文章目录
查看已抓包
一旦捕获了一些数据包或打开了以前保存的捕获文件,可以通过简单地单击数据包列表窗格中的数据包来查看显示在数据包列表窗格中的数据包,这将在树视图和字节视图窗格。然后可以展开树的任何部分以查看有关每个数据包中每个协议的详细信息。单击树中的项目将突出显示字节视图中的相应字节。 Wireshark 中显示了一个选择 TCP 数据包的示例,其中选择了一个 TCP 数据包进行查看。它还在选定的 TCP 标头中具有确认编号,在字节视图中显示为选定的字节。
如果在“捕获首选项”对话框中选择了“实时更新数据包列表”,也可以在 Wireshark 捕获时以相同的方式选择和查看数据包。 此外,可以在单独的窗口中查看单个数据包,如在单独的窗口中查看数据包中所示。 可以通过双击数据包列表中的项目或通过在数据包列表窗格中选择您感兴趣的数据包并选择View › Show Packet in New Window 来执行此操作。 这使您可以轻松比较两个或多个数据包,甚至跨多个文件。
除了双击数据包列表并使用主菜单外,还有许多其他方法可以打开新的数据包窗口:
1. 按住shift 键并双击数据包详细信息中的框架链接。
2. 从“Packet List”弹出菜单的菜单项。
3. 从“Packet Details”弹出菜单的菜单项。
弹出菜单
可以通过在相应项目上单击鼠标右键,在“数据包列表”、其列标题、“数据包详细信息”或“数据包字节数”上打开弹出菜单。
下表概述了此标题中可用的功能、在主菜单中的相应功能的位置以及每个项目的说明。
| menu items of the "Packet List" Column Header | |
|---|---|
| Item | Description |
| Align Left | 左对齐此列中的值 |
| Align Center | 居中此列中的值 |
| Align Right | 右对齐此列中的值 |
| Column Preferences… | 打开此列的“首选项”对话框 |
| Edit Column | 打开此列的列编辑器工具栏 |
| Resize To Contents | 调整列的大小以适合其值 |
| Resolve Names | 如果此列包含地址,解析它们 |
| No., Time, Source, et al. | 通过选择其项目来显示或隐藏列 |
| Remove Column | 删除此列,类似于在“首选项”对话框中删除它 |
数据包列表窗格(Packet List Pane)
具体的页面如下。
下表概述了此窗格中可用的功能、在主菜单中的相应功能的位置以及每个项目的简短说明。
| menu items of the “Packet List” | |
|---|---|
| Items | Description |
| Mark Packet (toggle) | 标记或取消标记数据包 |
| Ignore Packet (toggle) | 在剖析捕获文件时忽略或检查此数据包 |
| Set Time Reference (toggle) | 设置或重置时间参考 |
| Time Shift | 调整部分或所有数据包的时间戳 |
| Packet Comment… | 可以在其中向单个数据包添加注释 保存数据包注释的能力取决于您的文件格式。 |
| Edit Resolved Name | 输入名称以解析所选地址 |
| Apply as Filter | 根据最近选择的数据包列表或数据包详细信息项立即替换或附加当前显示过滤器 第一个子菜单项显示过滤器,后续项显示应用过滤器的不同方式 |
| Prepare as Filter | 根据最近选择的数据包列表或数据包详细信息项更改当前显示过滤器,但不要应用它 第一个子菜单项显示过滤器,后续项显示可以更改过滤器的不同方式 |
| Conversation Filter | 使用来自所选数据包的地址信息应用显示过滤器 |
| Colorize Conversation | 根据来自所选数据包的地址信息创建新的着色规则 |
| SCTP | 为此 SCTP 关联分析和准备过滤器 |
| Follow › TCP Stream | 显示与选定数据包位于同一 TCP 连接上的所有捕获的 TCP 段 |
| Follow › UDP Stream | 与“Follow TCP Stream”功能相同,但适用于 UDP streams |
| Follow › DCCP Stream | 与“Follow TCP Stream”功能相同,但适用于 DCCP streams |
| Follow › TLS Stream | 与“Follow TCP Stream”功能相同,但适用于 TLS streams |
| Follow › HTTP Stream | 与“Follow TCP Stream”功能相同,但适用于 HTTP streams |
| Copy › Summary as Text | 将显示的汇总字段作为制表符分隔的文本复制到剪贴板 |
