Các chức năng của Wireshark

* Các chức năng trên thanh menu của Wireshark

Menu chính bao gồm các mục sau:
File
Menu này chứa các mục để mở và ghép các tệp chụp, lưu, in, hoặc xuất các tệp
chụp toàn bộ hoặc một phần, và thoát khỏi ứng dụng Wireshark.
Edit
Menu này chứa các mục để tìm một gói tin, tham chiếu thời gian hoặc đánh dấu
một hoặc nhiều gói tin, xử lý các hồ sơ cấu hình và thiết lập ưu tiên của bạn;
(các chức năng cắt, sao chép và dán hiện chưa được triển khai).
View
Menu này điều khiển hiển thị dữ liệu chụp, bao gồm màu sắc hóa gói tin, thu
phóng font chữ, hiển thị gói tin trong một cửa sổ riêng biệt, mở rộng và thu gọn
cây trong chi tiết gói tin, ....
Go
Menu này chứa các mục để chuyển đến một gói tin cụ thể.
Capture
Menu này cho phép bạn bắt đầu và dừng chụp và chỉnh sửa bộ lọc chụp.
Analyze
Menu này chứa các mục để điều chỉnh bộ lọc hiển thị, kích hoạt hoặc vô hiệu
hóa quá trình phân tích các giao thức, cấu hình giải mã được chỉ định bởi người
dùng và theo dõi luồng TCP.
Statistics
Menu này chứa các mục để hiển thị các cửa sổ thống kê khác nhau, bao gồm
một bản tóm tắt về các gói tin đã được chụp, hiển thị thống kê cấu trúc giao
thức và nhiều hơn nữa.
Telephony
Menu này chứa các mục để hiển thị các cửa sổ thống kê liên quan đến viễn
thông, bao gồm phân tích phương tiện, sơ đồ dòng, thống kê cấu trúc giao thức
và nhiều hơn nữa.
Wireless
Menu này chứa các mục để hiển thị thống kê về Bluetooth và IEEE 802.11
không dây.
Tools
Menu này chứa các công cụ khác nhau có sẵn trong Wireshark, chẳng hạn như
tạo Luật ACL Tường lửa.
Help
Menu này chứa các mục để hỗ trợ người dùng, ví dụ như truy cập một số trợ
giúp cơ bản, trang tài liệu của các công cụ dòng lệnh khác nhau, truy cập trực
tuyến vào một số trang web và cửa sổ thông tin thông thường.
* Từng chức năng chính của các nút trên menu
- File
Open… (Mở…): (Phím tắt: Ctrl+O) Mở hộp thoại chọn tệp để bạn có thể tải
một tệp chụp để xem.
Open Recent (Mở Gần Đây): Cho phép bạn mở các tệp chụp đã mở gần đây.
Bạn có thể chọn một trong các mục trong danh sách để mở tệp chụp tương ứng.
Merge… (Hợp nhất…): Cho phép bạn hợp nhất một tệp chụp vào tệp đang tải.
Import from Hex Dump… (Nhập từ Đổ Hex…): Mở hộp thoại nhập tệp cho
phép bạn nhập một tệp văn bản chứa đổ Hex vào một tệp chụp tạm thời mới.
Close (Đóng): (Phím tắt: Ctrl+W) Đóng tệp chụp hiện tại. Nếu bạn chưa lưu tệp
chụp, bạn sẽ được hỏi có muốn lưu không (điều này có thể bị vô hiệu hóa bằng
cách thiết lập ưu tiên).
Save (Lưu): (Phím tắt: Ctrl+S) Lưu tệp chụp hiện tại. Nếu bạn chưa đặt tên tệp
mặc định (có thể với tùy chọn -w <capfile>), Wireshark hiện hộp thoại Lưu
Như Tệp Chụp.
Save As… (Lưu Như…): (Phím tắt: Shift+Ctrl+S) Cho phép bạn lưu tệp chụp
hiện tại với tên tệp bạn muốn.
File Set → List Files (Tập Tin Thiết Lập → Liệt Kê Tệp): Hiển thị danh sách
các tệp trong một tập tin thiết lập.
File Set → Next File (Tập Tin Thiết Lập → Tệp Tiếp Theo): Chuyển đến tệp
tiếp theo trong tập tin thiết lập nếu tệp hiện tại là một phần của tập tin thiết lập.
File Set → Previous File (Tập Tin Thiết Lập → Tệp Trước): Chuyển đến tệp
trước đó trong tập tin thiết lập nếu tệp hiện tại là một phần của tập tin thiết lập.
Export Specified Packets… (Xuất Gói Tin Xác Định…): Cho phép bạn xuất tất
cả (hoặc một số) gói tin trong tệp chụp ra tệp tin.
Export Packet Dissections… (Xuất Phân Tích Gói Tin…): (Phím tắt: Ctrl+H)
Cho phép bạn xuất các byte được chọn hiện tại trong bảng byte gói tin ra một
tệp văn bản ở nhiều định dạng, bao gồm plain, CSV, và XML.
Export Objects (Xuất Đối Tượng): Cho phép bạn xuất các đối tượng DICOM,
HTTP, IMF, SMB, hoặc TFTP đã chụp ra các tệp địa phương. Hiện danh sách
đối tượng tương ứng.
