1.2 查找分组

当选中该选项时,在Wireshark主界面的工具栏和“包列表窗格”之间会显示“查找包工具栏”,如图4所示。

wireshark端口转发 wireshark接口列表在哪_菜单介绍

 图4 查找包工具栏

在图4“查找包工具栏”的文本输入框中输入过滤语句。之后点击右侧的“查找”按键,完成对数据包的查找。过滤语句的类型如图5所示。

wireshark端口转发 wireshark接口列表在哪_Wireshark_02

 图5 过滤语句的类型

1.2.1 显示过滤器

选中“显示过滤器”,在文本输入框中输入过滤语句,如果要查找与61.128.151.234进行TCP三次握手的数据包,可以在文本输入框中输入“tcp.flags.syn==1 and ip.src==61.128.151.234”,该过滤语句表示查找源IP地址是61.128.151.234发送过来的syn数据包。

1.2.2 十六进制值

选中“十六进制”,在文本输入框中输入十六进制的数,点击“查找”按键,在数据包列表窗格中会显示查找到的第一个结果,继续点击“查找”按键,会显示其他结果。

1.2.3 字符串

选中“字符串”,在文本输入框中输入指定字符串,点击“查找”按键,在数据包列表窗格中会显示查找到的第一个结果,继续点击“查找”按键,会显示其他结果。

1.2.4 正则表达式

选中“正则表达式”,在文本输入框中输入正则表达式,点击“查找”按键,在数据包列表窗格中会显示查找到的第一个结果,继续点击“查找”按键,会显示其他结果。

相关链接1 正则表达式,Regular Expression,是一种文本模式,包括普通字符和特殊字符。正则表达式描述了一种字符串匹配模式,可以用来检查一个字符串中是否包含某种子串、将匹配的子串替换或者从某个字符串中取出符合某个条件的子串等。

1.3查找下一个

当使用“2 查找分组”中提到的方法查找到第一个结果后,可以点击图1中“查找下一个”或者快捷键“Ctrl+N”来查找下一个结果。

1.4 查找上一个

图1中“查找上一个”或者快捷键“Ctrl+B”来查找上一个结果。

2 标记

从图1中可以看出,“编辑菜单”的第二部分主要是标记,包括了五个选项,分别是“Mark/Unmark Packet(s)”、“标记所有显示分组”、“Unmarked All Displayed”、“下一标记”和“前一标记”。

2.1 Mark/Unmark Packet(s)

Mark/Unmark Packet(s)即为标记/取消标记数据包,当使用过滤器显示指定数据包时使用标记数据包的方法,可以很快地找到指定的数据包。在Wireshark主界面的数据包列表窗格中选中要标记的数据包,之后点击“Mark/Unmark Packet(s)”选项,就可以标记该数据包。被标记的数据包在数据包列表窗格中的背景是黑色。同理,选中被标记的数据包,之后点击“Mark/Unmark Packet(s)”选项,就可以取消数据包的标记。标记数据包的快捷键是“Ctrl+M”。

2.2 标记所有显示分组

该选项的作用是标记数据包列表窗格中显示的所有数据包,其快捷键是“Ctrl+Shift+M”。

2.3 Unmarked All Displayed

Unmarked All Displayed即为取消标记所有显示分组,该选项的作用是将取消标记数据包列表窗格中显示的所有数据包,其快捷键是“Ctrl+Alt+M”。

2.4 下一标记

该选项的作用是在Wireshark主界面的数据包列表窗格中显示下一个标记的数据包,其快捷键是“Ctrl+Shift+N”。

2.5 前一标记

该选项的作用是在Wireshark主界面的数据包列表窗格中显示上一个标记的数据包,其快捷键是“Ctrl+Shift+B”。

3 忽略

从图1中可以看出,“编辑菜单”的第三部分主要是忽略,包括了三个选项,分别是“ignored/Unignore Packet(s)”、“忽略所有显示的分组”和“Unignore All Displayed”。

3.1 ignored/Unignore Packet(s)

ignored/Unignore Packet(s)即为忽略/取消忽略分组,该项的作用是忽略或者不忽略指定的分组。在ireshark主界面的数据包列表窗格中选中要忽略的数据包,之后点击“ignored/Unignore Packet(s)”选项,就可以忽略该数据包。被忽略的数据包是白色背景和灰色前景,“Informatica”项的内容是“<ignored>”。同理,选中被忽略的数据包,之后点击“ignored/Unignore Packet(s)”选项,就可以取消数据包的忽略。忽略数据包的快捷键是“Ctrl+D”。Wireshark将不会处理被忽略的数据,也不会存储这些数据。

3.2 忽略所有显示的分组

该项的主要作用是忽略Wireshark主界面的数据包列表窗格中显示的所有数据。

3.3 Unignore All Displayed

Unignore All Displayed即取消忽略Wireshark主界面的数据包列表窗格中显示的所有数据。