| Copy › …as CSV | 将显示的汇总字段作为 csv 复制到剪贴板 |
| Copy › …as YAML | 将显示的汇总字段作为 YAML 数据复制到剪贴板 |
| Copy › As Filter | 根据当前选定的项目准备一个显示过滤器,并将该过滤器复制到剪贴板 |
| Copy › Bytes as Hex + ASCII Dump | 以完整的“hexdump”格式将数据包字节复制到剪贴板 |
| Copy › …as Hex Dump | 将数据包字节以“hexdump”格式复制到剪贴板,不带 ASCII 部分 |
| Copy › …as Printable Text | 将数据包字节作为 ASCII 文本复制到剪贴板,不包括不可打印的字符 |
| Copy › …as a Hex Stream | 将数据包字节作为未标点的十六进制数字列表复制到剪贴板 |
| Copy › …as Raw Binary | 将数据包字节作为原始二进制文件复制到剪贴板 数据使用 MIME 类型“application/octet-stream”存储在剪贴板中 |
| Protocol Preferences | 调整所选协议的首选项 |
| Decode As… | 更改或应用两个解剖器之间的新关系 |
| Show Packet in New Window | 在单独的窗口中显示选定的数据包 单独的窗口仅显示数据包详细信息和字节 |
数据包详细信息窗格(Packet Details Pane)
具体的页面如下。
下表概述了此窗格中可用的功能、在主菜单中的相应功能的位置以及每个项目的简短说明。
| menu items of the Packet Details | |
|---|---|
| Items | Description |
| Expand Subtrees | 展开当前选中的子树 |
| Collapse Subtrees | 折叠当前选中的子树 |
| Expand All | 展开捕获中所有数据包中的所有子树 |
| Collapse All | Wireshark 保留所有展开的协议子树的列表,并使用它来确保在显示数据包时展开正确的子树 此菜单项折叠捕获列表中所有数据包的树视图 |
| Apply as Column | 使用选定的协议项在数据包列表中创建一个新列 |
| Apply as Filter | 根据最近选择的数据包列表或数据包详细信息项立即替换或附加当前显示过滤器 第一个子菜单项显示过滤器,后续项显示应用过滤器的不同方式 |
| Prepare as Filter | 根据最近选择的数据包列表或数据包详细信息项更改当前显示过滤器,但不要应用它 第一个子菜单项显示过滤器,后续项显示可以更改过滤器的不同方式 |
| Colorize with Filter | 使用带有来自所选协议项的信息的显示过滤器来构建新的着色规则 |
| Follow › TCP Stream | 显示与选定数据包位于同一 TCP 连接上的所有捕获的 TCP 段 |
| Follow › UDP Stream | 与“Follow TCP Stream”功能相同,但适用于 UDP streams |
| Follow › TLS Stream | 与“Follow TCP Stream”功能相同,但适用于 TLS streams |
| Follow › HTTP Stream | 与“Follow TCP Stream”功能相同,但适用于 HTTP streams |
| Copy › All Visible Items | 复制显示的数据包详细信息 |
| Copy › All Visible Selected Tree Items | 复制所选的数据包详细信息及其子项 |
| Copy › Description | 将所选字段的显示文本复制到系统剪贴板 |
| Copy › Fieldname | 将所选字段的名称复制到系统剪贴板 |
| Copy › Value | 将所选字段的值复制到系统剪贴板 |
| Copy › As Filter | 根据当前选择的项目准备一个显示过滤器并将其复制到剪贴板 |
| Copy › Bytes as Hex + ASCII Dump | 以完整的“hexdump”格式将数据包字节复制到剪贴板 |
| Copy › …as Hex Dump | 将数据包字节以“hexdump”格式复制到剪贴板,不带 ASCII 部分 |
| Copy › …as Printable Text | 将数据包字节作为 ASCII 文本复制到剪贴板,不包括不可打印的字符 |
| Copy › …as a Hex Stream | 将数据包字节作为未标点的十六进制数字列表复制到剪贴板 |
| Copy › …as Raw Binary | 将数据包字节作为原始二进制文件复制到剪贴板 数据使用 MIME 类型“application/octet-stream”存储在剪贴板中 |
| Copy › …as Escaped String | 将数据包字节复制到剪贴板作为 C 风格的转义序列 |