Print… (In…): (Phím tắt: Ctrl+P) Cho phép bạn in tất cả (hoặc một số) gói tin
trong tệp chụp. Hiện hộp thoại In Wireshark.
Quit (Thoát): (Phím tắt: Ctrl+Q) Cho phép bạn thoát khỏi Wireshark. Wireshark
sẽ hỏi bạn có muốn lưu tệp chụp không (điều này có thể bị vô hiệu hóa bằng
cách thiết lập ưu tiên).
- Edit
Copy (Sao chép): Sao chép danh sách gói tin, chi tiết gói tin hoặc thuộc tính của
gói tin hiện tại vào clipboard.
Find Packet… (Tìm Gói Tin…): (Phím tắt: Ctrl+F) Hiển thị thanh công cụ cho
phép bạn tìm kiếm một gói tin theo nhiều tiêu chí.
Find Next (Tìm Tiếp Theo): (Phím tắt: Ctrl+N) Cố gắng tìm gói tin tiếp theo
phù hợp với cài đặt từ "Tìm Gói Tin".
Find Previous (Tìm Trước): (Phím tắt: Ctrl+B) Cố gắng tìm gói tin trước đó phù
hợp với cài đặt từ "Tìm Gói Tin".
Mark/Unmark Packet (Đánh Dấu/Bỏ Đánh Dấu Gói Tin): (Phím tắt: Ctrl+M)
Đánh dấu gói tin hiện tại.
Mark All Displayed Packets (Đánh Dấu Tất Cả Gói Tin Được Hiển Thị): (Phím
tắt: Ctrl+Shift+M) Đánh dấu tất cả các gói tin được hiển thị.
Unmark All Displayed Packets (Bỏ Đánh Dấu Tất Cả Gói Tin Được Hiển Thị):
(Phím tắt: Ctrl+Alt+M) Bỏ đánh dấu tất cả các gói tin được hiển thị.
Next Mark (Gói Tin Đánh Dấu Tiếp Theo): (Phím tắt: Ctrl+Shift+N) Tìm gói
tin được đánh dấu tiếp theo.
Previous Mark (Gói Tin Đánh Dấu Trước): (Phím tắt: Ctrl+Shift+B) Tìm gói tin
được đánh dấu trước đó.
Ignore/Unignore Packet (Bỏ Qua/Bỏ Bỏ Qua Gói Tin): (Phím tắt: Ctrl+D) Đánh
dấu gói tin hiện tại là bị bỏ qua.
Ignore All Displayed (Bỏ Qua Tất Cả Gói Tin Được Hiển Thị): (Phím tắt:
Ctrl+Shift+D) Đánh dấu tất cả các gói tin được hiển thị là bị bỏ qua.
Unignore All Displayed (Bỏ Bỏ Qua Tất Cả Gói Tin Được Hiển Thị): (Phím tắt:
Ctrl+Alt+D) Bỏ đánh dấu tất cả các gói tin đã bị bỏ qua.
Set/Unset Time Reference (Đặt/Bỏ Đặt Tham Chiếu Thời Gian): (Phím tắt:
Ctrl+T) Đặt tham chiếu thời gian trên gói tin hiện tại.
Unset All Time References (Bỏ Đặt Tất Cả Tham Chiếu Thời Gian): (Phím tắt:
Ctrl+Alt+T) Loại bỏ tất cả các tham chiếu thời gian trên các gói tin.
Next Time Reference (Tham Chiếu Thời Gian Tiếp Theo): (Phím tắt:
Ctrl+Alt+N) Cố gắng tìm gói tin có tham chiếu thời gian tiếp theo.
Previous Time Reference (Tham Chiếu Thời Gian Trước): (Phím tắt:
Ctrl+Alt+B) Cố gắng tìm gói tin có tham chiếu thời gian trước đó.
Time Shift… (Chuyển Dịch Thời Gian…): (Phím tắt: Ctrl+Shift+T) Mở hộp
thoại "Chuyển Dịch Thời Gian," cho phép bạn điều chỉnh các dấu thời gian của
một số hoặc tất cả các gói tin.
Packet Comment… (Góp Ý Gói Tin…): (Phím tắt: Ctrl+Alt+C) Mở hộp thoại
"Gói Ý Gói Tin," cho phép bạn thêm ý kiến cho một gói tin duy nhất..
Delete All Packet Comments (Xóa Tất Cả Góp Ý Gói Tin): Xóa tất cả các ý
kiến từ tất cả các gói tin.
Inject TLS Secrets (Chèn Bí Mật TLS): Nhúng các bí mật giải mã TLS đã sử
dụng vào tệp
- View
Main Toolbar (Thanh Công Cụ Chính): Hiển thị hoặc ẩn thanh công cụ chính.
Filter Toolbar (Thanh Công Cụ Bộ Lọc): Hiển thị hoặc ẩn thanh công cụ bộ lọc.
Wireless Toolbar (Thanh Công Cụ Wireless): Hiển thị hoặc ẩn thanh công cụ
wireless. Có thể không xuất hiện trên một số nền tảng.
Statusbar (Thanh Trạng Thái): Hiển thị hoặc ẩn thanh trạng thái.
Packet List (Danh Sách Gói Tin): Hiển thị hoặc ẩn bảng danh sách gói tin.
Packet Details (Chi Tiết Gói Tin): Hiển thị hoặc ẩn bảng chi tiết gói tin.
