮件同样在网站上可以看到存档。提示你可以搜索存档看看有没有人问过跟你一样的问题或许您的问题已经有了答案。这样您就不必提交邮件以等待别人答复您了。 报告问题注意在您提交任何问题之前请确定您安装的是最新版本的Wireshark。当您提交问题的时候如果您提供如下信息将会对解决问题很有帮助。Wireshark的版本及其依赖的库的版本如GTK等等。你可以通过Wireshark–v命令获得版本号。(估计是UNIXLinux平台)。运行Wireshark的平台信息。关于问题的详细描述。如果您得到错误或者警告信息拷贝错误信息的文本(以及在此之前或之后的文本如果有的话)这样其他人可能会发现发生问题的地方。请不要发送诸如:“Igotawarningwhiledoingx”因为这样看起来不是个好主意。不要发送大文件不要发送过大的文件(>KB)到邮件列表在邮件中附加一个能提供足够数据的记事本就可以。大文件会让很多邮件列表里的那些对您的问题不感兴趣的用户感到恼怒。如果需要你可以单独发送那些数据给对您问题真正感兴趣要求您发送数据的人。不要发送机密信息!如果您发送捕捉数据到邮件列表请确定它们不包含敏感或者机密信息比如密码或者诸如此类的。 在UNIXLinux平台追踪软件错误如果您发送捕捉数据到邮件列表请确定它们不包含敏感或者机密信息比如密码或者诸如此类的。你可以通过如下命令获得追踪信息:$gdb`whereiswireshark|cutfd:|cutd''f`core>bttxtbacktrace^D$注意在逐字输入第一行的字符!注意追踪是一个GDB命令。你可以在输完第一上以后输入它但是会没有相应^D命令(CTLD)将会退出GDB命令。以上命令让你在当前目录得到一个名为bttxt的文本文件它包含您的bug报告。注意如果您缺少GDB您必须检查您的操作系统的调试器。你可以发送追踪邮件到wiresharkdevATwiresharkorg邮件列表 在Windows平台追踪软件错误Windows下无法包含符号文件(pdb),它们非常大。因此不太可能创建十分有意义的追踪文件。你将汇报软件错误就像前面描述的其他问题一样。(这句不尽人意)译者注:因为不是入侵检测之用所以不会将入侵检测和普通通信区别对待但是都会体现在网络包里面如果您有足够的经验或许能通过监视网络包发现入侵检测译者注:原文“Thevaluesbelowaretheminimumrequirementsandonly"rulesofthumb"foruseonamoderatelyusednetwork”其中”rulesofthumb”中译名应该是拇指规则但网上关于拇指规则解释莫衷一是大致意思是说:大多数情况下适用但并非所有情况。这里翻译的有点别扭译者注:我对这句话的理解是正如播放电影一样高性能的处理器只会增强显示效果您并不需要将原来分钟的影片分钟之内看完。当然对减少延时还是有作用的。但是感觉这句有点阅读困难可能翻译的有点问题本段因为有很多协议程序开发方面的术语翻译得比较糟糕译者注:那句话的意思是我在XX时碰到一个警告信息译者注:原文是:"Typethecharactersinthefirstlineverbatim!Thosearebackticsthere!",Thosearebackticsthere!不知道是什么意思backtics=后勤抽搐?熟悉Linux的或许知道第  章 编译安装Wireshark 须知万事皆有开头Wireshark也同样如此。要想使用Wireshark你必须:获得一个适合您操作系统的二进制包或者获得源文件为您的操作系统编译。目前只有两到三种Linux发行版可以传送Wireshark而且通常传输的都是过时的版本。至今尚未有UNIX版本可以传输WiresharkWindows的任何版本都不能传输Wireshark基于以上原因你需要知道从哪能得到最新版本的Wireshark以及如何安装它。本章节向您展示如何获得源文件和二进制包如何根据你的需要编译Wireshark源文件。以下是通常的步骤:下载需要的相关包例如:源文件或者二进制发行版。将源文件编译成二进制包(如果您下载的是源文件的话)。这样做做可以整合编译和或安装其他需要的包。安装二进制包到最终目标位置。 获得源你可以从Wireshark网站http:wwwwiresharkorg同时获取源文件和二进制发行版。选择您需要下载的链接然后选择源文件或二进制发行包所在的镜像站点(尽可能离你近一点的站点)。下载所有需要的文件!一般来说除非您已经下载Wireshark,如果您想编译Wireshark源文件您可能需要下载多个包。这些在后面章节会提到。注意当你发现在网站上有多个二进制发行版可用您应该选择适合您平台的版本他们同时通常会有多个版本紧跟在当前版本后面那些通常时拥有那些平台的用户编译的。基于以上原因您可能想自己下载源文件自己编译因为这样相对方便一点。 