| Export Packet Bytes… | 该菜单项与同名的文件菜单项相同 允许将原始数据包字节导出到二进制文件 |
| Wiki Protocol Page | 在 Web 浏览器中显示与当前所选协议相对应的 wiki 页面 |
| Filter Field Reference | 在 Web 浏览器中显示与当前所选协议相对应的过滤器字段参考网页 |
| Protocol Preferences | 调整所选协议的首选项 |
| Decode As… | 更改或应用两个解剖器之间的新关系 |
| Go to Linked Packet | 如果所选字段有相应的数据包,转到它 |
| Show Linked Packet in New Window | 如果所选字段具有相应的数据包,则在单独的窗口中显示所选数据包 |
数据包字节窗格(Packet Bytes Pane)
具体的页面如下。
·
下表概述了此窗格中可用的功能、在主菜单中的相应功能的位置以及每个项目的简短说明。
| menu items of the Packet Bytes | |
|---|---|
| Items | Description |
| Copy › Bytes as Hex + ASCII Dump | 以完整的“hexdump”格式将数据包字节复制到剪贴板 |
| Copy › …as Hex Dump | 将数据包字节以“hexdump”格式复制到剪贴板,不带 ASCII 部分 |
| Copy › …as Printable Text | 将数据包字节作为 ASCII 文本复制到剪贴板,不包括不可打印的字符 |
| Copy › …as a Hex Stream | 将数据包字节作为未标点的十六进制数字列表复制到剪贴板 |
| Copy › …as Raw Binary | 将数据包字节作为原始二进制文件复制到剪贴板 数据使用 MIME 类型“application/octet-stream”存储在剪贴板中 |
| Copy › …as Escaped String | 将数据包字节复制到剪贴板作为 C 风格的转义序列 |
| Show bytes as hexadecimal | 将字节数据显示为十六进制数字 |
| Show bytes as bits | 将字节数据显示为二进制数字 |
| Show text based on packet | 用文本显示“hexdump”数据 |
| …as ASCII | 显示“hexdump”文本时使用 ASCII 编码 |
| …as EBCDIC | 显示“hexdump”文本时使用 EBCDIC 编码 |
查看时过滤数据包
Wireshark 有两种过滤语言:捕获过滤器和显示过滤器。 捕获过滤器用于在捕获数据包时进行过滤,并在捕获时过滤中讨论。 显示过滤器专注于感兴趣的数据包,同时隐藏当前不感兴趣的数据包。 它们允许仅显示基于以下内容的数据包:
协议
字段的存在
字段值
字段之间的比较
…
要仅显示包含特定协议的数据包,请在 Wireshark 窗口的显示过滤器工具栏中键入协议名称,然后按 Enter 以应用过滤器。协议和字段名称通常是小写的。不要忘记在输入过滤器表达式后按回车键或单击应用显示过滤器按钮。 TCP 协议上的过滤显示了当您在显示过滤器工具栏中键入 tcp 时发生的情况的示例。
实例中只显示包含 TCP 协议的数据包,因此数据包 1-10 被隐藏,数据包编号 11 是第一个显示的数据包。使用显示过滤器时,所有数据包都保留在捕获文件中。 显示过滤器仅更改捕获文件的显示,而不更改其内容。 要移除过滤器,请单击显示过滤器字段右侧的 [ Clear ] 按钮。 所有数据包将再次可见。 显示过滤器非常强大,在构建显示过滤器表达式中有更详细的讨论。也可以使用“显示过滤器表达式”对话框创建显示过滤器。 “显示过滤器表达式”对话框中提供了有关“显示过滤器表达式”对话框的更多信息。
构建显示过滤器表达式
Wireshark 提供了一种显示过滤语言,使之能够精确控制显示哪些数据包。 它们可用于检查协议或字段的存在、字段的值,甚至可以将两个字段相互比较。 这些比较可以与逻辑运算符(如“and”和“or”)以及括号组合成复杂的表达式。以下部分将更详细地介绍显示过滤器功能。
显示过滤器字段
最简单的显示过滤器是显示单个协议的过滤器。 要仅显示包含特定协议的数据包,在 Wireshark 的显示过滤器工具栏中键入协议。 例如,要仅显示 TCP 数据包,请在 Wireshark 的显示过滤器工具栏中键入 tcp。 同样,要仅显示包含特定字段的数据包,在 Wireshark 的显示过滤器工具栏中键入该字段。 例如,要仅显示 HTTP 请求,请在 Wireshark 的显示过滤器工具栏中键入 http.request。你可以过滤 Wireshark 支持的任何协议。 如果解剖器为该字段添加了缩写,还可以过滤解剖器添加到树视图的任何字段。 可用协议和字段的完整列表可通过菜单项 View › Internals › Supported Protocols 获得。
