《计算机网络与通信原理》课程实验报告

Wireshark和其它的图形化嗅探器使用基本类似的界面，整个窗口被分成三个部分：最上面为数据包列表，用来显示截获的每个数据包的总结性信息；中间为协议树，用来显示选定的数据包所属的协议信息；最下边是以十六进制形式表示的数据包内容，用来显示数据包在物理层上传输时的最终形式。

（2）Wireshark的显示过滤器

显示过滤器可以根据1)协议2)是否存在某个域3)域值4)域值之间的比较来查找感兴趣的数据包。注意：捕获过滤器（Capture Filters）和显示过滤器（Display Filters）的语法规则是不同的。

值比较表达式可以使用下面的操作符来构造：

●eq ==，如ip.addr==10.1.10.20

●ne !=，如ip.addr!=10.1.10.20

●gt >，如frame.pkt_len>10

●lt <，如frame.pkt_len<10

●ge >=，如frame.pkt_len>=10

●le <=，如frame.pkt_len<=10

可以使用下面的逻辑操作符将表达式组合起来：

●and &&逻辑与，如ip.addr=10.1.10.20 && tcp.flag.fin

●or || 逻辑或，如ip.addr=10.1.10.20||ip.addr=10.1.10.21

●not ! 逻辑非，如!llc

例如：IP 地址是192.168.2.10 的主机，它所接收收或发送的所有的HTTP 报文，那么合适的Filter（过滤器）就是：ip.addr == 192.168.2.10 && http。

提示：Filter的背景显示出表达式的合法与否，绿色为合法，红色为否。

（3）菜单Capture的Options说明

Interface:选择采集数据包的网卡

IP address:选择的网卡所对应的IP地址

Link-layer header type:数据链路层的协议，在以太网中一般是Ethernet II

Buffer size:数据缓存大小设定，默认是1M字节