Wireshark 1 9 User Guide User's For 1.9

2015-07-27

• Wireshark User's Guide
• Table of Contents
• Preface
  • 1. Foreword
  • 2. Who should read this document?
  • 3. Acknowledgements
  • 4. About this document
  • 5. Where to get the latest copy of this document?
  • 6. Providing feedback about this document
• Chapter 1. Introduction
  • 1.1. What is Wireshark?
    • 1.1.1. Some intended purposes
    • 1.1.2. Features
    • 1.1.3. Live capture from many different network media
    • 1.1.4. Import files from many other capture programs
    • 1.1.5. Export files for many other capture programs
    • 1.1.6. Many protocol decoders
    • 1.1.7. Open Source Software
    • 1.1.8. What Wireshark is not
  • 1.2. System Requirements
    • 1.2.1. General Remarks
    • 1.2.2. Microsoft Windows
    • 1.2.3. Unix / Linux
  • 1.3. Where to get Wireshark?
  • 1.4. A brief history of Wireshark
  • 1.5.  Development and maintenance of Wireshark
  • 1.6. Reporting problems and getting help
    • 1.6.1. Website
    • 1.6.2. Wiki
    • 1.6.3. Q&A Forum
    • 1.6.4. FAQ
    • 1.6.5. Mailing Lists
    • 1.6.6. Reporting Problems
    • 1.6.7. Reporting Crashes on UNIX/Linux platforms
    • 1.6.8. Reporting Crashes on Windows platforms
• Chapter 2. Building and Installing Wireshark
  • 2.1. Introduction
  • 2.2. Obtaining the source and binary distributions
  • 2.3. Before you build Wireshark under UNIX
  • 2.4. Building Wireshark from source under UNIX
  • 2.5. Installing the binaries under UNIX
    • 2.5.1. Installing from rpm's under Red Hat and alike
    • 2.5.2. Installing from deb's under Debian, Ubuntu and other Debian derivatives
    • 2.5.3. Installing from portage under Gentoo Linux
    • 2.5.4. Installing from packages under FreeBSD
  • 2.6. Troubleshooting during the install on Unix
  • 2.7. Building from source under Windows
  • 2.8. Installing Wireshark under Windows
    • 2.8.1. Install Wireshark
      • 2.8.1.1. "Choose Components" page
      • 2.8.1.2. "Additional Tasks" page
      • 2.8.1.3. "Install WinPcap?" page
      • 2.8.1.4. Command line options
    • 2.8.2. Manual WinPcap Installation
    • 2.8.3. Update Wireshark
    • 2.8.4. Update WinPcap
    • 2.8.5. Uninstall Wireshark
    • 2.8.6. Uninstall WinPcap
• Chapter 3. User Interface
  • 3.1. Introduction
  • 3.2. Start Wireshark
  • 3.3. The Main window
    • 3.3.1. Main Window Navigation
  • 3.4. The Menu
  • 3.5. The "File" menu
  • 3.6. The "Edit" menu
  • 3.7. The "View" menu
  • 3.8. The "Go" menu
  • 3.9. The "Capture" menu
  • 3.10. The "Analyze" menu
  • 3.11. The "Statistics" menu
  • 3.12. The "Telephony" menu
  • 3.13. The "Tools" menu
  • 3.14. The "Internals" menu
  • 3.15. The "Help" menu
  • 3.16. The "Main" toolbar
  • 3.17. The "Filter" toolbar
  • 3.18. The "Packet List" pane
  • 3.19. The "Packet Details" pane
  • 3.20. The "Packet Bytes" pane
  • 3.21. The Statusbar
• Chapter 4. Capturing Live Network Data
  • 4.1. Introduction
  • 4.2. Prerequisites
  • 4.3. Start Capturing
  • 4.4. The "Capture Interfaces" dialog box
  • 4.5. The "Capture Options" dialog box
    • 4.5.1. Capture frame
    • 4.5.2. Capture File(s) frame
    • 4.5.3. Stop Capture... frame
    • 4.5.4. Display Options frame
    • 4.5.5. Name Resolution frame
    • 4.5.6. Buttons
  • 4.6. The "Edit Interface Settings" dialog box
  • 4.7. The "Add New Interfaces" dialog box
    • 4.7.1. Add or remove pipes
    • 4.7.2. Add or hide local interfaces
    • 4.7.3. Add or hide remote interfaces
  • 4.8. The "Remote Capture Interfaces" dialog box
    • 4.8.1. Remote Capture Interfaces
    • 4.8.2. Remote Capture Settings
  • 4.9. The "Interface Details" dialog box
  • 4.10. Capture files and file modes
  • 4.11. Link-layer header type
  • 4.12. Filtering while capturing
    • 4.12.1. Automatic Remote Traffic Filtering
  • 4.13. While a Capture is running ...