比较值
可以构建显示过滤器,使用许多不同的比较运算符来比较值。 例如,要仅显示发往或来自 IP 地址 192.168.0.1 的数据包,请使用 ip.addr==192.168.0.1。可用比较运算符的完整列表显示在显示过滤器比较运算符中。英语和类似 C 的运算符可以互换,并且可以在过滤器字符串中混合使用。
| Display Filter comparison operators | |||
|---|---|---|---|
| English | C-like | Description | Example |
| eq | == | Equal | ip.src==10.0.0.5 |
| ne | != | Not equal | ip.src!=10.0.0.5 |
| gt | > | Greater than | Greater than |
| lt | < | Less than | frame.len < 128 |
| ge | >= | Greater than or equal to | frame.len ge 0x100 |
| le | <= | Less than or equal to | frame.len <= 0x20 |
| contains | 协议、字段或切片包含值 | sip.To contains "a1762" | |
| matches | ~ | 协议或文本字段匹配 Perl 兼容的正则表达式 | http.host matches "acme\\.(org|com|net)" |
| bitwise_and | & | 按位与非零 | tcp.flags & 0x02 |
显示过滤器字段类型
所有协议字段都有一个类型。 显示过滤器字段类型提供了类型列表以及如何在显示过滤器中使用它们的示例。
| Display Filter Field Types | ||
|---|---|---|
| Type | Description | Example |
| Unsigned integer | 可以是 8、16、24、32 或 64 位 可以用十进制、八进制或十六进制表示整数 |
ip.len le 1500 ip.len le 02734 ip.len le 0x5dc |
| Signed integer | 可以是 8、16、24、32 或 64 位 可以用十进制、八进制或十六进制表示整数 |
- |
| Boolean | 可以是 1(true)或 0(false) | tcp.flags.syn == 1 |
| Ethernet address | 6 个字节由冒号 (:)、点 (.) 或破折号 (-) 分隔,分隔符之间有一或两个字节 | eth.dst == ff:ff:ff:ff:ff:ff eth.dst == ff-ff-ff-ff-ff-ff eth.dst == ffff.ffff.ffff |
| IPv4 address | 无类别域间路由 (CIDR) 表示法可用于测试 IPv4 地址是否在某个子网中 | ip.addr == 192.168.0.1 ip.addr == 129.111.0.0/16 |
| IPv6 address | 与 IPv4 地址一样,IPv6 地址可以匹配子网 | ipv6.addr == ::1 |
| Text string | 字符串是一个字节序列 像lower() 之类的函数使用ASCII,否则不假定特定的编码 字符串文字用双引号指定,也可以使用十六进制或八进制的字节转义序列指定字符 可以使用原始字符串语法,此类字符串以 r 或 R 为前缀并处理反斜杠作为文字字符 |
http.request.uri == "https://www.wireshark.org/" dns.qry.name contains "www.\x77\x69\x72\x65\x73\x68\x61\x72\x6b.org" http.user_agent matches r"\(X11;" |
组合表达式
可以使用显示过滤器逻辑操作中显示的逻辑运算符在 Wireshark 中组合过滤器表达式。
| Display Filter comparison operators | |||
|---|---|---|---|
| English | C-like | Description | Example |
| and | && | Logical AND | ip.src==10.0.0.5 and tcp.flags.fin |
| or | || | Logical OR | ip.src==10.0.0.5 or ip.src==192.1.1.1 |
| xor | ^^ | Logical XOR | tr.dst[0:3] == 0.6.29 xor tr.src[0:3] == 0.6.29 |
| not | ! | Logical NOT | not llc |