Packet Bytes (Byte Gói Tin): Hiển thị hoặc ẩn bảng byte gói tin.
Packet Diagram (Sơ Đồ Gói Tin): Hiển thị hoặc ẩn bảng sơ đồ gói tin.
Time Display Format (Định Dạng Hiển Thị Thời Gian): Các tùy chọn để chọn
định dạng hiển thị thời gian. Các tùy chọn bao gồm:
Date and Time of Day: 1970-01-01 01:02:03.123456
Time of Day: 01:02:03.123456
Seconds Since Epoch (1970-01-01): 1234567890.123456
Seconds Since First Captured Packet: 123.123456
Seconds Since Previous Captured Packet: 1.123456
Seconds Since Previous Displayed Packet: 1.123456
Automatic (File Format Precision)
Seconds: 0
...seconds: 0...
Display Seconds with hours and minutes
Name Resolution (Giải Quyết Tên): Các tùy chọn để giải quyết tên địa chỉ IP,
địa chỉ MAC và địa chỉ transport. Các tùy chọn bao gồm:
Edit Resolved Name
Enable for MAC Layer
Enable for Network Layer
Enable for Transport Layer
Colorize Packet List (Tô Màu Danh Sách Gói Tin): Cho phép bạn điều khiển
việc tô màu danh sách gói tin.
Auto Scroll in Live Capture (Cuộn Tự Động trong Live Capture): Cho phép bạn
xác định liệu Wireshark có nên cuộn tự động danh sách gói tin khi có gói tin
mới hay không.
Zoom In (Phóng To): (Phím tắt: Ctrl++) Phóng to dữ liệu gói tin (tăng kích
thước font).
Zoom Out (Thu Nhỏ): (Phím tắt: Ctrl+-) Thu nhỏ dữ liệu gói tin (giảm kích
thước font).
Normal Size (Kích Thước Bình Thường): (Phím tắt: Ctrl+=) Đặt lại mức phóng
về 100% (đặt lại kích thước font về bình thường).
Resize All Columns (Thay Đổi Kích Thước Tất Cả Cột): (Phím tắt:
Shift+Ctrl+R) Thay đổi kích thước tất cả các cột để nội dung vừa với chúng.
Displayed Columns (Cột Đã Hiển Thị): Mở ra một danh sách tất cả các cột được
cấu hình. Các cột này có thể được hiển thị hoặc ẩn trong danh sách gói tin.
Expand Subtrees (Mở Rộng Cây Con): (Phím tắt: Shift+→) Mở rộng cây con
được chọn hiện tại trong cây chi tiết gói tin.
Collapse Subtrees (Thu Nhỏ Cây Con): (Phím tắt: Shift+←) Thu nhỏ cây con
được chọn hiện tại trong cây chi tiết gói tin.
Expand All (Mở Rộng Tất Cả): (Phím tắt: Ctrl+→) Mở rộng tất cả cây con
trong tất cả các gói tin trong bảng.
Collapse All (Thu Nhỏ Tất Cả): (Phím tắt: Ctrl+←) Thu nhỏ chế độ xem cây
của tất cả các gói tin trong danh sách.
Colorize Conversation (Tô Màu Cuộc Trò Chuyện): Tô màu các gói tin dựa trên
địa chỉ của gói tin hiện tại.
Coloring Rules (Quy Tắc Tô Màu): Mở hộp thoại để tô màu các gói tin dựa trên
biểu thức lọc bạn chọn.
Internals (Bên Trong): Hiển thị thông tin về các cấu trúc dữ liệu nội tại khác
nhau của Wireshark.
Show Packet in New Window (Hiển Thị Gói Tin trong Cửa Sổ Mới): Hiển thị
gói tin được chọn trong một cửa sổ riêng biệt.
Reload (Nạp Lại): (Phím tắt: Ctrl+R) Cho phép bạn nạp lại tệp chụp hiện tại.
- Internals của View
Conversation Hash Tables (Bảng Băm Cuộc Trò Chuyện): Hiển thị các bảng
băm chứa các bộ (kết hợp địa chỉ và cổng) được sử dụng để xác định mỗi cuộc
trò chuyện. Trong ngữ cảnh của Wireshark, cuộc trò chuyện thường đề cập đến
giao tiếp giữa hai máy tính qua mạng.
Dissector Tables (Bảng Phân Tích): Hiển thị các bảng chứa các mối quan hệ
giữa các dissectors (phân tích gói tin). Một dissector là một thành phần của
Wireshark được thiết kế để phân tích các gói tin của một loại giao thức cụ thể.
Supported Protocols (Các Giao Thức Được Hỗ Trợ): Hiển thị danh sách các
giao thức được hỗ trợ và các trường dữ liệu của giao thức. Cung cấp cái nhìn
tổng quan về các giao thức mà Wireshark có thể phân tích và hiển thị thông tin.
- Go
Back (Quay Lại): (Phím tắt: Alt+←) Di chuyển đến gói tin đã được xem gần
đây trong lịch sử gói tin, tương tự như lịch sử trang web trong trình duyệt web.
Forward (Tiến Lên): (Phím tắt: Alt+→) Di chuyển đến gói tin đã được xem tiếp
theo trong lịch sử gói tin, tương tự như lịch sử trang web trong trình duyệt web.
