网络分析工具Wireshark使用教程(3)

　　在程序的最下端，您可以获得如下信息：

　　- - 正在进行捕捉的网络设备。

　　- 捕捉是否已经开始或已经停止。

　　- 捕捉结果的保存位置。

　　- 已捕捉的数据量。

　　- 已捕捉封包的数量。(P)

　　- 显示的封包数量。(D) (经过显示过滤器过滤后仍然显示的封包)

　　- 被标记的封包数量。(M)

　　正如您在Wireshark教程第一部分看到的一样，安装、运行Wireshark并开始分析网络是非常简单的。

　　使用Wireshark时最常见的问题，是当您使用默认设置时，会得到大量冗余信息，以至于很难找到自己需要的部分。

　　过犹不及。

　　这就是为什么过滤器会如此重要。它们可以帮助我们在庞杂的结果中迅速找到我们需要的信息。

　　那么我应该使用哪一种过滤器呢?

　　两种过滤器的目的是不同的。

　　捕捉过滤器是数据经过的第一层过滤器，它用于控制捕捉数据的数量，以避免产生过大的日志文件。

　　显示过滤器是一种更为强大(复杂)的过滤器。它允许您在日志文件中迅速准确地找到所需要的记录。

　　两种过滤器使用的语法是完全不同的。我们将在接下来的几页中对它们进行介绍：

　　1. 捕捉过滤器 2. 显示过滤器

　　捕捉过滤器的语法与其它使用Lipcap(Linux)或者Winpcap(Windows)库开发的软件一样，比如著名的TCPdump。捕捉过滤器必须在开始捕捉前设置完毕，这一点跟显示过滤器是不同的。

　　设置捕捉过滤器的步骤是：

　　- 选择 capture -> options。

　　- 填写"capture filter"栏或者点击"capture filter"按钮为您的过滤器起一个名字并保存，以便在今后的捕捉中继续使用这个过滤器。

　　- 点击开始(Start)进行捕捉。

原文转自：http://www.ltesting.net