| […] | Subsequence | 参阅下面的“切片运算符” | |
| in | Set Membership | {"HEAD" "GET"} 中的 http.request.method | |
切片运算符
Wireshark 允许以相当复杂的方式选择序列的子序列。 在标签之后,可以放置一对括号 [],其中包含逗号分隔的范围说明符列表。
eth.src[0:3] == 00:00:83
上面的示例使用 n:m 格式来指定单个范围。 在这种情况下,n 是起始偏移量,m 是指定范围的长度。
eth.src[1-2] == 00:83
上面的示例使用 n-m 格式来指定单个范围。 在这种情况下,n 是开始偏移量,m 是结束偏移量。
eth.src[:4] == 00:00:83:00
上面的示例使用 :m 格式,它采用从序列开头到偏移 m 的所有内容。 相当于 0:m。
eth.src[4:] == 20:20
上面的示例使用 n: 格式,它采用从偏移量 n 到序列末尾的所有内容。
eth.src[2] == 83
上面的示例使用 n 格式来指定单个范围。 在这种情况下,选择偏移量 n 处的序列中的元素。 这相当于 n:1。
eth.src[0:3,1-2,:4,4:,2] == 00:00:83:00:83:00:00:83:00:20:20:83
Wireshark 允许您将逗号分隔列表中的单个范围串在一起,以形成如上所示的复合范围。
in 操作
Wireshark 允许在一组值或字段中测试一个字段的存在与否。 在字段名称之后,使用 in 运算符,后跟用大括号 {} 括起来的集合项。 例如,要显示 TCP 源或目标端口为 80、443 或 8080 的数据包,您可以在 {80 443 8080} 中使用 tcp.port。 这组值还可以包含范围:{443 4430…4434} 中的 tcp.port。
(tcp.port in {80 443 8080} ) == ( tcp.port == 80 || tcp.port == 443 || tcp.port == 8080)
(tcp.port in {443 4430..4434}) != (tcp.port == 443 || (tcp.port >= 4430 && tcp.port <= 4434))
这里解释一下第二个示例。这是因为当任何字段与过滤器匹配时,比较运算符都会得到满足,因此源端口为 56789 且目标端口为端口 80 的数据包也将匹配第二个过滤器,因为 56789 >= 4430 && 80 <= 4434 为真。 相比之下,in 运算符根据范围条件测试单个字段。
函数
显示过滤器语言有许多用于转换字段的函数,请参阅显示过滤器函数。
| Display Filter Functions | |
|---|---|
| Functions | Description |
| upper | 将字符串字段转换为大写 |
| lower | 将字符串字段转换为小写 |
| len | 返回字符串或字节字段的字节长度 |
| count | 返回帧中字段出现的次数 |
| string | 将非字符串字段转换为字符串 |
!= 的常见错误
在 eth.addr、ip.addr、tcp.port 和 udp.port 等组合表达式上使用 != 运算符可能无法按预期工作。 Wireshark 在使用的时候会显示警告“"!="可能有意外的结果”。我们可能经常使用像 ip.addr == 1.2.3.4 这样的过滤字符串来显示包含 IP 地址 1.2.3.4 的所有数据包。然后使用 ip.addr != 1.2.3.4 期望看到所有不包含 IP 地址 1.2.3.4 的数据包。相反,该表达式甚至适用于源或目标 IP 地址等于 1.2.3.4 的数据包。 这样做的原因是因为表达式 ip.addr != 1.2.3.4 被读作“数据包包含一个名为 ip.addr 的字段,其值不同于 1.2.3.4”。 由于 IP 数据报同时包含源地址和目标地址,因此只要两个地址中的至少一个地址与 1.2.3.4 不同,则表达式的计算结果为真。如果你想过滤掉所有包含发往或来自 IP 地址 1.2.3.4 的 IP 数据报的数据包,那么正确的过滤器是 !(ip.addr == 1.2.3.4) 因为它被读取“show me all the packet that it is 名为 ip.addr 的字段存在的值为 1.2.3.4 的字段不正确”,或者换句话说,“过滤掉所有没有出现名为 ip.addr 的值为 1.2.3.4 的字段的数据包”。
显示过滤器表达式对话框(Display Filter Expression Dialog Box)
如果习惯了 Wireshark 的过滤系统并知道希望在过滤器中使用哪些标签时,只需键入过滤器字符串就可以非常快速。 但是,如果不熟悉 Wireshark 或正在使用稍微不熟悉的协议,那么尝试弄清楚要键入的内容可能会非常混乱。 “显示过滤器表达式”对话框对此有所帮助。