Go to Packet (Điều Hướng Đến Gói Tin)...: (Phím tắt: Ctrl+G) Mở một cửa sổ
cho phép bạn chỉ định số gói tin và sau đó di chuyển đến gói tin đó.
Go to Corresponding Packet (Đi Đến Gói Tin Tương Ứng): Di chuyển đến gói
tin tương ứng với trường giao thức đang được chọn. Nếu trường được chọn
không tương ứng với một gói tin, mục này sẽ được tô màu xám.
Previous Packet (Gói Tin Trước Đó): (Phím tắt: Ctrl+↑) Di chuyển đến gói tin
trước đó trong danh sách. Có thể sử dụng để di chuyển đến gói tin trước đó
ngay cả khi danh sách gói tin không có trỏ bàn phím.
Next Packet (Gói Tin Tiếp Theo): (Phím tắt: Ctrl+↓) Di chuyển đến gói tin tiếp
theo trong danh sách. Có thể sử dụng để di chuyển đến gói tin tiếp theo ngay cả
khi danh sách gói tin không có trỏ bàn phím.
First Packet (Gói Tin Đầu Tiên): (Phím tắt: Ctrl+Home) Di chuyển đến gói tin
đầu tiên trong tệp chụp.
Last Packet (Gói Tin Cuối Cùng): (Phím tắt: Ctrl+End) Di chuyển đến gói tin
cuối cùng trong tệp chụp.
Previous Packet In Conversation (Gói Tin Trước Đó Trong Cuộc Trò Chuyện):
(Phím tắt: Ctrl+,) Di chuyển đến gói tin trước đó trong cuộc trò chuyện hiện tại.
Có thể sử dụng để di chuyển đến gói tin trước đó ngay cả khi danh sách gói tin
không có trỏ bàn phím.
Next Packet In Conversation (Gói Tin Tiếp Theo Trong Cuộc Trò Chuyện):
(Phím tắt: Ctrl+.) Di chuyển đến gói tin tiếp theo trong cuộc trò chuyện hiện tại.
Có thể sử dụng để di chuyển đến gói tin tiếp theo ngay cả khi danh sách gói tin
không có trỏ bàn phím.
- Capture
Options (Tùy Chọn): (Phím tắt: Ctrl+K) Mở hộp thoại Capture Options, cho
phép bạn cấu hình các giao diện và tùy chọn chụp gói tin.
Start (Bắt Đầu): (Phím tắt: Ctrl+E) Bắt đầu ngay lập tức việc chụp gói tin với
cùng các thiết lập như lần trước.
Stop (Dừng): (Phím tắt: Ctrl+E) Dừng việc chụp gói tin đang chạy.
Restart (Khởi Động Lại): (Phím tắt: Ctrl+R) Dừng việc chụp gói tin đang chạy
và bắt đầu lại với cùng các tùy chọn.
Capture Filters (Bộ Lọc Chụp): Mở một hộp thoại cho phép bạn tạo và chỉnh
sửa bộ lọc chụp. Bạn có thể đặt tên cho bộ lọc và lưu chúng để sử dụng trong
tương lai.
Refresh Interfaces (Làm Mới Giao Diện): (Phím tắt: F5) Xóa và tạo lại danh
sách giao diện. Chức năng này làm mới danh sách giao diện mà Wireshark có
thể sử dụng để chụp gói tin.
- Analyze
Display Filters (Bộ Lọc Hiển Thị): Mở hộp thoại cho phép bạn tạo và chỉnh sửa
bộ lọc hiển thị. Bạn có thể đặt tên cho bộ lọc và lưu chúng để sử dụng trong
tương lai.
Display Filter Macros (Bộ Lọc Hiển Thị Macro): Mở hộp thoại cho phép bạn
tạo và chỉnh sửa các bộ lọc hiển thị macro. Bạn có thể đặt tên cho macro và lưu
chúng để sử dụng trong tương lai.
Apply as Column (Áp Dụng Như Cột): (Phím tắt: Shift+Ctrl+I) Thêm mục giao
thức được chọn trong ô chi tiết gói tin như một cột vào danh sách gói tin.
Apply as Filter (Áp Dụng Như Bộ Lọc): Thay đổi bộ lọc hiển thị hiện tại và áp
dụng ngay lập tức. Tùy thuộc vào mục menu được chọn, chuỗi bộ lọc hiển thị
hiện tại sẽ được thay thế hoặc được thêm vào bởi trường giao thức được chọn
trong ô chi tiết gói tin.
Prepare as Filter (Chuẩn Bị Như Bộ Lọc): Thay đổi bộ lọc hiển thị hiện tại
nhưng không áp dụng ngay lập tức. Tùy thuộc vào mục menu được chọn, chuỗi
bộ lọc hiển thị hiện tại sẽ được thay thế hoặc được thêm vào bởi trường giao
thức được chọn trong ô chi tiết gói tin.
Conversation Filter (Bộ Lọc Cuộc Trò Chuyện): Áp dụng bộ lọc cuộc trò
chuyện cho các giao thức khác nhau.
Enabled Protocols (Giao Thức Đã Bật): (Phím tắt: Shift+Ctrl+E) Bật hoặc tắt
các dissector (phân tích gói tin) của các giao thức khác nhau.
Decode As (Giải Mã Như): Giải mã các gói tin nhất định thành một giao thức
cụ thể.
