上面基本是以局域网为例的。下面看看Wireshark对于互联网数据的分析。Wireshark和其它的图形化嗅探器使用基本类似的界面，整个窗口被分成三个部分：最上面为数据包列表，用来显示截获的每个数据包的总结性信息；中间为协议树，用来显示选定的数据包所属的协议信息；最下边是以十六进制形式表示的数据包内容，用来显示数据包在物理层上传输时的最终形式。使用Wireshark可以很方便地对截获的数据包进行分析，包括该数据包的源地址、目的地址、所属协议等。图7是在Wireshark中对一个HTTP数据包进行分析时的情形。在图最上边的数据包列表中，显示了被截获的数据包的基本信息。

图 7 用Wireshark分析互联网数据包内容

图7中间是协议树，通过协议树可以得到被截获的数据包的更多信息，如主机的MAC地址(Ethernet II)、IP地址(Internet Protocol)、TCP端口号(Transmission Control Protocol)，以及HTTP协议的具体内容(Hypertext Trnasfer Protocol)。通过扩展协议树中的相应节点，可以得到该数据包中携带的更详尽的信息。

图 8 使用Follow TCP stearm 查看详细信息

图8最下边是以十六制显示的数据包的具体内容，这是被截获的数据包在物理媒体上传输时的最终形式，当在协议树中选中某行时，与其对应的十六进制代码同样会被选中，这样就可以很方便地对各种协议的数据包进行分析。图6 是一个详细封包分析。是点击该封包选择“Mark Pactet”。从图中可以看出，当前选中数据包的源地址是221.217.132.33，目的地址为202.106.124.50，该数据包所属的协议是超文本传输协议(HTTP)。要获取更加详细信息可以是点击该封包选择“Follow TCP stearm ”。

更详细的信息表明该数据包中含有一个HTTP的GET命令，访问的网站是：www.51cto.com  。客户端使用的MSIE7.0浏览器，操作系统为Vista。

总结

Wireshark提供的图形化用户界面非常友好，管理员可以很方便地查看到每个数据包的详细信息，协议树及其对应的十六进制表示对分析每个数据包的目的很有帮助，使用Wireshark能够基本满足网络管理员在Vista系统上的所有安全要示。