在UNIX下安装之前在编译或者安装二进制发行版之前您必须确定已经安装如下包:GTK,TheGIMPToolKit您将会同样需要Glib它们都可以从wwwgtkorg获得。Libpcap,Wireshark用来捕捉包的工具您可以从wwwtcpdumporg获得。根据您操作系统的不同您或许能够安装二进制包如RPMs或许您需要获得源文件并编译它。如果您已经下载了GTK源文件例 “从源文件编译GTK”提供的指令对您编译有所帮助。例  从源文件编译GTKgzipdcgtktargz|tarxvf<muchoutputremoved>configure<muchoutputremoved>makeinstall<muchoutputremove>注意您可能需要修改例 “从源文件编译GTK”中提供的版本号成对应您下载的GTK版本。如果GTK的目录发生变更您同样需要修改它。tarxvf显示您需要修改的目录。注意如果您使用Linux,或者安装了GUNtar您可以使用tarzxvfgtktargz命令。同样也可能使用gunzip–c或者gzcat而不是许多UNIX中的gzip–dc注意如果您在windows中下载了gtk或者其他文件。您的文件可能名称为:gtktargz如果在执行例 “从源文件编译GTK”中的指令时有错误发生的话你可以咨询GTK网站。如果您已经下载了libpcap源一般指令如例 “编译、安装libpcap”显示的那样会帮您完成编译。同样如果您的操作系统不支持tcpdump,您可以从tcpdump网站下载安装它。例  编译、安装libpcapgzipdclibpcaptarZ|tarxvf<muchoutputremoved>cdlibpcapconfigure<muchoutputremoved>make<muchoutputremoved>makeinstall<muchoutputremoved>注意Libpcap的目录需要根据您的版本进行修改。tarxvf命令显示您解压缩的目录。RedHatx及其以上版本环境下(包括基于它的发行版如Mandrake),您可以直接运行RPM安装所有的包。大多数情况下的Linux需要安装GTK和Glib反过来说你可能需要安装所有包的定制版。安装命令可以参考例 “在RedHatLinux或者基于该版本得发行版下安装需要的RPM包”。如果您还没有安装您可能需要安装需要的RPMs。例  在RedHatLinux或者基于该版本得发行版下安装需要的RPM包cdmntcdromRedHatRPMSrpmivhglibirpmrpmivhglibdevelirpmrpmivhgtkirpmrpmivhgtkdevelirpmrpmivhlibpcapirpm注意如果您使用RedHat之后的版本需要的RMPs包可能已经变化。您需要使用正确的RMPs包。在Debian下您可以使用aptge命令。aptget将会为您完成所有的操作。参见例 “在Deban下安装Deb”例  在Deban下安装Debaptgetinstallwiresharkdev 在UNIX下编译Wireshark如果在Unix操作系统下可以用如下步骤编译Wireshark源代码:如果使用Linux则解压gzip'dtar文件,如果您使用UNIX则解压GUNtar文件。对于Linux命令如下:tarzxvfwiresharktargz对于UNIX版本命令如下gzipdwiresharktargztarxvfwiresharktar注意使用管道命令行gzip–dcWiresharktargz|tarxvf同样可以注意如果您在Windows下下载了Wireshark,你会发现文件名中的那些点变成了下划线。将当前目录设置成源文件的目录。配置您的源文件以编译成适合您的Unix的版本。命令如下:configure如果找个步骤提示错误您需要修正错误然后重新configure解决编译错误可以参考第  节“解决UNIX下安装过程中的问题”使用make命令将源文件编译成二进制包例如:make安装您编译好的二进制包到最终目标使用如下命令:makeinstall一旦您使用makeinstall安装了Wireshark,您就可以通过输入Wireshark命令来运行它了。 在UNIX下安装二进制包一般来说在您的UNIX下安装二进制发行包使用的方式根据您的UNIX的版本类型而各有不同。例如AIX下您可以使用smit安装TruUNIX您可以使用setld命令。 在Linux或类似环境下安装RPM包使用如下命令安装WiresharkRPM包rpmivhwiresharkirpm如果因为缺少Wireshark依赖的软件而导致安装错误请先安装依赖的软件然后再尝试安装。