计算机网络课程设计PDU及网络数据流分析

1、计算机网络课程设计课程设计题目:_ pdu及网络数据流分析_指导老师: _ _ 设计人员（学号）: 班级: _ 10软件工程一班 日期: 2012-06-18 计算机科学与技术系目录第一章 pdu的概况4第二章 osi参考模型42.1.osi参考模型概念42.2. 各层模型的功能52.3 osi环境中数据传输过程52.4. tcp/ip参考模型62.4.1. tcp/ip协议的特点62.4.2. tcp/ip各层的主要功能7第三章 wireshark用户界面193.1.须知193.2.启动wireshark193.3.主窗口193.3.1.主窗口概述213.4.主菜单213.5.file菜单2

2、23.6.edit菜单253.7.view菜单273.8.go菜单313.9.capture菜单323.10.analyze菜单343.11.statistics菜单353.12.help菜单373.13.main工具栏383.14.filter工具栏403.15.pcaket list面板413.16.packet details面板423.17.packet byte面板433.18.状态栏44第四章 实时捕捉数据包454.1.介绍454.2.准备工作454.3.开始捕捉454.4.捕捉接口对话框464.5.捕捉选项对话框474.5.1.捕捉桢484.5.2.捉数据帧为文件。504.5.3

3、.停止捕捉桢504.5.4.显示桢选项514.5.5.名称解析设置514.5.6.按钮514.6.捕捉文件格式、模式设置524.7.链路层包头类型534.8.捕捉时过滤544.8.1.自动过滤远程通信554.9.在捕捉过程中564.9.1.停止捕捉574.9.2.重新启动捕捉574.10.抓包实例58第5章文件输入输出及打印675.1.说明675.2.打开捕捉文件675.2.1.打开捕捉文件对话框685.2.2.输入文件格式705.3.保存捕捉包715.3.1.save capture file as/保存文件为对话框715.3.2.输出格式745.4.合并捕捉文件745.4.1.合并文件对话

4、框745.5.文件集合765.5.1.文件列表对话框775.6.导出数据785.6.1.export as plain text file对话框785.6.2.export as postscript file 对话框795.6.3.export as csv (comma separated values) file 对话框805.6.4.export as psml file 对话框805.6.5.export as pdml file 对话框815.6.6.export selected packet bytes 对话框825.6.7.export objects 对话框835.7.打印

5、包845.7.1.打印 对话框845.8.包范围选项865.9.包格式选项87第六章 封装与解封装的目的与意义88第七章 arp概念及工作原理897.1. arp概念897.2. arp工作原理90第八章 遭受到arp攻击的解决办法908.1.arp攻击原理及常见类型908.1.1. arp攻击原理908.1.2. 遭到arp攻击的现象918.2. 模拟arp攻击91第一章 pdu的概况pdu即协议数据单元，是指对等层之间传递的数据单位。协议数据单元物理层的pdu是数据位，数据位是利用调制解调器在线路上传输数据时，每传送一组数据，都要含有相应的控制数据，包括开始发送数据，结束数据，而这组数据中

6、最重要的是数据位。不同的通讯环境下，一般规定不同的数据位和结束位数量。数据链路层 数据链路层的pdu是数据帧，数据帧分为帧头，数据部分，帧尾。其中，帧头和帧尾包含一些必要得控制信息，比如同步信息、地址信息、差错控制信息等；数据部分则包含网络层传下来的数据，比如ip数据报。 在发送端，数据链路层把网络层传下来得数据封装成帧，然后发送到链路上去；在接收端，数据链路层把收到的帧中的数据取出并交给网络层。不同的数据链路层协议对应着不同的帧，所以，帧有多种，比如ppp帧、mac帧等，其具体格式也不尽相同。网络层的数据单位是数据包，数据包功能即时网络层信息传输中的通信单位传输层的数据单位是数据段，数据段第

7、二章 osi参考模型2.1.osi参考模型概念 osi中的开放是指只要遵循osi标准，一个系统就可以与位于世界上的任何地方，同样遵循同一标准的其他任何系统进行通信。在osi标准中，采用的是3级抽象：体系结构，服务定义与协议规范。 osi参考模型定义了开放系统的层次结构，层次之间的相互关系，以及各层次包括的可能的服务。 osi的服务定义详细说明了各层所提供的服务，某一层提供的服务是指该层及以下各层的一种能力，这种服务通过接口来提供给更高一层。各层所提供的服务与这些服务的具体实现无关同时还定义了层与层之间的接口与各层使用的原语，暗示并不涉及接口的具体实现方法。osi参考模型并不是一个标准，而是一个

