L'interface de l'analyseur se décompose en plusieurs barres ou fenêtres :
- Barre de menus
-
On y retrouve la liste classique de menus. Voici une liste des fonctions remarquables accessibles à partir de ces menus.
-
Le menu
sert à sauvegarder ou charger un fichier de capture réseau. Une capture peut très bien avoir été réalisée sur une sonde distante ou avec un autre outil et être analysée avec Wireshark à postériori. - sert à fixer les paramètres d'une nouvelle capture réseau. Voir
-
Le menu
sert à effectuer différents calculs sur les volumes de données et la répartition des protocoles.
-
- Barre des icônes
-
Cette barre regroupe tous les raccourcis sur les manipulations d'une capture.
- Barre de filtrage
-
Cette barre sert à saisir l'expression de filtrage à postériori d'une capture pour isoler tout ou partie d'un échange réseau.
- Fenêtre contenant la liste des trames capturées
-
Sur chaque ligne on retrouve :
-
le numéro du paquet,
-
son temps de capture,
-
sa source,
-
sa destination,
-
le protocole de plus haut niveau décodé,
-
le résumé des champs caractéristiques de ce protocole.
-
- Fenêtre d'affichage de la pile des protocoles décodés pour la trame sélectionnée
-
Avant toute opération de développement des champs d'un ou plusieurs protocoles, cette fenêtre donne la liste la pile de protocoles décodés allant du niveau physique (en haut) jusqu'au niveau le plus haut reconnu (en bas). Le protocole de niveau le plus haut reconnu apparaît est celui qui apparaît dans la colonne protocole de la Fenêtre contenant la liste des trames capturées.
-
La première ligne ou niveau
correspond à une pseudo couche physique. Comme il n'est pas possible de réaliser la capture directement à partir des composants électroniques qui pilotent l'interface réseau sans perturber le fonctionnement du système, l'opération a lieu au niveau liaison à l'aide de la bibliothèque libpcap.A ce niveau, les informations disponibles sont : la quantité de bits capturés et la date de capture.
-
La deuxième ligne correspond au niveau liaison. On y détaille le type et les champs de la trame et les adresses physiques.
-
La troisième ligne correspond au niveau réseau. On y détaille les champs du protocole réseau reconnu : adresses logiques et indicateurs d'état.
-
La quatrième ligne correspond au niveau transport. On y détaille les champs du protocole de transport reconnu : état de la connexion, numéros de ports utilisés et diverses options.
-
La cinquième ligne correspond au niveau application. On y trouve les données utilisateur.
Pour le développement de chacun des champs de la trame, il faut cliquer sur le triangle situé à gauche au niveau de chaque couche.
-
- Fenêtre d'affichage brut de la trame sélectionnée
-
Cette fenêtre affiche tous les octets de la trame en hexadécimal.