REDHAT下依赖的软件请参考例 “在RedHatLinux或者基于该版本得发行版下安装需要的RPM包” 在Debian环境下安装Deb包使用下列命令在Debian下安装WiresharkaptgetinstallWiresharkaptget会为您完成所有的相关操作 在GentooLinux环境下安装Portage使用如下命令在GentooLinux下安装wireshark以及所有的需要的附加文件USE="adnsgtkipvportaudiosnmpsslkerberosthreadsselinux"emergewireshark 在FreeBSD环境下安装包使用如下命令在FreeBSD下安装Wiresharkpkgaddrwiresharkpkgadd会为您完成所有的相关操作 解决UNIX下安装过程中的问题安装过程中可能会遇到一些错误信息。这里给出一些错误的解决办法:如果configure那一步发生错误。你需要找出错误的原因您可以检查日志文件configlog(在源文件目录下)看看都发生了哪些错误。有价值的信息通常在最后几行。一般原因是因为您缺少GTK环境或者您的GTK版本过低。configure错误的另一个原因是因为因为缺少libpcap(这就是前面提到的捕捉包的工具)。另外一个常见问题是很多用户抱怨最后编译、链接过程需要等待太长时间。这通常是因为使用老式的sed命令(比如solaris下传输)。自从libtool脚本使用sed命令建立最终链接命令常常会导致不可知的错误。您可以通过下载最新版本的sed解决该问题http:directoryfsforgGNUsedhtml如果您无法检测出错误原因。发送邮件到wiresharkdev说明您的问题。当然邮件里要附上configlog以及其他您认为对解决问题有帮助的东西例如make过程的追踪。 在Windows下编译源在Windows平台下我们建议最好是使用二进制包直接安装除非您是从事Wireshark开发的。如果想了解关于Windows下编译安装Wireshark请查看我们的开发WIKI网站http:wikiwiresharkorgDevelopment来了解最新的开发方面的文档。 在Windows下安装Wireshark本节将探讨在Windows下安装Wireshark二进制包。 安装Wireshark您获得的Wireshark二进制安装包可能名称类似WiresharksetupxyzexeWireshark安装包包含WinPcap,所以您不需要单独下载安装它。您只需要在http:wwwwiresharkorgdownloadhtml#releases下载Wireshark安装包并执行它即可。除了普通的安装之外还有几个组件供挑选安装。提示:尽量保持默认设置如果您不了解设置的作用的话。选择组件Wireshark(包括GTK和GTK接口无法同时安装):如果您使用GTK的GUI界面遇到问题可以尝试GTK在Windows下色(bit)显示模式无法运行GTK但是某些高级分析统计功能在GTK下可能无法实现。WiresharkGTKWireshark是一个GUI网络分析工具WiresharkGTKWireshark是一个GUI网络分析工具(建议使用GTKGUI模组工具)GTKWimpGTKWimp是诗歌GTK窗口模拟(看起来感觉像原生windows程序推荐使用)TSsharkTShark是一个命令行的网络分析工具插件扩展(Wireshark,TShark分析引擎):DissectorPlugins分析插件:带有扩展分析的插件TreeStatisticsPlugins树状统计插件:统计工具扩展MateMetaAnalysisandTracingEngine(experimental):可配置的显示过滤引擎参考http:wikiwiresharkorgMateSNMPMIBs:SNMPMIBS的详细分析。Tools工具(处理捕捉文件的附加命令行工具User’sGuide用户手册本地安装的用户手册。如果不安装用户手册帮助菜单的大部分按钮的结果可能就是访问internetEditcapEditcapisaprogramthatreadsacapturefileandwritessomeorallofthepacketsintoanothercapturefileEditcap是一个读取捕捉文件的程序还可以将一个捕捉文件力的部分或所有信息写入另一个捕捉文件。(文件合并or插入?)TextPcapTextpcapisaprogramthatreadsinanASCIIhexdumpandwritesthedataintoalibpcapstylecapturefileTexpcap是一个读取ASCIIhex写入数据到libpcap个文件的程序。MergecapMergecapisaprogramthatcombinesmultiplesavedcapturefilesintoasingleoutputfileMergecap是一个可以将多个播捉文件合并为一个的程序。CapinfosCapinfosisaprogramthatprovidesinformationoncapturefilesCapinfos是一个显示捕捉文件信息的程序。