8、在制定标准时使用时的概念性的框架。2.2. 各层模型的功能 osi是分层体系结构的一个事例，每层是一个模块，用于执行某种主要功能，并且具有自己的一套通信信息指令格式。用于相同层之间通信的协议称为对等协议，根据分而治之的原则，iso将整个通信功能划分为7个层次，其划分层次的主要原则是：（1） 网中各节点都具有相同的层次（2） 不同节点的同等层次具有相同的功能（3） 同一节点内相邻层之间通过接口通信（4） 每层可以使用下层提供的服，并向上层提供服务（5） 不同节点的同等层通过协议来实现同等层之间的通信2.3 osi环境中数据传输过程 图2-4给出了osi 环境中数据流。从图2-4中可以看出，osi

9、 环境中数据传输过程包括以下几步。（1） 当应用进程a 的数据传送到应用层时，应用层为数据加上本层控制报头后，组织成应用层的数据服务单元，然后再传输到表示层。（2） 表示层接收到这个数据单元后，加上本层的控制报头，组成表示层的数据服务单元，再传送到会话层。依此类推，数据传送到传输层。（3） 传输层接收到这个数据单元后，加上本层的控制报头，就构成了传输层的数据服务单元，它被称为报文（message）。（4） 传输层的报文传送到网络层时，由于网络层数据单元的长度有限制，传输层报文将被分成多个较短的数据字段，加上网络层的控制报头，就构成网络层的数据服务单元，它被称为分组（packet）。（5） 网络

10、层的分组传送到数据链路层时，加上数据链路层的控制信息，就构成了网络层的数据服务单元，它被称为帧（frame）。（6） 数据链路层的帧传送到物理层后，物理层将以比特流的方式通过传输介质传输出去。当比特流到达目的结点计算机b 时，再从物理层依层上传，每层对各层的控制报表进行处理，将用户数据上交高层，最终将进程a 的数据送给计算机b的进程b。尽管应用进程a 的数据在osi 环境中经过复杂的处理过程，才能送到另一台计算机的应用进程b ，但对于每台计算机的应用进程来说，osi 环境中数据流的复杂处理过程是透明的。应用进程a 的数据好像是“直接”传送给应用进程b ，这就是开放系统在网络通信过程中最本质的作

11、用。2.4. tcp/ip参考模型 2.4.1. tcp/ip协议的特点 tcp/ip协议族包含了很多功能各异的子协议。tcp/ip层次模型共分为四层：应用层、传输层、网络层、数据链路层。 tcp/ip网络协议 tcp/ip(transmission control protocol/internet protocol，传输控制协议/网间网协议)是目前世界上应用最为广泛的协议，它的流行与internet的迅猛发展密切相关tcp/ip最初是为互联网的原型arpanet所设计的，目的是提供一整套方便实用、能应用于多种网络上的协议，事实证明tcp/ip做到了这一点，它使网络互联变得容易起来，并且使越

12、来越多的网络加入其中，成为internet的事实标准。 * 应用层应用层是所有用户所面向的应用程序的统称。icp/ip协议族在这一层面有着很多协议来支持不同的应用，许多大家所熟悉的基于internet的应用的实现就离不开这些协议。如我们进行万维网（www）访问用到了http协议、文件传输用ftp协议、电子邮件发送用smtp、域名的解析用dns协议、 远程登录用telnet协议等等，都是属于tcp/ip应用层的；就用户而言，看到的是由一个个软件所构筑的大多为图形化的操作界面，而实际后台运行的便是上述协议。 * 传输层这一层的的功能主要是提供应用程序间的通信，tcp/ip协议族在这一层的协议有tc

13、p和udp。 * 网络层是tcp/ip协议族中非常关键的一层，主要定义了ip地址格式，从而能够使得不同应用类型的数据在internet上通畅地传输，ip协议就是一个网络层协议。 * 网络接口层这是tcp/ip软件的最低层，负责接收ip数据包并通过网络发送之，或者从网络上接收物理帧，抽出ip数据报，交给ip层。 tcp/udp协议 tcp (transmission control protocol)和udp(user datagram protocol)协议属于传输层协议。其中tcp提供ip环境下的数据可靠传输，它提供的服务包括数据流传送、可靠性、有效流控、全双工操作和多路复用。通过面向连接、