Follow → TCP Stream (Theo Dõi → Luồng TCP): Mở một cửa sổ hiển thị tất
cả các đoạn TCP được chụp nằm trên cùng một kết nối TCP như một gói tin
được chọn.
Follow → UDP Stream (Theo Dõi → Luồng UDP): Tương tự như "Theo dõi
luồng TCP" nhưng cho các "luồng" UDP.
Follow → TLS Stream (Theo Dõi → Luồng TLS): Tương tự như "Theo dõi
luồng TCP" nhưng cho các "luồng" TLS hoặc SSL.
Follow → HTTP Stream (Theo Dõi → Luồng HTTP): Tương tự như "Theo dõi
luồng TCP" nhưng cho các "luồng" HTTP.
Expert Info (Thông Tin Chuyên Gia): Mở một cửa sổ hiển thị thông tin chuyên
gia được tìm thấy trong bản chụp. Một số dissector thêm các mục chi tiết gói tin
để báo cáo hành vi đặc biệt hoặc không bình thường, chẳng hạn như checksum
không hợp lệ hoặc việc truyền lại.
- Statistics
Capture File Properties
File (Tệp): Hiển thị thông tin chung về tệp chụp, bao gồm đường dẫn đầy đủ,
kích thước, băm mật mã, định dạng tệp và đóng gói.
Time (Thời Gian): Hiển thị dấu thời gian của gói tin đầu tiên và cuối cùng trong
tệp cũng như sự chênh lệch giữa chúng.
Capture (Chụp): Hiển thị thông tin về môi trường chụp. Chỉ được hiển thị cho
chụp trực tiếp hoặc nếu thông tin này có sẵn trong một tệp chụp đã lưu. Định
dạng pcapng hỗ trợ điều này, trong khi pcap không.
Interfaces (Giao Diện): Hiển thị thông tin về giao diện hoặc các giao diện chụp.
Statistics (Thống Kê): Một tóm tắt thống kê về tệp chụp. Nếu có bộ lọc hiển thị
được đặt, bạn sẽ thấy giá trị trong cột "Captured" (Đã Chụp), và nếu có bất kỳ
gói tin nào được đánh dấu, bạn sẽ thấy giá trị trong cột "Marked" (Đã Đánh
Dấu). Các giá trị trong cột "Captured" sẽ giữ nguyên như trước đó, trong khi các
giá trị trong cột "Displayed" (Đã Hiển Thị) sẽ phản ánh giá trị tương ứng với
các gói tin được hiển thị trên màn hình. Các giá trị trong cột "Marked" sẽ phản
ánh giá trị tương ứng với các gói tin đã được đánh dấu.
Capture File Comments (Ghi Chú Tệp Chụp): Một số định dạng tệp chụp (đặc
biệt là pcapng) cho phép một chú thích văn bản cho toàn bộ tệp. Bạn có thể xem
và chỉnh sửa chú thích này ở đây.
Refresh (Làm mới): Cập nhật thông tin trong hộp thoại.
Save Comments (Lưu Ghi Chú): Lưu nội dung của ô nhập văn bản "Capture file
comments".
Close (Đóng): Đóng hộp thoại.
Copy To Clipboard (Sao Chép vào Bảng Tạm): Sao chép thông tin "Details"
vào clipboard.
Help (Trợ Giúp): Mở phần này của Hướng Dẫn Người Dùng.
Resolved Addresses
Wireshark hiển thị danh sách các địa chỉ đã được giải quyết và tên máy chủ
tương ứng. Người dùng có thể chọn trường "Hosts" để chỉ hiển thị địa chỉ IPv4
và IPv6. Trong trường hợp này, hộp thoại sẽ hiển thị tên máy chủ cho mỗi địa
chỉ IP trong tệp chụp với một máy chủ đã biết. Thông thường, thông tin này
được lấy từ các câu trả lời DNS trong tệp chụp. Trong trường hợp tên máy chủ
không được biết đến, người dùng có thể điền thông tin này dựa trên một truy
vấn DNS đảo ngược. Để thực hiện điều này, làm theo các bước sau:
Bật chức năng "Resolve Network Addresses" trong menu View → Name
Resolution vì tùy chọn này mặc định là tắt.
Chọn "Use an external network name resolver" trong menu Preferences →
Name Resolution vì tùy chọn này được kích hoạt theo mặc định.
Protocal hierarchy
"Cửa sổ Protocol Hierarchy" (Cây Protocol) hiển thị một cây của tất cả các giao
thức trong tệp chụp. Mỗi dòng chứa các giá trị thống kê của một giao thức. Hai
trong số các cột (Percent Packets và Percent Bytes) đóng vai trò kép như biểu
đồ cột.
Các cột trong Protocol Hierarchy:
Protocol (Giao thức): Tên của giao thức này.
Percent Packets (Phần trăm Gói tin): Phần trăm gói tin của giao thức so với tổng
số gói tin trong tệp chụp.
Packets (Gói tin): Tổng số gói tin chứa giao thức này.
Percent Bytes (Phần trăm Bytes): Phần trăm số byte của giao thức so với tổng
số byte trong tệp chụp.
Bytes (Bytes): Tổng số byte của giao thức này.
Bits/s (Bits/giây): Băng thông của giao thức so với thời gian chụp.
End Packets (Gói tin Cuối cùng): Số tuyệt đối gói tin của giao thức này trong đó
nó là giao thức cao nhất trong ngăn xếp (được phân tích cuối cùng).