“AdditionalTasks”页StartMenuShortcuts开始菜单快捷方式增加一些快捷方式到开始菜单DesktopIcon桌面图标增加Wireshark图标到桌面QuickLaunchIcon快速启动图标增加一个Wireshark图标到快速启动工具栏AssociatefileextensionstoWiresharkWireshark文件关联将捕捉包默认打开方式关联到WiresharkInstallWinPcap”页Wireshark安装包里包含了最新版的WinPcap安装包。如果您没有安装WinPcap。您将无法捕捉网络流量。但是您还是可以打开以保存的捕捉包文件。CurrentlyinstalledWinPcapversion当前安装的WinPcap版本InstallWinPcapxx如果当前安装的版本低于Wireshark自带的该选项将会是默认值。StartWinPcapservice"NPF"atstartup将WinPcap的服务NPF在启动时运行这样其它非管理员用户就同样可以捕捉包了。更多关于WinPcap的信息:Wireshark相关http:wikiwiresharkorgWinPcapWinPcap官方网站:http:wwwwinpcaporg安装命令选项您可以直接在命令行运行安装包不加任何参数这样会显示常用的参数以供交互安装。在个别应用中可以选择一些参数定制安装:NCRC禁止CRC校检S静默模式安装或卸载Wireshark注意:静默模式安装时不会安装WinPcap!desktopicon安装桌面图标desktopicon=yes表示安装图标反之则不是适合静默模式。quicklaunchicon将图标安装到快速启动工具栏=yes安装到工具栏=no不安装不填按默认设置。D设置默认安装目录($INSTDIR),首选安装目录和安装目录注册表键值该选项必须设置到最后。即使路径包含空格例  wiresharksetupexeNCRCSdesktopicon=yesquicklaunchicon=noD=C:ProgramFilesFoo 手动安装WinPcap注意事先声明Wireshark安装时会谨慎对待WinPcap的安装所以您通常不必担心WinPcap。下面的WinPcap仅适合您需要尝试未包括在Wireshark内的不同版本WinPcap。例如一个新版本的WinPcap发布了您需要安装它。单独的WinPcap版本(包括alphaorbeta版)可以在下面地址下载到WinPcap官方网站:http:wwwwinpcaporgWiretappednet镜像站点:http:wwwmirrorswiretappednetsecuritypacketcapturewinpcap在下载页面您将会发现WinPcap的安装包名称通常类似于”autoinstaller”。它们可以在NTXPvista下安装。 更新Wireshark有时候您可能想将您的WinPcap更新到最新版本如果您订阅了Wireshark通知邮件您将会获得Wireshark新版本发布的通知见第  节“邮件列表”。新版诞生通常需要周。更新Wireshark就是安装一下新版本。下载并安装它就可以。更新通常不需要重新启动也不会更改过去的默认设置 更新WinPcapWinPcap的更新不是十分频繁通常一年左右。新版本出现的时候您会收到WinPcap的通知。更新WinPcap后需要重新启动。警告 卸载Wireshark你可以用常见方式卸载Wireshark,使用添加删除程序选择”Wireshark”选项开始卸载即可。Wireshark卸载过程中会提供一些选项供您选择卸载哪些部分默认是卸载核心组件但保留个人设置和WinPcapWinPcap默认不会被卸载因为其他类似Wireshark的程序有可能同样适用WinPcap 卸载WinPcap你可以单独卸载WinPcap,在添加删除程序选择”WinPcap”卸载它。注意卸载WinPcap之后您将不能使用Wireshark捕捉包。在卸载完成之后最好重新启动计算机。译者注:看到别人翻译Pipelin之类的似乎就是叫管道不知道是否准确译者注:本人不熟悉UNIXLINUX这一段翻译的有点云里雾里可能大家通过这部分想安装Wireshark会适得其反那就对不住了。下面个人说一下UNIXLINUX下安装方法。UNIXLINUX下安装时有两种安装方式是下载源码包自己编译这种方式的好处是因为下载源码包是单一的可以自行加以修改编译就是适合自己平台的了。、是利用已经做好的发行包直接安装这种方法的好处是只要下载到跟自己平台对应的就可以但缺点也在这里不是每个平台都能找到合适的。不管是编译安装还是使用发行包安装都需要有一

用户评论(0)

0/200

精彩专题

上传我的资料

每篇奖励 +2积分

资料评价:

/91
0下载券 下载 加入VIP, 送下载券

意见
反馈

立即扫码关注

爱问共享资料微信公众号

返回
顶部