14、端到端和可靠的数据包发送。通俗说，它是事先为所发送的数据开辟出连接好的通道，然后再进行数据发送；而udp则不为ip提供可靠性、流控或差错恢复功能。一般来说，tcp对应的是可靠性要求高的应用，而udp对应的则是可靠性要求低、传输经济的应用。tcp支持的应用协议主要有：telnet、ftp、smtp等；udp支持的应用层协议主要有：nfs（网络文件系统）、snmp（简单网络管理协议）、dns（主域名称系统）、tftp（通用文件传输协议）等。 2.4.2. tcp/ip各层的主要功能 tcp/ip分层模型的四个协议层分别完成以下的功能：第一层：网络层网络接口层包括用于协作ip数据在已有网络介质上传输

15、的协议。实际上tcp/ip标准并不定义与iso数据链路层和物理层相对应的功能。相反，它定义像地址解析协议(address resolution protocol,arp)这样的协议，提供tcp/ip协议的数据结构和实际物理硬件之间的接口。第二层：互联层网间层对应于osi七层参考模型的网络层。本层包含ip协议、rip协议(routing information protocol，路由信息协议)，负责数据的包装、寻址和路由。同时还包含网间控制报文协议(internet control message protocol,icmp)用来提供网络诊断信息。第三层：传输层传输层对应于osi七层参考模型的传

16、输层，它提供两种端到端的通信服务。其中tcp协议(transmission control protocol)提供可靠的数据流运输服务，udp协议(use datagram protocol)提供不可靠的用户数据报服务。第四层：应用层应用层对应于osi七层参考模型的应用层和表达层。因特网的应用层协议包括finger、whois、ftp(文件传输协议)、gopher、http(超文本传输协议)、telent(远程终端协议)、smtp(简单邮件传送协议)、irc(因特网中继会话)、nntp（网络新闻传输协议）等。tcp数据包格式(zz) 修改浏览权限 | 删除 tcp提供一种面向连接的、全双工的、

17、可靠的字节流服务。在一个tcp连接中，仅有两方进行彼此通信。广播和多播不能用于tcp。tcp的接收端必须丢弃重复的数据。tcp对字节流的内容不作任何解释。对字节流的解释由tcp连接双方的应用层解释。tcp通过下列方式来提供可靠性：应用数据被分割成tcp认为最适合发送的数据块，称为报文段或段。tcp协议中采用自适应的超时及重传策略。tcp可以对收到的数据进行重新排序，将收到的数据以正确的顺序交给应用层。tcp的接收端必须丢弃重复的数据。tcp还能提供流量控制。tcp报文段格式源端口和目的端口字段各占2字节。端口是传输层与应用层的服务接口。传输层的复用和分用功能都要通过端口才能实现。序号字段占4字

18、节。tcp连接中传送的数据流中的每一个字节都编上一个序号。序号字段的值则指的是本报文段所发送的数据的第一个字节的序号。确认号字段占4字节，是期望收到对方的下一个报文段的数据的第一个字节的序号。数据偏移占4bit，它指出tcp报文段的数据起始处距离 cp报文段的起始处有多远。“数据偏移”的单位不是字节而是32bit字（4字节为计算单位）。保留字段占6bit，保留为今后使用，但目前应置为0。紧急比特urg当urg1时，表明紧急指针字段有效。它告诉系统此报文段中有紧急数据，应尽快传送(相当于高优先级的数据)。确认比特ack只有当ack1时确认号字段才有效。当ack0时，确认号无效。复位比特rst(r

19、eset) 当rst1时，表明tcp连接中出现严重差错（如由于主机崩溃或其他原因），必须释放连接，然后再重新建立运输连接。同步比特syn同步比特syn置为1，就表示这是一个连接请求或连接接受报文。终止比特fin(final)用来释放一个连接。当fin1时，表明此报文段的发送端的数据已发送完毕，并要求释放运输连接。窗口字段占2字节。窗口字段用来控制对方发送的数据量，单位为字节。tcp连接的一端根据设置的缓存空间大小确定自己的接收窗口大小，然后通知对方以确定对方的发送窗口的上限。检验和占2字节。检验和字段检验的范围包括首部和数据这两部分。在计算检验和时，要在tcp报文段的前面加上12字节的伪首部。