End Bytes (Bytes Cuối cùng): Số tuyệt đối byte của giao thức này trong đó nó là
giao thức cao nhất trong ngăn xếp (được phân tích cuối cùng).
End Bits/s (Bits/giây Cuối cùng): Băng thông của giao thức so với thời gian
chụp khi nó là giao thức cao nhất trong ngăn xếp (được phân tích cuối cùng).
PDUs (Gói tin dữ liệu): Tổng số gói tin dữ liệu của giao thức này.
Gói tin thường chứa nhiều giao thức. Do đó, một gói tin có thể được đếm nhiều
hơn một giao thức.
Các lớp giao thức có thể bao gồm các gói tin không chứa bất kỳ giao thức lớp
cao nào khác, do đó tổng của tất cả các gói tin lớp cao có thể không bằng tổng
số gói tin của giao thức. Điều này có thể xảy ra do các đoạn và các đoạn được tổ
chức lại trong các khung khác, chi phí chồng lớp TCP và dữ liệu không được
phân giải khác.
Conversations
Cửa sổ Conversations hiển thị giao tiếp mạng giữa hai điểm cuối cụ thể.
Cửa sổ Conversations tương tự như cửa sổ Endpoints. Bên cạnh các địa chỉ, bộ
đếm gói tin và bộ đếm byte, cửa sổ conversation thêm bốn cột: thời gian bắt đầu
của cuộc trò chuyện ("Rel Start") hoặc ("Abs Start"), thời gian của cuộc trò
chuyện theo giây và số bit trung bình (không phải byte) mỗi giây ở mỗi hướng.
Một biểu đồ dạng timeline cũng được vẽ qua các cột "Rel Start" / "Abs Start" và
"Duration". Mỗi dòng trong danh sách hiển thị giá trị thống kê cho đúng một
cuộc trò chuyện.
Quá trình giải quyết tên sẽ được thực hiện nếu được chọn trong cửa sổ và nếu
nó hoạt động cho lớp giao thức cụ thể (lớp MAC cho trang điểm Ethernet được
chọn). Giới hạn để bộ lọc hiển thị chỉ sẽ hiển thị các cuộc trò chuyện phù hợp
với bộ lọc hiện tại. Thời gian bắt đầu tuyệt đối chuyển đổi cột thời gian bắt đầu
giữa thời gian tương đối ("Rel Start") và tuyệt đối ("Abs Start"). Thời gian bắt
đầu tương đối phù hợp với định dạng hiển thị thời gian "Seconds Since First
Captured Packet" trong danh sách gói tin và thời gian bắt đầu tuyệt đối phù hợp
với định dạng hiển thị thời gian "Time of Day".
Nếu đã áp dụng một bộ lọc hiển thị trước khi mở hộp thoại, Giới hạn để bộ lọc
hiển thị sẽ được đặt tự động. Ngoài ra, sau khi áp dụng một bộ lọc hiển thị, hai
cột ("Total Packets") và ("Percent Filtered") sẽ hiển thị số gói tin tổng cộng
chưa được lọc và phần trăm gói tin trong bộ lọc này.
Endpoints
Cửa sổ "Endpoints" hiển thị thông tin về các điểm cuối trong gói tin mạng. Mỗi
giao thức được hỗ trợ sẽ có một tab tương ứng trong cửa sổ này. Mỗi nhãn tab
cho biết số lượng điểm cuối đã được ghi lại cho giao thức đó. Nếu không có
điểm cuối của một giao thức cụ thể nào được ghi lại, nhãn tab sẽ được làm xám
(mặc dù trang liên quan vẫn có thể được chọn). Mỗi dòng trong danh sách hiển
thị các giá trị thống kê cho chính xác một điểm cuối.
Quá trình giải quyết tên sẽ được thực hiện nếu được chọn trong cửa sổ và nếu
nó hoạt động cho lớp giao thức cụ thể (lớp MAC cho trang điểm Ethernet được
chọn). Giới hạn cho bộ lọc hiển thị chỉ sẽ hiển thị cuộc trò chuyện phù hợp với
bộ lọc hiện tại. Lưu ý rằng trong ví dụ này, chúng ta đã cấu hình cơ sở dữ liệu
MaxMind DB, điều này mang lại cho chúng ta thêm cột địa lý.
Nếu đã áp dụng một bộ lọc hiển thị trước khi mở hộp thoại, Giới hạn cho bộ lọc
hiển thị sẽ được đặt tự động. Ngoài ra, sau khi áp dụng một bộ lọc hiển thị, hai
cột ("Total Packets") và ("Percent Filtered") sẽ hiển thị số lượng gói tin tổng
cộng chưa được lọc và phần trăm gói tin trong bộ lọc này.
Packet Lengths
Cửa sổ "Packet Lengths" hiển thị thông tin về các khoảng độ dài gói tin trong
bảng thống kê. Các khoảng độ dài này có thể được cấu hình trong phần
"Statistics → Stats Tree" của Hộp thoại Ưu tiên.
Count (Số lượng): Số lượng gói tin thuộc khoảng độ dài này.
Average (Trung bình): Giá trị trung bình của độ dài gói tin trong khoảng này.
Min Val, Max Val (Giá trị tối thiểu, tối đa): Độ dài tối thiểu và tối đa của gói tin
trong khoảng này.
