除了官網(wǎng)，很少有文章來說wireshark的配置的，由于研究需要，我們需要了解wireshark的配置，所以把官網(wǎng)的一些資料翻譯下。
說明本文主要翻譯官網(wǎng)的內(nèi)容，結合自己的理解可能有所更改，也許有些錯誤，請諒解。

一、總體配置說明

也許是軟件本身比較復雜的原因，導致wireshark的配置非常多，在不同的文件夾下面，導致理解起來非常麻煩。

關于配置文件夾

配置文件/文件夾 描述 unix/linux 文件夾 windows 下
1)preferences 對話框的偏好設置 /etc/wireshark.conf $HOME/.wireshark/preferences %WIRESHARK%\wireshark.conf, %APPDATA%\Wireshark\preferences

2)recent 最近GUI設置（最近文件列表） $HOME/.wireshark/recent %APPDATA%\Wireshark\recent

3)cfilters 抓包過濾 $$HOME/.wireshark/cfilters %APPDATA%|%WIRESHARK%\Wireshark\cfilters

4)dfilters 顯示過濾器 $HOME/.wireshark/dfilters %APPDATA%|%WIRESHARK%\Wireshark\dfilters

5) colorfilters 顏色規(guī)則 $HOME/.wireshark/colorfilters %APPDATA%|%WIRESHARK%\Wireshark\colorfilters

6) disabled_protos 禁止協(xié)議 $HOME/.wireshark/disabled_protos %APPDATA%|%WIRESHARK%\Wireshark\disabled_protos

7)ethers 以太網(wǎng)名稱解析 /etc/ethers $HOME/.wireshark/ethers %APPDATA%|%WIRESHARK%\Wireshark\ethers

**8)manuf ** 以太網(wǎng)名稱解析 /etc/manuf $HOME/.wireshark/manuf %APPDATA%|%WIRESHARK%\Wireshark\manuf

9) 主機 IPV4和IPV6名稱解析 /etc/hosts ,$HOME/.wireshark/hosts %APPDATA%|%WIRESHARK%\Wireshark\hosts

10) subnets IPV4子網(wǎng)名稱解析 /etc/subnets $HOME/.wireshark/subnets %APPDATA%|%WIRESHARK%\Wireshark\subnets

11)ipxnets IPX名稱解析 /etc/ipxnet $HOME/.wireshark/ipxnets %APPDATA%|%WIRESHARK%\Wireshark\ipxnets

12)plugins 插件目錄 /usr/share/wireshark/plugins /usr/local/share/wireshark/plugins $HOME/.wireshark/plugins %APPDATA%|%WIRESHARK%\Wireshark\plugins

13)temp 臨時文件 環(huán)境變量：TMPDIR 環(huán)境變量：TMPDIR 或TEMP

windows下的目錄說明：
％APPDATA％指向個人配置文件夾，例如:( C:\Documents and Settings\<username>\Application Data 詳細信息請參見：第A.3.1節(jié)“Windows配置文件”），

％WIRESHARK％指向Wireshark程序文件夾，例如： C:\Program Files\Wireshark

二、具體配置說明

wireshark.conf 配置格式：

preferences/wireshark.conf
這個文件包括wireshark的偏好配置，包括默認的抓包和顯示包等，簡單的text語句顯示格式如下：
variable:value
在程序啟動的時候讀取這個配置，在你更改“首選項”的時候?qū)?shù)據(jù)寫入到文件。
可以看下界面，內(nèi)容是相當豐富。

recent

最近配置，此文件包含各種GUI相關設置，如主窗口位置和大小，最近的文件列表等。它是一個包含以下形式語句的簡單文本文件：

variable:value

cfilter

此文件包含已經(jīng)定義和保存的所有捕獲過濾器。它由一行或多行組成，每行包括以下格式：
"<filter name>" <filter string>
在捕獲過濾器對話框中按“保存”按鈕時保存到文件，程序啟動時候讀取配置