20、紧急指针字段占16bit。紧急指针指出在本报文段中的紧急数据的最后一个字节的序号。选项字段长度可变。tcp首部可以有多达40字节的可选信息，用于把附加信息传递给终点，或用来对齐其它选项。填充字段这是为了使整个首部长度是4字节的整数倍。tcp首部的主要选项：最大报文段长度mss(maximum segment size)是tcp报文段中的数据字段的最大长度。mss告诉对方tcp：“我的缓存所能接收的报文段的数据字段的最大长度是mss个字节。”窗口扩大因子，用于长肥管道。时间戳，可用于测量往返时延rtt。 tcp的数据编号与确认tcp协议是面向字节的。tcp将所要传送的报文看成是字节组成的数据流，

21、并使每一个字节对应于一个序号。在连接建立时，双方要商定初始序号。tcp每次发送的报文段的首部中的序号字段数值表示该报文段中的数据部分的第一个字节的序号。tcp的确认是对接收到的数据的最高序号表示确认。接收端返回的确认号是已收到的数据的最高序号加1。因此确认号表示接收端期望下次收到的数据中的第一个数据字节的序号。为提高效率，tcp可以累积确认，即在接收多个报文段后，一次确认。一、tcp的流量控制tcp采用大小可变的滑动窗口进行流量控制。窗口大小的单位是字节。tcp报文段首部的窗口字段写入的数值就是当前给对方设置的发送窗口数值的上限。发送窗口在连接建立时由双方商定。但在通信的过程中，接收端可根据自

22、己的资源情况，随时动态地调整对方的发送窗口上限值(可增大或减小)。发送端要发送900字节长的数据，划分为9个100字节长的报文段，而发送窗口确定为500字节。发送端只要收到了对方的确认，发送窗口就可前移。发送tcp要维护一个指针。每发送一个报文段，指针就向前移动一个报文段的距离。发送端已发送400字节的数据，但只收到对前200字节数据的确认，同时窗口大小不变。现在发送端还可发送300字节。发送端收到对方对前400字节数据的确认，但对方通知发送端必须把窗口减小到400字节。现在发送端最多还可发送400字节的数据。利用可变窗口大小进行流量控制 双方确定的窗口值是400二、慢启动和拥塞避免发送端的主

23、机在确定发送报文段的速率时，既要根据接收端的接收能力，又要从全局考虑不要使网络发生拥塞。因此，每一个tcp连接需要有以下两个状态变量：接收端窗口rwnd(receiver window) 又称为通知窗口(advertised window)。拥塞窗口cwnd(congestion window)。接收端窗口rwnd和拥塞窗口cwnd接收窗口rwnd 这是接收端根据其目前的接收缓存大小所许诺的最新的窗口值，是来自接收端的流量控制。接收端将此窗口值放在tcp报文的首部中的窗口字段，传送给发送端。拥塞窗口cwnd(congestion window) 是发送端根据自己估计的网络拥塞程度而设置的窗口值

24、，是来自发送端的流量控制。发送窗口的上限值发送端的发送窗口的上限值应当取为接收端窗口rwnd和拥塞窗口cwnd这两个变量中较小的一个，即应按以下公式确定：发送窗口的上限值minrwnd,cwnd当 rwnd cwnd 时，是接收端的接收能力限制发送窗口的最大值。当 cwnd rwnd 时，则是网络的拥塞限制发送窗口的最大值。慢启动算法的原理在刚开始发送时，可先将拥塞窗口cwnd设置为一个最大报文段mss的数值。在每收到一个对新的报文段的确认后，将拥塞窗口增加至2倍mss的数值。用这样的方法逐步增大发送端的拥塞窗口cwnd，可以使分组注入到网络的速率更加合理。慢启动和拥塞避免算法的实现举例当tc

25、p连接进行初始化时，将拥塞窗口置为1。图中的窗口单位不使用字节而使用报文段。慢启动门限的初始值设置为 16 个报文段，即ssthresh = 16。发送端的发送窗口不能超过拥塞窗口cwnd和接收端窗口rwnd中的最小值。我们假定接收端窗口足够大，因此现在发送窗口的数值等于拥塞窗口的数值。在执行慢启动算法时，拥塞窗口cwnd 的初始值为1，发送第一个报文段m0。发送端收到ack1（确认m0，期望收到m1）后，将cwnd从1增大到2，于是发送端可以接着发送m1和m2两个报文段。接收端发回ack2和ack3。发送端每收到一个对新报文段的确认ack，就把发送端的拥塞窗口加倍。现在发送端的cwnd从2增