Rate (ms) (Tốc độ - mili giây): Số lượng gói tin trung bình mỗi mili giây cho
các gói tin trong khoảng này.
Percent (Phần trăm): Phần trăm gói tin trong khoảng này, theo số lượng.
Burst Rate (Tốc độ Bursts): Các bursts gói tin được phát hiện bằng cách đếm số
lượng gói tin trong một khoảng thời gian nhất định và so sánh số lượng đó với
các khoảng thời gian trong một cửa sổ thời gian. Thống kê cho khoảng thời gian
có số lượng gói tin tối đa được hiển thị. Theo mặc định, bursts được phát hiện
trong các khoảng 5 mili giây và các khoảng thời gian được so sánh trong các
cửa sổ 100 mili giây.
Burst Start (Thời điểm Bắt đầu Burst): Thời gian bắt đầu, tính bằng giây từ đầu
bản ghi, cho khoảng thời gian có số lượng gói tin tối đa.
I/O Graphs
Cửa sổ "I/O Graphs" cho phép bạn vẽ biểu đồ dữ liệu gói tin và giao thức theo
nhiều cách khác nhau. Cửa sổ này chứa một khu vực vẽ biểu đồ cùng với danh
sách biểu đồ có thể tùy chỉnh. Các biểu đồ được lưu trong hồ sơ hiện tại của bạn
và được chia thành các khoảng thời gian, có thể được thiết lập như mô tả dưới
đây. Di chuyển chuột qua biểu đồ sẽ hiển thị gói tin cuối cùng trong mỗi khoảng
thời gian, ngoại trừ những trường hợp đặc biệt được mô tả dưới đây. Nhấp vào
biểu đồ sẽ chuyển bạn đến gói tin liên quan trong danh sách gói tin. Các biểu đồ
cá nhân có thể được cấu hình bằng cách sử dụng các tùy chọn sau:
Enabled (Đã kích hoạt): Bật hoặc tắt việc vẽ biểu đồ này.
Graph Name (Tên biểu đồ): Tên của biểu đồ này.
Display Filter (Bộ lọc hiển thị): Giới hạn biểu đồ cho các gói tin phù hợp với bộ
lọc này.
Color (Màu sắc): Màu sắc được sử dụng để vẽ các đường, thanh hoặc điểm của
biểu đồ.
Style (Kiểu): Cách biểu diễn trực quan dữ liệu của biểu đồ, ví dụ: vẽ đường,
thanh, hình tròn, dấu cộng, v.v.
Y Axis (Trục Y): Giá trị được sử dụng cho trục Y của biểu đồ. Có thể là một
trong các loại sau:
Packets, Bytes hoặc Bits: Tổng số gói tin, byte gói tin hoặc bit gói tin phù
hợp với bộ lọc hiển thị của biểu đồ cho mỗi khoảng thời gian. Giá trị 0 được bỏ
qua trong một số trường hợp.
SUM(Y Field): Tổng giá trị của trường được chỉ định trong "Y Field" cho
mỗi khoảng thời gian.
COUNT FRAMES(Y Field): Số lượng frames chứa trường được chỉ định
trong "Y Field" cho mỗi khoảng thời gian.
COUNT FIELDS(Y Field): Số lượng trường được chỉ định trong "Y Field"
cho mỗi khoảng thời gian.
MAX(Y Field), MIN(Y Field), AVG(Y Field): Các giá trị tối đa, tối thiểu
và trung bình của trường được chỉ định trong "Y Field" cho mỗi khoảng thời
gian.
 LOAD(Y Field): Nếu "Y Field" là giá trị thời gian tương đối, đây là tổng
của các giá trị "Y Field" chia cho thời gian khoảng. Điều này có thể hữu ích để
theo dõi thời gian phản hồi.
Y Field (Trường Y): Trường bộ lọc hiển thị từ đó để trích xuất giá trị cho các
tính toán trục Y được liệt kê ở trên.
SMA Period (Kỳ vọng trung bình động): Hiển thị một giá trị trung bình của giá
trị qua một khoảng thời gian cụ thể.
Biểu đồ toàn bộ có thể được cấu hình bằng cách sử dụng các điều khiển dưới
danh sách biểu đồ:
+: Thêm một biểu đồ mới.
-: Xóa biểu đồ đã chọn.
Copy (Sao chép): Sao chép biểu đồ đã chọn.
Clear (Xóa): Xóa tất cả biểu đồ.
Mouse drags / zooms (Kéo / thu phóng chuột): Khi sử dụng chuột bên
trong khu vực biểu đồ, bạn có thể kéo nội dung biểu đồ hoặc chọn khu vực thu
phóng.
Interval (Khoảng): Đặt khoảng thời gian cho biểu đồ.
Time of day (Thời gian của ngày): Chuyển đổi giữa hiển thị thời gian tuyệt
đối trong ngày hoặc thời gian tương đối từ thời điểm bắt đầu bản ghi trên trục
X.
Log scale (Tỷ lệ log): Chuyển đổi giữa trục Y có tỷ lệ logarithmic hoặc
tuyến tính.
Automatic updates (Cập nhật tự động): Vẽ lại mỗi biểu đồ tự động.
Enable legend (Bật huy hiệu): Hiển thị huy hiệu cho các biểu đồ có nhiều
loại trục Y.