dfilters

此文件包含已經(jīng)定義和保存的所有顯示過濾器，它由一行或多行組成，每行包含以下格式：
"<filter name>" <filter string>

colorfilters

此文件包含已經(jīng)定義和保存的所有濾色器，它由一行或多行組成，每行包括以下格式：

@<filter name>@<filter string>
@[<bg RGB(16-bit)>][<fg RGB(16-bit)>

程序啟動時候讀取，在顏色規(guī)則對話框中設置保存按鈕的時候保存。

disabled_protos

每行表示一個禁止的協(xié)議名，下面給出一些列子：

tcp 
udp

ethers

當Wireshark嘗試將以太網(wǎng)硬件地址轉換為名稱時，它會查詢表A.1“配置文件和文件夾概述”中列出的 文件。如果在/etc/ethers中找不到地址，Wireshark將查找$ HOME /.wireshark/ethers

這些文件中的每一行由一個硬件地址和由空格分隔的名稱組成。硬件地址的數(shù)字由冒號（:)，短劃線（ - ）或句點（。）分隔。以下是一些例子：

ff-ff-ff-ff-ff-ff    Broadcast
c0-00-ff-ff-ff-ff    TR_broadcast
00.2b.08.93.4b.a1    Freds_machine

啟動時候讀取，但是不會寫。

MANUF

Wireshark使用表A.1“配置文件和文件夾概述”中列出的文件將 以太網(wǎng)地址的前三個字節(jié)轉換為制造商名稱。此文件具有與ethers文件相同的格式，但地址長度為三個字節(jié)。

一個例子是：

00:00:01 Xerox＃XEROX CORPORATION

啟動時候讀入，但是不寫。

host

Wireshark使用表A.1“配置文件和文件夾概述”中列出的文件 將IPv4和IPv6地址轉換為名稱。
此文件的格式與Unix系統(tǒng)上通常的/ etc / hosts文件相同。
一個例子是：

＃注釋必須以＃符號為前綴！
192.168.0.1 homeserver

只加載，但是不寫入。

subnet

Wireshark使用表A.1“配置文件和文件夾概述”中列出的文件將 IPv4地址轉換為子網(wǎng)名稱。如果未找到來自hosts文件或DNS的完全匹配，Wireshark將嘗試部分匹配該地址的子網(wǎng)。

此文件的每一行都包含一個IPv4地址，一個僅由'/'分隔的子網(wǎng)掩碼長度和一個用空格分隔的名稱。雖然地址必須是完整的IPv4地址，但隨后會忽略超出掩碼長度的任何值。

一個例子是：

＃注釋必須以＃符號為前綴！
192.168.0.0/24 ws_test_network

部分匹配的名稱將打印為“subnet-name.remaining-address”。例如，上面子網(wǎng)下的“192.168.0.1”將打印為“ws_test_network.1”; 如果上面的掩碼長度是16而不是24，則打印的地址將是“ws_test_network.0.1”。

此文件中的設置在程序啟動時讀入，并且從不由Wireshark寫入。

ipxnets

Wireshark使用表A.1“配置文件和文件夾概述”中列出的文件 將IPX網(wǎng)絡號轉換為名稱。

一個例子是:

C0.A8.2C.00 HR 
c0-a8-1c-00 CEO 
00:00：BE：EF IT_Server1 
110f FileServer3

此文件中的設置在程序啟動時讀入，并且從不由Wireshark寫入。

plugin 插件文件夾

Wireshark在表A.1“配置文件和文件夾概述”中列出的目錄中搜索插件 。按列出的順序搜索它們。

如果你開始一個新的捕獲并且沒有為它指定文件名，Wireshark使用這個目錄來存儲該文件; 請參見 第4.7節(jié)“捕獲文件和文件模式”。

臨時文件夾

如果你開始一個新的捕獲并且沒有為它指定文件名，Wireshark使用這個目錄來存儲該文件; 請參見 第4.7節(jié)“捕獲文件和文件模式”。