26、大到4，并可发送m4m6共 4个报文段。发送端每收到一个对新报文段的确认ack，就把发送端的拥塞窗口加倍，因此拥塞窗口cwnd随着传输次数按指数规律增长。当拥塞窗口cwnd增长到慢开始门限值ssthresh时（即当cwnd = 16时），就改为执行拥塞避免算法，拥塞窗口按线性规律增长。假定拥塞窗口的数值增长到24时，网络出现超时（表明网络拥塞了）。更新后的ssthresh值变为12（即发送窗口数值24的一半），拥塞窗口再重新设置为1，并执行慢启动算法。当cwnd = 12时改为执行拥塞避免算法，拥塞窗口按按线性规律增长，每经过一个往返时延就增加一个mss的大小。乘法减小(multiplicat

27、ive decrease)“乘法减小“是指不论在慢启动阶段还是拥塞避免阶段，只要出现一次超时（即出现一次网络拥塞），就把慢启动门限值 ssthresh 设置为当前的拥塞窗口值乘以0.5。当网络频繁出现拥塞时，ssthresh值就下降得很快，以大大减少注入到网络中的分组数。加法增大(additive increase)“加法增大”是指执行拥塞避免算法后，当收到对所有报文段的确认就将拥塞窗口cwnd增加一个mss大小，使拥塞窗口缓慢增大，以防止网络过早出现拥塞。进入拥塞避免算法后，拥塞窗口的增大速度由指数增长变为线性增长。tcp中默认报文段丢失是由于网络拥塞造成超时而引起的。“拥塞避免”并非指完全

28、能够避免了拥塞。利用以上的措施要完全避免网络拥塞还是不可能的。“拥塞避免”是说在拥塞避免阶段把拥塞窗口控制为按线性规律增长，使网络比较不容易出现拥塞。三、tcp的重传机制重传机制是tcp中最重要和最复杂的问题之一。tcp每发送一个报文段，就对这个报文段设置一次计时器。只要计时器设置的重传时间到但还没有收到确认，就要重传这一报文段。由于tcp的下层是一个互连网环境，ip数据报所选择的路由变化很大。因而传输层的往返时延的方差也很大。往返时延的自适应算法记录每一个报文段发出的时间，以及收到相应的确认报文段的时间。这两个时间之差就是报文段的往返时延。将各个报文段的往返时延样本加权平均，就得出报文段的平

29、均往返时延rtt。每测量到一个新的往返时延样本，就按下式重新计算一次平均往返时延rtt：平均往返时延rtt =a*(旧的rtt)+(1-a)*(新的往返时延样本)在上式中，0=alist files允许您显示文件集合的列表。将会弹出一个对话框显示已打开文件的列表,参见第5.5节 “文件集合”file setnext file如果当前載入文件是文件集合的一部分，将会跳转到下一个文件。如果不是，将会跳转到最后一个文件。这个文件选项将会是灰色。file setprevious files如果当前文件是文件集合 的一部分，将会调到它所在位置的前一个文件。如果不是则跳到文件集合的第一个文件，同时变成灰色

30、。export as “plain text” file这个菜单允许您将捕捉文件中所有的或者部分的包导出为plain ascii text格式。它将会弹出一个wireshark导出对话框,见第5.6.1节 “export as plain text file对话框”export as postscript files将捕捉文件的全部或部分导出为postscrit文件。将会出现导出文件对话框。参见第5.6.2节 “export as postscript file 对话框”export as cvs (comma separated values packet summary)file.导出文件

31、全部或部分摘要为.cvs格式（可用在电子表格中）。将会弹出导出对话框,见第5.6.3节 “export as csv (comma separated values) file 对话框”。export as “psml” file导出文件的全部或部分为psml格式（包摘要标记语言）xml文件。将会弹出导出文件对话框。见第5.6.4节 “export as psml file 对话框”export as pdml file.导出文件的全部或部分为pdml(包摘要标记语言)格式的xml文件。将会弹出一个导出文件对话框,见第5.6.5节 “export as pdml file 对话框”export

32、 selected packet bytes导出当前在packet byte面版选择的字节为二进制文件。将会弹出一个导出对话框。见第5.6.6节 “export selected packet bytes 对话框”printctr+p打印捕捉包的全部或部分，将会弹出打印对话框。见第5.7节 “打印包”quit ctrl+q退出wireshark,如果未保存文件，wireshark会提示是否保存。3.6.edit菜单wireshark的edit菜单包含的项目见表3.3 “edit菜单项”图3.4.edit菜单表3.3.edit菜单项菜单项快捷键描述copyas filtershift+ctrl+