    • 4.13.1. Stop the running capture
    • 4.13.2. Restart a running capture
• Chapter 5. File Input / Output and Printing
  • 5.1. Introduction
  • 5.2. Open capture files
    • 5.2.1. The "Open Capture File" dialog box
    • 5.2.2. Input File Formats
  • 5.3. Saving captured packets
    • 5.3.1. The "Save Capture File As" dialog box
    • 5.3.2. Output File Formats
  • 5.4. Merging capture files
    • 5.4.1. The "Merge with Capture File" dialog box
  • 5.5. Import text file
    • 5.5.1. The "File import" dialog box
  • 5.6. File Sets
    • 5.6.1. The "List Files" dialog box
  • 5.7. Exporting data
    • 5.7.1. The "Export as Plain Text File" dialog box
    • 5.7.2. The "Export as PostScript File" dialog box
    • 5.7.3. The "Export as CSV (Comma Separated Values) File" dialog box
    • 5.7.4. The "Export as C Arrays (packet bytes) file" dialog box
    • 5.7.5. The "Export as PSML File" dialog box
    • 5.7.6. The "Export as PDML File" dialog box
    • 5.7.7. The "Export selected packet bytes" dialog box
    • 5.7.8. The "Export Objects" dialog box
  • 5.8. Printing packets
    • 5.8.1. The "Print" dialog box
  • 5.9. The Packet Range frame
  • 5.10. The Packet Format frame
• Chapter 6. Working with captured packets
  • 6.1. Viewing packets you have captured
  • 6.2. Pop-up menus
    • 6.2.1. Pop-up menu of the "Packet List" column header
    • 6.2.2. Pop-up menu of the "Packet List" pane
    • 6.2.3. Pop-up menu of the "Packet Details" pane
  • 6.3. Filtering packets while viewing
  • 6.4. Building display filter expressions
    • 6.4.1. Display filter fields
    • 6.4.2. Comparing values
    • 6.4.3. Combining expressions
    • 6.4.4. A common mistake
  • 6.5. The "Filter Expression" dialog box
  • 6.6. Defining and saving filters
  • 6.7. Defining and saving filter macros
  • 6.8. Finding packets
    • 6.8.1. The "Find Packet" dialog box
    • 6.8.2. The "Find Next" command
    • 6.8.3. The "Find Previous" command
  • 6.9. Go to a specific packet
    • 6.9.1. The "Go Back" command
    • 6.9.2. The "Go Forward" command
    • 6.9.3. The "Go to Packet" dialog box
    • 6.9.4. The "Go to Corresponding Packet" command
    • 6.9.5. The "Go to First Packet" command
    • 6.9.6. The "Go to Last Packet" command
  • 6.10. Marking packets
  • 6.11. Ignoring packets
  • 6.12. Time display formats and time references
    • 6.12.1. Packet time referencing
• Chapter 7. Advanced Topics
  • 7.1. Introduction
  • 7.2. Following TCP streams
    • 7.2.1. The "Follow TCP Stream" dialog box
  • 7.3. Expert Infos
    • 7.3.1. Expert Info Entries
      • 7.3.1.1. Severity
      • 7.3.1.2. Group
      • 7.3.1.3. Protocol
      • 7.3.1.4. Summary
    • 7.3.2. "Expert Info" dialog
      • 7.3.2.1. Errors / Warnings / Notes / Chats tabs
      • 7.3.2.2. Details tab
    • 7.3.3. "Colorized" Protocol Details Tree
    • 7.3.4. "Expert" Packet List Column (optional)
  • 7.4. Time Stamps
    • 7.4.1. Wireshark internals
    • 7.4.2. Capture file formats
    • 7.4.3. Accuracy
  • 7.5. Time Zones
    • 7.5.1. Set your computer's time correctly!