Service Response Time
Thời gian phản hồi dịch vụ là thời gian giữa một yêu cầu và phản hồi tương
ứng. Thông tin này có sẵn cho nhiều giao thức, bao gồm các giao thức: AFP,
CAMEL, DCE-RPC, Diameter, Fibre Channel, GTP, H.225 RAS, LDAP,
MEGACO, MGCP, NCP, ONC-RPC, RADIUS, SCSI, SMB, SMB2, SNMP.
DHCP (BOOTP) Statistics
Thống kê DHCP (BOOTP) hiển thị một bảng về số lần xuất hiện của một loại
thông điệp DHCP cụ thể. Người dùng có thể lọc, sao chép hoặc lưu dữ liệu vào
một tệp tin.
NetPerfMeter Statistics
Với thống kê NetPerfMeter Protocol (NPMP), có thể:
Quan sát số lượng tin nhắn và byte cho mỗi loại tin nhắn.
Xem tỷ lệ phần trăm của tin nhắn và byte cho mỗi loại tin nhắn.
Xem lần xuất hiện đầu tiên và cuối cùng của mỗi loại tin nhắn.
Xem khoảng thời gian giữa lần xuất hiện đầu tiên và cuối cùng của mỗi
loại tin nhắn (nếu có ít nhất 2 tin nhắn của loại tương ứng).
Xem tỷ lệ tin nhắn và byte trong khoảng thời gian đó cho mỗi loại tin nhắn
(nếu có ít nhất 2 tin nhắn của loại tương ứng).
ONC-RPC Programs
Giao thức Remote Procedure Call (RPC) của Open Network Computing (ONC)
sử dụng các giao thức TCP hoặc UDP để ánh xạ một số chương trình vào một
cổng cụ thể trên máy từ xa và gọi một dịch vụ cần thiết tại cổng đó. Cửa sổ
ONC-RPC Programs hiển thị mô tả cho các cuộc gọi chương trình đã được
chụp, chẳng hạn như tên chương trình, số của nó, phiên bản và dữ liệu khác.
Nút này giúp theo dõi và phân tích các chương trình ONC-RPC đã được ghi lại.
29West
Nút "29West" trong menu "Statistics" cung cấp thông tin và thống kê liên quan
đến công nghệ Ultra-Low Latency Messaging (ULLM), trước đây được biết đến
dưới tên gọi "29West".
Topics Submenu:
Advertisement by Topic: Thông kê về quảng cáo theo chủ đề.
Advertisement by Source: Thống kê về quảng cáo theo nguồn.
Advertisement by Transport: Thống kê về quảng cáo theo phương tiện
truyền tải.
Queries by Topic: Thống kê về các truy vấn theo chủ đề.
Queries by Receiver: Thống kê về các truy vấn theo bộ thu.
Wildcard Queries by Pattern: Các truy vấn dấu * theo mẫu.
 Wildcard Queries by Receiver: Các truy vấn dấu * theo bộ thu.
Queues Submenu:
Advertisement by Queue: Thống kê về quảng cáo theo hàng đợi.
Advertisement by Source: Thống kê về quảng cáo theo nguồn.
Queries by Queue: Thống kê về các truy vấn theo hàng đợi.
Queries by Receiver: Thống kê về các truy vấn theo bộ thu.
UIM Submenu:
Streams: Mỗi luồng được cung cấp thông tin về Endpoints, Messages,
Bytes và các thống kê về Khung Đầu Tiên và Khung Cuối Cùng.
LBT-RM Submenu:
LBT-RM Transport Statistics: Hiển thị số thứ tự của nguồn và bộ thu cho
dữ liệu truyền tải và các dữ liệu khác.
LBT-RU Submenu:
LBT-Ru Transport Statistics: Hiển thị số thứ tự của nguồn và bộ thu cho
dữ liệu truyền tải và các dữ liệu khác.
ANCP
Nút "ANCP" trong Wireshark cung cấp khả năng phân tích và hiển thị dữ liệu
thống kê liên quan đến Access Node Control Protocol (ANCP). Giao thức này
hoạt động giữa một Access Node và Network Access Server và sử dụng giao
thức dựa trên TCP. Wireshark hỗ trợ các loại thông điệp ANCP sau:
Adjacency Message: Thông điệp liên quan đến kết nối giữa các điểm gần nhau
trong mạng.
Topology Discovery Extensions:
Port-Up and Port-Down Messages: Thông điệp liên quan đến việc phát
hiện và quản lý cổng mạng.
Operation And Maintenance (OAM) Extension:
Port Management Message: Thông điệp quản lý cổng mạng trong kịch bản
vận hành và bảo trì.
BACnet
Nút "BACnet" trong Wireshark cung cấp khả năng phân tích và hiển thị dữ liệu
thống kê liên quan đến giao thức Building Automation and Control Networks
(BACnet). BACnet là một giao thức truyền thông được sử dụng để điều khiển
các thiết bị trong các hệ thống tự động hóa và kiểm soát trong các tòa nhà.
Các tính năng chính của cửa sổ thống kê BACnet bao gồm:
Packet Counter: Số lượng gói tin BACnet được bắt được và ghi lại.
Sắp xếp gói tin: Có thể sắp xếp các gói tin theo các thuộc tính như Instance
ID, địa chỉ IP, loại đối tượng hoặc dịch vụ.