33、c使用详情面版选择的数据作为显示过滤。显示过滤将会拷贝到剪贴板。find packet.ctr+f打开一个对话框用来通过限制来查找包，见?find nextctrl+n在使用find packet以后，使用该菜单会查找匹配规则的下一个包find previousctr+b查找匹配规则的前一个包。mark packet(toggle)ctrl+m标记当前选择的包。find next markshift+ctrl+n查找下一个被标记的包find previous markctrl+shift+b查找前一个被标记的包mark all packets标记所有包unmark all packet取消所有

34、标记set time reference(toggle) ctrl+t以当前包时间作为参考find next reference找到下一个时间参考包find previous refrence.找到前一个时间参考包preferences.shift+ctrl+p打开首选项对话框，个性化设置wireshark的各项参数，设置后的参数将会在每次打开时发挥作用。3.7.view菜单表3.4 “view菜单项”显示了wireshar view菜单的选项图3.5.view菜单表3.4.view菜单项菜单项快捷键描述main toolbar显示隐藏main toolbar(主工具栏),见第3.13节 “m

35、ain工具栏”filter toolbar显示或隐藏filter toolbar(过滤工具栏)见第3.14节 “filter工具栏”statusbar显示或隐藏状态栏,见第3.18节 “状态栏”packet list显示或隐藏packet list pane(包列表面板),见第3.15节 “pcaket list面板”packet details 显示或隐藏packet details pane(包详情面板).见第3.16节 “packet details面板”packet bytes显示或隐藏 packet bytes pane(包字节面板)，见第3.17节 “packet byte面板”t

36、ime display fromatdate and time of day: 1970-01-01 01:02:03.123456选择这里告诉wireshark将时间戳设置为绝对日期-时间格式(年月日，时分秒) 注意这里的字段time of day,date and time of day,seconds since beginning of capture,seconds since previous captured packet和seconds since previous displayed packet几个选项是互斥的，换句话说，一次同时有一个被选中。 time display f

37、ormattime of day: 01:02:03.123456将时间设置为绝对时间-日期格式(时分秒格式) time display format seconds since beginning of capture: 123.123456将时间戳设置为秒格式，从捕捉开始计时time display format seconds since previous captured packet: 1.123456将时间戳设置为秒格式，从上次捕捉开始计时time display format seconds since previous displayed packet: 1.123456将时间

38、戳设置为秒格式，从上次显示的包开始计时time display format -time display format automatic (file format precision)根据指定的精度选择数据包中时间戳的显示方式 注意automatic,seconds和.seconds是互斥的 time display format seconds: 0设置精度为1秒time display format .seconds: 0.设置精度为1秒，0.1秒，0.01秒，百万分之一秒等等name resolution resolve name仅对当前选定包进行解析name resolution e

39、nable for mac layer是否解析mac地址name resolution enable for network layer是否解析网络层地址(ip地址) name resolution enable for transport layer 是否解析传输层地址colorize packet list是否以彩色显示包注意以彩色方式显示包会降低捕捉再如包文件的速度 auto scrooll in live capture控制在实时捕捉时是否自动滚屏，如果选择了该项，在有新数据进入时， 面板会项上滚动。您始终能看到最后的数据。反之，您无法看到满屏以后的数据，除非您手动滚屏zoom inc

40、trl+增大字体zoom outctrl+-缩小字体normal sizectrl+=恢复正常大小resiz all columnus恢复所有列宽 注意除非数据包非常大，一般会立刻更改 expend subtrees展开子分支expand all看开所有分支，该选项会展开您选择的包的所有分支。collapse all收缩所有包的所有分支coloring rulues.打开一个对话框，让您可以通过过滤表达来用不同的颜色显示包。这项功能对定位特定类型的包非常有用show packet in new window在新窗口显示当前包，(新窗口仅包含view,byte view两个面板)reloadct

41、rl+r重新再如当前捕捉文件3.8.go菜单wireshark go菜单的内容见表3.5 “go菜单项”图3.6.go菜单表3.5.go菜单项菜单项快捷键描述backalt+left跳到最近浏览的包，类似于浏览器中的页面历史纪录forwardalt+right跳到下一个最近浏览的包，跟浏览器类似go to packetctrl+g打开一个对话框，输入指定的包序号，然后跳转到对应的包go to corresponding packet跳转到当前包的应答包，如果不存在，该选项为灰色previous packetctrl+up移动到包列表中的前一个包，即使包列表面板不是当前焦点，也是可用的next packetctrl+down移动到包列表中的后一个包，同上first packet移动到列表中的第一个包last pa