4、安装Wireshark

　　Wireshark可以在http：//www.wireshark.org/download.html上下载，该软件有极其方便和友好的图形用户界面，并且能够使得用户通过图形界面的配置和选择，针对多块网卡、多个协议进行显示，效果非常好。目前最新版本为：Wireshark 1.0.3。安装该软件请按照如下步骤进行：

　　另外，同Tcpdump一样，在编译Ethereal之前应先确定已经安装pcap库（libpcap），这是编译Wireshark时所必需的。如果该库已经安装，就可以执行下面的命令来编译并安装Wireshark：

　　当编译并安装好Wireshark后，就可以执行“wireshark”命令来启动Wireshark。

　　5、使用Wireshark

　　（1）捕包选项

　　抓包是进行协议分析的第一步骤，在Wireshark中，有几个抓包的相关选项需要尤其注意（如图1和2所示）：

　　◆Interface：指定在哪个接口（网卡）上抓包。一般情况下都是单网卡，所以使用缺省的就可以了Limit each  packet： 限制每个包的大小，缺省情况不限制。

　　◆Capture packets in promiscuous  mode：确定是否打开混杂模式。如果打开，抓取所有的数据包。一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。

　　◆Filter：过滤器。只抓取满足过滤规则的包。

　　◆File：如果需要将抓到的包写到文件中，在这里输入文件名称。use ring buffer：是否使用循环缓冲。缺省情况下不使用，即一直抓包。值得注意的是：循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲，还需要设置文件的数目，文件多大时回卷。其他的项选择缺省的就可以了。

图1  Wireshark的捕包界面

图2  Wireshark捕包选项设置示意图