| Display Filter Expression Dialog Box | |
|---|---|
| Items | Description |
| Field Name | 从协议字段树中选择一个协议字段 每个带有可过滤字段的协议都列在顶层 可以通过输入协议名称的前几个字母来搜索特定的协议条目 通过扩展协议名称,可以获得可用于该协议过滤的字段名称列表 |
| Relation | 从可用关系列表中选择一个关系 is present 是一元关系,如果所选字段存在于数据包中,则该关系为真 所有其他列出的关系都是二元关系,需要额外的数据才能完成。 |
| Value | 可以在值文本框中输入适当的值 该值还将指示您选择的字段名称的值类型 |
| Predefined Values | 某些协议字段具有可用的预定义值,很像 C 中的枚举 如果所选协议字段已定义此类值,可以在此处选择其中之一 |
| Search | 搜索完整或部分字段名称或说明 支持正则表达式。 |
| Range | 整数范围或一组范围 |
| [ Help ] | 打开用户指南 |
| [ OK ] | 构建一个过滤器字符串 |
| [ Cancel ] | 通过单击[取消]按钮离开对话框 |
定义和保存过滤器
可以创建出现在捕获和显示过滤器书签菜单中的预定义过滤器。这可以节省记住和重新键入您使用的一些更复杂过滤器的时间。要创建或编辑捕获过滤器,请从捕获过滤器书签菜单中选择管理捕获过滤器或从主菜单中选择捕获 › 捕获过滤器…。 可以通过从显示过滤器书签菜单中选择管理显示过滤器或从主菜单中选择分析 › 显示过滤器…来创建或编辑显示过滤器。 Wireshark 将打开相应的对话框,如“捕获过滤器”和“显示过滤器”对话框中所示。 这两个对话框的外观和工作方式彼此相似。 两者都在此处进行了描述,并根据需要指出了差异。
| Defining And Saving Filters | |
|---|---|
| Items | Description |
| + | 向列表添加新过滤器 为方便起见,此对话框中使用过滤器名称来标识过滤器,不会在其他地方使用 可以创建多个具有相同名称的过滤器,但这不是很有用 输入过滤器字符串时,背景颜色将根据过滤器的有效性而改变,类似于主捕获和显示过滤器工具栏 |
| - | 删除选定的过滤器 如果没有选择过滤器,这将显示为灰色 |
| Copy | 复制选定的过滤器 如果没有选择过滤器,这将显示为灰色 |
| OK | 保存过滤器设置并关闭对话框 |
| Cancel | 关闭对话框而不保存任何更改 |
定义和保存过滤器宏
可以使用 Wireshark 定义过滤器宏并对其进行标记以备后用。 这可以节省记住和重新键入使用的一些更复杂过滤器的时间。
- 在主菜单中选择 Analyze › Display Filter Macros….。 Wireshark 将打开一个相应的对话框显示过滤器宏窗口。
- 要添加新的过滤器宏,请单击左下角的 [+] 按钮。 上面的“显示过滤器宏”表中将出现一个新行。
- 在名称列中输入宏的名称。 在文本列中输入您的过滤器宏。
- 保存您的修改,请单击“显示过滤器宏”窗口右下角的 [确定] 按钮。
查找数据包
捕获了一些数据包或读取了以前保存的捕获文件,我们可以轻松找到数据包。 只需在主菜单中选择Edit › Find Packet…。 Wireshark 将在主工具栏和“查找数据包”工具栏中显示的数据包列表之间打开一个工具栏。具体的过滤器操作,请看上文。
跳转至特定数据包
可以使用 Go 菜单中的菜单项之一轻松跳转到特定数据包。具体的跳转命令,请查阅文章 Wireshark 用户使用手册 ———— 页面介绍 。
标记数据包
可以在“数据包列表”窗格中标记数据包。 无论设置的着色规则如何,标记的数据包都将以黑色背景显示。 标记数据包有助于稍后在大型捕获文件中进行分析时找到它。标记的数据包信息不会存储在捕获文件或其他任何地方。 当捕获文件关闭时它将丢失。 在保存、导出或打印时,您可以使用数据包标记来控制数据包的输出。有多种方法可以标记和取消标记数据包。 从编辑菜单中,您可以从以下选项中进行选择:
1. 在数据包列表上下文菜单中使用。
2. Mark All Displayed 设置所有显示数据包的标记状态。
3. Unmark All Displayed 重置所有数据包的标记状态。
忽略数据包
可以忽略“数据包列表”窗格中的数据包。 Wireshark 然后会假装它们不存在于捕获文件中。 忽略的数据包将以白色背景和灰色前景显示,无论设置的着色规则如何。忽略的数据包信息不会存储在捕获文件或其他任何地方。 当捕获文件关闭时它将丢失。有几种方法可以忽略和取消忽略数据包。 从编辑菜单中,可以从以下选项中进行选择:
1. Ignore/Unignore Packet 切换单个数据包的忽略状态。 这个选项也是在数据包列表上下文菜单中可用。
2. Ignore All Displayed 设置所有显示数据包的忽略状态。
3. Unignore All Displayed 重置所有数据包的忽略状态。