Wireshark有很多技巧，從捕獲遠端流量到基於捕獲的資料包建立防火牆規則。如果您想像專業人士一樣使用Wireshark，請繼續閱讀一些更高階的提示。

我們已經介紹了Wireshark的基本用法，所以請務必閱讀我們的原始文章，瞭解這個強大的網路分析工具的介紹。

網路名稱解析

捕獲資料包時，Wireshark只顯示IP地址可能會讓您感到惱火。你可以自己把IP地址轉換成域名，但這不太方便。

Wireshark可以自動將這些IP地址解析為域名，儘管預設情況下未啟用此功能。啟用此選項後，您將盡可能看到域名而不是IP地址。不利的一面是Wireshark將不得不查詢每個域名，用額外的DNS請求來汙染捕獲的流量。

透過從“編輯”-&gt；“首選項”開啟“首選項”視窗，單擊“名稱解析”面板並單擊“啟用網路名稱解析”複選框，可以啟用此設定。

開始自動捕獲

如果要立即開始捕獲資料包，可以使用Wirshark的命令列引數建立一個特殊的快捷方式。根據Wireshark顯示介面的順序，您需要知道要使用的網路介面的編號。

建立Wireshark快捷方式的副本，右鍵單擊它，進入其“屬性”視窗並更改命令列引數。在快捷方式的末尾新增-i#-k，將#替換為要使用的介面的編號。i選項指定介面，-k選項告訴Wireshark立即開始捕獲。

如果您使用的是Linux或其他非Windows作業系統，只需使用以下命令建立一個快捷方式，或從終端執行它即可立即開始捕獲：

wireshark -i # -k

有關更多命令列快捷方式，請檢視Wireshark的手冊頁。

從遠端計算機捕獲流量

預設情況下，Wireshark從系統的本地介面捕獲流量，但這並不總是您要從中捕獲的位置。例如，您可能希望捕獲來自路由器、伺服器或網路上不同位置的另一臺計算機的流量。這就是Wireshark遠端捕獲功能的用武之地。此功能目前僅在Windows上可用—Wireshark的官方文件建議Linux使用者使用SSH隧道。

首先，您必須在遠端系統上安裝WinPcap。WinPcap附帶Wireshark，因此如果遠端系統上已經安裝了Wireshark，則不必安裝WinPcap。

裝入後，開啟遠端計算機上的“服務”視窗-單擊“開始”，鍵入服務.msc進入“開始”選單中的“搜尋”框，然後按Enter鍵。在列表中找到遠端資料包捕獲協議服務並啟動它。預設情況下禁用此服務。

單擊Wireshark中的“捕獲選項”連結，然後從“介面”框中選擇“遠端”。

輸入遠端系統的地址，並將2002作為埠。您必須訪問遠端系統上的埠2002才能連線，因此您可能需要在防火牆中開啟此埠。

連線後，可以從“介面”下拉框中選擇遠端系統上的介面。選擇介面後，單擊“開始”以開始遠端捕獲。

終端中的wireshark（tshark）

如果系統上沒有圖形介面，可以透過TShark命令從終端使用Wireshark。

首先，發出tshark-D命令。此命令將為您提供網路介面的編號。

完成後，執行tshark-i#命令，將#替換為要在其上捕獲的介面的編號。

TShark就像Wireshark一樣，將捕獲的流量列印到終端。要停止捕獲時，請使用Ctrl-C。

將資料包列印到終端並不是最有用的行為。如果我們想更詳細地檢查流量，我們可以讓TShark將其轉儲到一個檔案中，以便稍後檢查。使用此命令將流量轉儲到檔案：

tshark -i # -w filename

TShark不會在捕獲資料包時顯示資料包，但會在捕獲資料包時對資料包進行計數。您可以使用Wireshark中的File-&gt；Open選項稍後開啟捕獲檔案。

有關TShark命令列選項的更多資訊，請檢視其手冊頁。

建立防火牆acl規則

如果您是負責防火牆的網路管理員，並且正在使用Wireshark進行探測，那麼您可能需要根據所看到的流量採取措施—也許是阻止一些可疑的流量。Wireshark的防火牆ACL規則工具生成在防火牆上建立防火牆規則所需的命令。

首先，透過單擊選擇要建立防火牆規則的資料包。之後，單擊“工具”選單並選擇“防火牆ACL規則”。

使用產品選單選擇防火牆型別。Wireshark支援Cisco IOS、不同型別的Linux防火牆（包括iptables）和Windows防火牆。

您可以使用篩選器框根據系統的MAC地址、IP地址、埠或同時基於IP地址和埠建立規則。根據防火牆產品的不同，您可能會看到較少的過濾器選項。

預設情況下，該工具建立拒絕入站流量的規則。您可以透過取消選中入站或拒絕複選框來修改規則的行為。建立規則後，使用“複製”按鈕進行復制，然後在防火牆上執行它以應用規則。

你想讓我們將來寫些關於Wireshark的具體內容嗎？如果您有任何要求或想法，請在評論中告訴我們。