1． 文件（File），主要功能为保存、导出、条件导出等。

wireshark文件功能

主要来看一下：导出特定包（Export Specified packets）

wireshark导出特定包

1.1 压缩（compress）抓到数据包过大，先进行压缩再保存。

1.2 Captured/Displayed 抓取到的数据包或者展示出来的数据包进行保存。例如过滤tcp后，display的数量仅为TCP包：

display数量

1.3 选择的数据包（Selected），按住shift选择40-45,6个数据包，并选择selected packet导出保存为selected.pcapng

导出dispaly数据包

导出select数据包

打开重新保存的selected.pcapng，如下图

查看select导出数据包

1.4 标记（Marked Packets），现在抓到数据包标记8,18这2个报文，并且选择Marked Packets并且保存为mark.pcapng,如下图：

导出标记主数据

标记数据包

打开mark.pcapng，可以看到，只有我们mark的2个数据包。

查看导出的标记数据包

1.5 首位标记间数据包（first to last marked packets），同样使用之前标记的8,18数据包，选择firest to last marked，保存为F-L.pcapng,

导出标记间的数据包

打开F-L.pcapng，可以看到内容为8-18之间的11个数据报文，

查看导出的标记间数据包

1.6 范围内（Rang）数据包，例如选择6-8的3个报文，并保存为rang.pcapng，

导出No范围内数据包

Rang.pcapng数据包内为之前6-8的3个报文，如下图

查看导出的No间的数据包

1.7 移除（remove），首先ignore 1425-1524之间的100条报文，选择remove，保存为remove.pcap，

忽略数据包

查看导出的忽略数据包

打开remove.pcapng,会发现一共有1424个数据报文（比原报文少了100条），

查看导出前数据包数量

查看忽略数据包后，导出的数据包数量

2 视图（View），wireshark各个界面的展示参数设置。

wireshark view工具栏

2.1 主界面/过滤规则/状态栏，分别对应以下工具栏：

Tools Bars

2.2 报文列表/报文结构/报文详情，如下图

Packet 展示

2.3 时间格式化

格式化时间

时间format默认使用的scends since beginning of capture，也就是基于抓包开始的相对时间，也是系统默认的格式化方式。

上图截图，我选择了自上个数据包的相对时间，在基于上下数据包有相关性的环境下，比如tcp的交互，使用这种格式化方式，能清晰的看到每次交互的时间差，以此来定位故障。例如通过过滤tcp以及某个与抓包主机有tcp连接的，查看每次交互的时间间隔，来判断抖动、延时等，

基于数据包的相对时间

2.4 名称解析，对应是否要展示L2-L3的名称解析：

名称解析

2.5 配色方案，展示不同协议的颜色展示，可以通过自定义某些关注的协议，进行个性化的配置。点击View-Coloering Rules添加一条方案，例如添加mDNS，

自定义颜色

自定义颜色展示