網絡分析工具Wireshark使用教程(3)

　　在程序的最下端，您可以獲得如下信息：

　　- - 正在進行捕捉的網絡設備。

　　- 捕捉是否已經開始或已經停止。

　　- 捕捉結果的保存位置。

　　- 已捕捉的數據量。

　　- 已捕捉封包的數量。(P)

　　- 顯示的封包數量。(D) (經過顯示過濾器過濾后仍然顯示的封包)

　　- 被標記的封包數量。(M)

　　正如您在Wireshark教程第一部分看到的一樣，安裝、運行Wireshark并開始分析網絡是非常簡單的。

　　使用Wireshark時最常見的問題，是當您使用默認設置時，會得到大量冗余信息，以至于很難找到自己需要的部分。

　　過猶不及。

　　這就是為什么過濾器會如此重要。它們可以幫助我們在龐雜的結果中迅速找到我們需要的信息。

　　那么我應該使用哪一種過濾器呢?

　　兩種過濾器的目的是不同的。

　　捕捉過濾器是數據經過的第一層過濾器，它用于控制捕捉數據的數量，以避免產生過大的日志文件。

　　顯示過濾器是一種更為強大(復雜)的過濾器。它允許您在日志文件中迅速準確地找到所需要的記錄。

　　兩種過濾器使用的語法是完全不同的。我們將在接下來的幾頁中對它們進行介紹：

　　1. 捕捉過濾器 2. 顯示過濾器

　　捕捉過濾器的語法與其它使用Lipcap(Linux)或者Winpcap(Windows)庫開發的軟件一樣，比如著名的TCPdump。捕捉過濾器必須在開始捕捉前設置完畢，這一點跟顯示過濾器是不同的。

　　設置捕捉過濾器的步驟是：

　　- 選擇 capture -> options。

　　- 填寫"capture filter"欄或者點擊"capture filter"按鈕為您的過濾器起一個名字并保存，以便在今后的捕捉中繼續使用這個過濾器。

　　- 點擊開始(Start)進行捕捉。

原文轉自：http://www.kjueaiud.com