files:value

当文件数达到Value值时停止写入捕捉文件 -b

如果指定捕捉文件最大尺寸，因为Wireshark运行在\模式，被指定了文件数。在\模式下，Wireshark 会写到多个捕捉文件。它们的名字由文件数和创建日期，时间决定。

当第一个捕捉文件被写满，Wireshark会跳转到下一个文件写入，直到写满最后一个文件，此时Wireshark会丢弃第一个文件的数据(除非将files设置为0，如果设置为0，将没有文件数限制)，将数据写入该文件。 如果duration选项被指定，当捕捉持续时间达到指定值的秒数，Wireshark同样会切换到下个文件，即使文件未被写满。 duration:value

当捕捉持续描述超过Value值，即使文件未被写满，也会切换到下个文件继续写入。 filesize:value

当文件大小达到value值kilobytes时(kelobyte表示1000bytes,而不是1024bytes)，切换到下一个文件。 files:value

当文件数达到value值时，从第一个文件重新开始写入。 -B

仅适合Win32:设置文件缓冲大小(单位是MB,默认是1MB).被捕捉驱动用来缓冲包数据，直到达到缓冲大小才写入磁盘。如果捕捉时碰到丢包现象，可以尝试增大它的大小。 -c

实时捕捉中指定捕捉包的最大数目，它通常在连接词-k选项中使用。 -D

打印可以被Wireshark用于捕捉的接口列表。每个接口都有一个编号和名称(可能紧跟在接口描述之后？)会被打印，接口名或接口编号可以提供给-i参数来指定进行捕捉的接口(这里打印应该是说在屏幕上打印)。 在那些没有命令可以显示列表的平台(例如Windows,或者缺少ifconfig -a命令的UNIX平台)这个命令很有用;接口编号在Windows 2000及后续平台的接口名称通常是一些复杂字符串，这时使用接口编号会更方便点。 注意，\可以被Wireshark用于捕捉\意思是说：Wireshark可以打开那个设备进行实时捕捉；如果在你的平台进行网络捕捉需要使用有特殊权限的帐号(例如root，Windows下的Administrators组)，在没有这些权限的账户下添加-D不会显示任何接口。参数 -f

设置捕捉时的内置过滤表达式 -g

在使用-r参数读取捕捉文件以后，使用该参数跳转到指定编号的包。 -h

-h选项请求Wireshark打印该版本的命令使用方法(前面显示的)，然后退出。 -i

设置用于进行捕捉的接口或管道。

网络接口名称必须匹配Wireshark -D中的一个；也可以使用Wireshark -D显示的编号，如果你使用

UNIX,netstat -i或者ifconfig -a获得的接口名也可以被使用。但不是所有的UNIX平台都支持-a,ifconfig参数。

如果未指定参数，Wireshark会搜索接口列表，选择第一个非环回接口进行捕捉，如果没有非环回接口，会选择第一个环回接口。如果没有接口，wireshark会报告错误，不执行捕捉操作。

管道名即可以是FIFO(已命名管道)，也可以使用\读取标准输入。从管道读取的数据必须是标准的libpcap格式。 -k

-k选项指定Wireshark立即开始捕捉。这个选项需要和-i参数配合使用来指定捕捉产生在哪个接口的包。 -l

打开自动滚屏选项，在捕捉时有新数据进入，会自动翻动\面板（同-S参数一样）。 -m

设置显示时的字体（编者认为应该添加字体范例） -n

显示网络对象名字解析(例如TCP,UDP端口名，主机名)。 -N

对特定类型的地址和端口号打开名字解析功能；该参数是一个字符串，使用m可以开启MAC地址解析，n开启网络地址解析，t开启传输层端口号解析。这些字符串在-n和-N参数同时存在时优先级高于-n，字母C开启同时(异步)DNS查询。

-o

设置首选项或当前值，覆盖默认值或其他从Preference/recent file读取的参数、文件。该参数的值是一个字符串，形式为 prefname:value,prefnmae是首选项的选项名称(出现在preference/recent file上的名称)。value是首选项参数对应的值。多个-o 可以使用在单独命中中。 设置单独首选项的例子：

wireshark -o mgcp.display_dissect_tree:TRUE 设置多个首选项参数的例子：

wireshark -o mgcp.display_dissect_tree:TRUE -o mgcp.udp.callagent_port:2627

提示

在???可以看到所有可用的首选项列表。

-p

不将接口设置为杂收模式。注意可能因为某些原因依然出于杂收模式；这样，-p不能确定接口是否仅捕捉自己发送或接受的包以及到该地址的广播包，多播包 -Q

禁止Wireshark在捕捉完成时退出。它可以和-c选项一起使用。他们必须在出现在-i -w连接词中。 -r

指定要读取显示的文件名。捕捉文件必须是Wireshark支持的格式。 -R

指定在文件读取后应用的过滤。过滤语法使用的是显示过滤的语法，参见第 6.3 节 “浏览时过滤包”，不匹配的包不会被显示。 -s

设置捕捉包时的快照长度。Wireshark届时仅捕捉每个包字节的数据。 -S

Wireshark在捕捉数据后立即显示它们，通过在一个进程捕捉数据，另一个进程显示数据。这和捕捉选项对话框中的\实时显示数据\功能相同。 -t

设置显示时间戳格式。可用的格式有

? r 相对的，设置所有包时间戳显示为相对于第一个包的时间。 ? a absolute,设置所有包显示为绝对时间。 ? ad 绝对日期，设置所有包显示为绝对日期时间。 ? d delta 设置时间戳显示为相对于前一个包的时间 ? e epoch 设置时间戳显示为从