    • 7.5.2. Wireshark and Time Zones
  • 7.6. Packet Reassembling
    • 7.6.1. What is it?
    • 7.6.2. How Wireshark handles it
  • 7.7. Name Resolution
    • 7.7.1. Name Resolution drawbacks
    • 7.7.2. Ethernet name resolution (MAC layer)
    • 7.7.3. IP name resolution (network layer)
    • 7.7.4. IPX name resolution (network layer)
    • 7.7.5. TCP/UDP port name resolution (transport layer)
  • 7.8. Checksums
    • 7.8.1. Wireshark checksum validation
    • 7.8.2. Checksum offloading
• Chapter 8. Statistics
  • 8.1. Introduction
  • 8.2. The "Summary" window
  • 8.3. The "Protocol Hierarchy" window
  • 8.4. Conversations
    • 8.4.1. What is a Conversation?
    • 8.4.2. The "Conversations" window
    • 8.4.3. The protocol specific "Conversation List" windows
  • 8.5. Endpoints
    • 8.5.1. What is an Endpoint?
    • 8.5.2. The "Endpoints" window
    • 8.5.3. The protocol specific "Endpoint List" windows
  • 8.6. The "IO Graphs" window
  • 8.7. Service Response Time
    • 8.7.1. The "Service Response Time DCE-RPC" window
  • 8.8. Compare two capture files
  • 8.9. WLAN Traffic Statistics
  • 8.10. The protocol specific statistics windows
• Chapter 9. Telephony
  • 9.1. Introduction
  • 9.2. RTP Analysis
  • 9.3. VoIP Calls
  • 9.4. LTE MAC Traffic Statistics
  • 9.5. LTE RLC Traffic Statistics
  • 9.6. The protocol specific statistics windows
• Chapter 10. Customizing Wireshark
  • 10.1. Introduction
  • 10.2. Start Wireshark from the command line
  • 10.3. Packet colorization
  • 10.4. Control Protocol dissection
    • 10.4.1. The "Enabled Protocols" dialog box
    • 10.4.2. User Specified Decodes
    • 10.4.3. Show User Specified Decodes
  • 10.5. Preferences
    • 10.5.1. Interface Options
  • 10.6. Configuration Profiles
  • 10.7. User Table
  • 10.8. Display Filter Macros
  • 10.9. ESS Category Attributes
  • 10.10. GeoIP Database Paths
  • 10.11. IKEv2 decryption table
  • 10.12. Object Identifiers
  • 10.13. PRES Users Context List
  • 10.14. SCCP users Table
  • 10.15. SMI (MIB and PIB) Modules
  • 10.16. SMI (MIB and PIB) Paths
  • 10.17. SNMP Enterprise Specific Trap Types
  • 10.18. SNMP users Table
  • 10.19. Tektronix K12xx/15 RF5 protocols Table
  • 10.20. User DLTs protocol table
• Chapter 11. Lua Support in Wireshark
  • 11.1. Introduction
  • 11.2. Example of Dissector written in Lua
  • 11.3. Example of Listener written in Lua
  • 11.4. Wireshark's Lua API Reference Manual
  • 11.5.  Saving capture files
    • 11.5.1. Dumper
      • 11.5.1.1. Dumper.new(filename, [filetype], [encap])
        • 11.5.1.1.1. Arguments
        • 11.5.1.1.2. Returns
        • 11.5.1.1.3. Errors
      • 11.5.1.2. dumper:close()
        • 11.5.1.2.1. Errors
      • 11.5.1.3. dumper:flush()
      • 11.5.1.4. dumper:dump(timestamp, pseudoheader, bytearray)
        • 11.5.1.4.1. Arguments
      • 11.5.1.5. dumper:new_for_current([filetype])
        • 11.5.1.5.1. Arguments
        • 11.5.1.5.2. Returns
        • 11.5.1.5.3. Errors
      • 11.5.1.6. dumper:dump_current()
        • 11.5.1.6.1. Errors
    • 11.5.2. PseudoHeader
      • 11.5.2.1. PseudoHeader.none()
        • 11.5.2.1.1. Returns
