本节将探讨在Windows下安装Wireshark二进制包。
您获得的Wireshark二进制安装包可能名称类似Wireshark-setup-x.y.z.exe.
Wireshark安装包包含WinPcap,所以您不需要单独下载安装它。
您只需要在http://www.wireshark.org/download.html#releases下载Wireshark安装包并执行它即可。除了普通的安装之外,还有几个组件供挑选安装。
![[]](wsug_graphics/Tip.png) | 提示:尽量保持默认设置 |
|---|---|
如果您不了解设置的作用的话。 |
选择组件[11]
Wireshark(包括GTK1和GTK2接口无法同时安装):
如果您使用GTK2的GUI界面遇到问题可以尝试GTK1,在Windows下256色(8bit)显示模式无法运行GTK2.但是某些高级分析统计功能在GTK1下可能无法实现。
Wireshark GTK1-Wireshark 是一个GUI网络分析工具
Wireshark GTK2-Wireshark 是一个GUI网络分析工具(建议使用GTK2 GUI模组工具)
GTK-Wimp-GTKWimp是诗歌GTK2窗口模拟(看起来感觉像原生windows32程序,推荐使用)
TSshark-TShark 是一个命令行的网络分析工具
插件/扩展(Wireshark,TShark分析引擎):
Dissector Plugins-分析插件:带有扩展分析的插件
Tree Statistics Plugins-树状统计插件:统计工具扩展
Mate - Meta Analysis and Tracing Engine (experimental):可配置的显示过滤引擎,参考http://wiki.wireshark.org/Mate.
SNMP MIBs: SNMP,MIBS的详细分析。
Tools/工具(处理捕捉文件的附加命令行工具
User’s Guide-用户手册-本地安装的用户手册。如果不安装用户手册,帮助菜单的大部分按钮的结果可能就是访问internet.
- Editcap - Editcap is a program that reads a capture file and writes some or all of the packets into another capture file. /Editcap是一个读取捕捉文件的程序,还可以将一个捕捉文件力的部分或所有信息写入另一个捕捉文件。(文件合并or插入?)
Text2Pcap - Text2pcap is a program that reads in an ASCII hex dump and writes the data into a libpcap-style capture file./Tex2pcap是一个读取ASCII hex,写入数据到libpcap个文件的程序。
Mergecap - Mergecap is a program that combines multiple saved capture files into a single output file. / Mergecap是一个可以将多个播捉文件合并为一个的程序。
Capinfos - Capinfos is a program that provides information on capture files. /Capinfos是一个显示捕捉文件信息的程序。
Start Menu Shortcuts-开始菜单快捷方式-增加一些快捷方式到开始菜单
Desktop Icon-桌面图标-增加Wireshark图标到桌面
Quick Launch Icon-快速启动图标-增加一个Wireshark图标到快速启动工具栏
Associate file extensions to Wireshark-Wireshark文件关联-将捕捉包默认打开方式关联到Wireshark
Wireshark安装包里包含了最新版的WinPcap安装包。
如果您没有安装WinPcap 。您将无法捕捉网络流量。但是您还是可以打开以保存的捕捉包文件。
Currently installed WinPcap version-当前安装的WinPcap版本
Install WinPcap x.x -如果当前安装的版本低于Wireshark自带的,该选项将会是默认值。
Start WinPcap service "NPF" at startup -将WinPcap的服务NPF在启动时运行-这样其它非管理员用户就同样可以捕捉包了。
更多关于WinPcap的信息:
Wireshark 相关http://wiki.wireshark.org/WinPcap
WinPcap官方网站:http://www.winpcap.org
您可以直接在命令行运行安装包,不加任何参数,这样会显示常用的参数以供交互安装。 在个别应用中,可以选择一些参数定制安装:
/NCRC 禁止CRC校检
/S 静默模式安装或卸载Wireshark.注意:静默模式安装时不会安装WinPcap!
/desktopicon 安装桌面图标,/desktopicon=yes表示安装图标,反之则不是,适合静默模式。
/quicklaunchicon 将图标安装到快速启动工具栏,=yes-安装到工具栏,=no-不安装,不填按默认设置。
/D 设置默认安装目录(
$INSTDIR),首选安装目录和安装目录注册表键值,该选项必须设置到最后。即使路径包含空格
例 2.5.
wireshark-setup-0.99.5.exe /NCRC /S /desktopicon=yes /quicklaunchicon=no /D=C:\Program Files\Foo
![[]](wsug_graphics/Note.png) | 注意 |
|---|---|
事先声明,Wireshark安装时会谨慎对待WinPcap的安装,所以您通常不必担心WinPcap。 |
下面的WinPcap仅适合您需要尝试未包括在Wireshark内的不同版本WinPcap。例如一个新版本的WinPcap发布了,您需要安装它。
单独的WinPcap版本(包括alpha or beta版)可以在下面地址下载到
WinPcap官方网站:http://www.winpcap.org
Wiretapped.net 镜像站点: http://www.mirrors.wiretapped.net/security/packet-capture/winpcap
在下载页面您将会发现WinPcap的安装包名称通常类似于”auto-installer”。它们可以在NT4.0/2000/XP/vista下安装。
有时候您可能想将您的WinPcap更新到最新版本,如果您订阅了Wireshark通知邮件,您将会获得Wireshark新版本发布的通知,见第 1.6.4 节 “邮件列表”
。新版诞生通常需要8-12周。更新Wireshark就是安装一下新版本。下载并安装它就可以。更新通常不需要重新启动,也不会更改过去的默认设置
WinPcap的更新不是十分频繁,通常一年左右。新版本出现的时候您会收到WinPcap的通知。更新WinPcap后需要重新启动。
![[]](wsug_graphics/Warning.png) | 警告 |
|---|---|
| 在安装新版WinPcap之前,如果您已经安装了旧版WinPcap,您必须先卸载它。最近版本的WinPcap安装时会自己卸载旧版。 |
你可以用常见方式卸载Wireshark,使用添加/删除程序,选择”Wireshark”选项开始卸载即可。
Wireshark卸载过程中会提供一些选项供您选择卸载哪些部分,默认是卸载核心组件,但保留个人设置和WinPcap.
WinPcap默认不会被卸载,因为其他类似Wireshark的程序有可能同样适用WinPcap
你可以单独卸载WinPcap,在添加/删除程序选择”WinPcap”卸载它。
| 注意 |
|---|---|
| 卸载WinPcap之后您将不能使用Wireshark捕捉包。 |
在卸载完成之后最好重新启动计算机。