epoch起的妙数(1970年1月1日 00:00:00起)

-v

请求Wireshark打印出版本信息，然后退出 -w

在保存文件时以savefile所填的字符为文件名。 -y

如果捕捉时带有-k参数，-y将指定捕捉包中数据链接类型。The values reported by -L are the values that can be used. -X

设置一个选项传送给TShark 模块。eXtension 选项使用extension_key:值形式，extension_key:可以是： lua_script:lua_script_filename,它告诉Wireshark载入指定的脚本。默认脚本是Lua scripts. -z

得到Wireshark的多种类型的统计信息，显示结果在实时更新的窗口。笔者注：在此处增加更多的细节

9.3. 包色彩显示设置

Packet colorization(按色彩显示包)是Wireshark一个非常有用的特性。你可以设置Wireshark通过过滤器将包按颜色设置。可以将你感兴趣的包通过颜色强调显示。

提示

你可以在http://wiki.wireshark.org/ColoringRules的Wireshark Wiki Coloring Rules page找到颜色规 则的举例。

想要按色彩显示包，选择View菜单的“Coloring Rules...”菜单项，将会弹出\对话框，如图 9.1 “\对话框”所示 图 9.1. \对话框

启动Coloring Rules 对话框以后，有许多按钮可以使用，当然这取决于是否已经装入颜色过滤器(碰到once sth,you have a lot of 之类的句子就觉得特别tmd的恶心。)

注意

在对色彩规则进行排序（然后运用时）需要注意：他们是按自上而下的顺序应用的。因此，特定的协议应该排在一般的协议的前面(高层协议应该排在底层协议之前)。例如：如果你将UDP协议排在DNS之前，那么DNS颜色规则就不会被应用(因为DNS使用UDP协议，UDP色彩规则首先被匹配。译者注：这里有点像netscreen防火墙规则，从上而下匹配，匹配了第一个规则以后就不会询问后续规则了。)

如果你第一次使用色彩规则，点击“NEW”按钮打开色彩过滤编辑对话框，如???所示： 图 9.2. \

在编辑色彩对话框，输入颜色过滤器名称，然后在String输入框输入过滤字符串。???显示的是arp,arp表示过滤器名为arp,string填的arp表示选择的协议类型是arp。输入这些值以后，你可以选择前景色和配景色匹配这个过滤表达式。点击 Foreground color... /前景色或者Background color.../背景色按钮就会弹出Choose

foreground/background color for protocol对话框(见图 9.3 “\对话框”)，进行前景色、背景色设置了。

图 9.3. \对话框

选择你需要的颜色，点击OK

注意

You must select a color in the colorbar next to the colorwheel to load values into the RGB values. Alternatively, you can set the values to select the color you want.

图 9.4 “在Wireshark中使用色彩过滤”显示了默认情况下使用多个色彩过滤器的例子。如果你不太喜欢的话，可以自己随时修改它。

如果你不确定哪个颜色规则会对特定包发生作用，查看[Coloring Rule Name: ...] and [Coloring Rule String: ...] 字段。

图 9.4. 在Wireshark中使用色彩过滤

9.4. 设置协议解码

用户可以协议如何被解码。[20]

每个协议都有自己的解码器,因此包可能需要使用多个解码器才能完成解码。wireshark会尝试为每个包尝试找到正确的解码器(使用静态\和结构\特定的情况有可能会选择错误的解码器。例如，如果你将一个常见协议使用用一个不常见的TCP端口，Wireshark将无法识别它，例如：HTTP协议使用800端口而不是标准80端口。 有两种方式可以控制协议和解码器关联：完全禁止协议解码器，或者临时调用解码器。

9.4.1. \对话框

Eable Protocols对话框可以enable、disable特定的协议，默认情况下是所有协议都enable。如果某个协议被disabled,Wireshark在碰到这个协议时会略过不处理。

注意

禁止某个协议解码会阻止依附该协议的更高层协议显示。例如，假定你禁止了IP协议，选择某个包含 Ethernet,IP,TCP和HTTP信息的包。将只会显示以太网信息，IP协议不会显示，基于IP协议的TCP,HTTP协议信息也不会显示。

图 9.5. \对话框