      • 11.5.2.2. PseudoHeader.eth([fcslen])
        • 11.5.2.2.1. Arguments
        • 11.5.2.2.2. Returns
      • 11.5.2.3. PseudoHeader.atm([aal], [vpi], [vci], [channel], [cells], [aal5u2u], [aal5len])
        • 11.5.2.3.1. Arguments
        • 11.5.2.3.2. Returns
      • 11.5.2.4. PseudoHeader.mtp2()
        • 11.5.2.4.1. Returns
  • 11.6.  Obtaining dissection data
    • 11.6.1. Field
      • 11.6.1.1. Field.new(fieldname)
        • 11.6.1.1.1. Arguments
        • 11.6.1.1.2. Returns
        • 11.6.1.1.3. Errors
      • 11.6.1.2. field:__call()
        • 11.6.1.2.1. Returns
        • 11.6.1.2.2. Errors
    • 11.6.2. FieldInfo
      • 11.6.2.1. fieldinfo:__len()
      • 11.6.2.2. fieldinfo:__unm()
      • 11.6.2.3. fieldinfo:__call()
      • 11.6.2.4. fieldinfo:__tostring()
      • 11.6.2.5. fieldinfo:__eq()
        • 11.6.2.5.1. Errors
      • 11.6.2.6. fieldinfo:__le()
      • 11.6.2.7. fieldinfo:__lt()
        • 11.6.2.7.1. Errors
      • 11.6.2.8. fieldinfo.name
      • 11.6.2.9. fieldinfo.label
      • 11.6.2.10. fieldinfo.value
      • 11.6.2.11. fieldinfo.len
      • 11.6.2.12. fieldinfo.offset
    • 11.6.3. Non Method Functions
      • 11.6.3.1. all_field_infos()
        • 11.6.3.1.1. Errors
  • 11.7.  GUI support
    • 11.7.1. ProgDlg
      • 11.7.1.1. ProgDlg.new([title], [task])
        • 11.7.1.1.1. Arguments
        • 11.7.1.1.2. Returns
      • 11.7.1.2. progdlg:update(progress, [task])
        • 11.7.1.2.1. Arguments
        • 11.7.1.2.2. Errors
      • 11.7.1.3. progdlg:stopped()
        • 11.7.1.3.1. Returns
        • 11.7.1.3.2. Errors
      • 11.7.1.4. progdlg:close()
        • 11.7.1.4.1. Errors
    • 11.7.2. TextWindow
      • 11.7.2.1. TextWindow.new([title])
        • 11.7.2.1.1. Arguments
        • 11.7.2.1.2. Returns
        • 11.7.2.1.3. Errors
      • 11.7.2.2. textwindow:set_atclose(action)
        • 11.7.2.2.1. Arguments
        • 11.7.2.2.2. Returns
        • 11.7.2.2.3. Errors
      • 11.7.2.3. textwindow:set(text)
        • 11.7.2.3.1. Arguments
        • 11.7.2.3.2. Returns
        • 11.7.2.3.3. Errors
      • 11.7.2.4. textwindow:append(text)
        • 11.7.2.4.1. Arguments
        • 11.7.2.4.2. Returns
        • 11.7.2.4.3. Errors
      • 11.7.2.5. textwindow:prepend(text)
        • 11.7.2.5.1. Arguments
        • 11.7.2.5.2. Returns
        • 11.7.2.5.3. Errors
      • 11.7.2.6. textwindow:clear()
        • 11.7.2.6.1. Returns
        • 11.7.2.6.2. Errors
      • 11.7.2.7. textwindow:get_text()
        • 11.7.2.7.1. Returns
        • 11.7.2.7.2. Errors
      • 11.7.2.8. textwindow:set_editable([editable])
        • 11.7.2.8.1. Arguments
        • 11.7.2.8.2. Returns
        • 11.7.2.8.3. Errors
      • 11.7.2.9. textwindow:add_button(label, function)
        • 11.7.2.9.1. Arguments
        • 11.7.2.9.2. Returns
        • 11.7.2.9.3. Errors
    • 11.7.3. Non Method Functions
      • 11.7.3.1. gui_enabled()
        • 11.7.3.1.1. Returns
      • 11.7.3.2. register_menu(name, action, [group])
        • 11.7.3.2.1. Arguments
      • 11.7.3.3. new_dialog(title, action, ...)
        • 11.7.3.3.1. Arguments
        • 11.7.3.3.2. Errors
      • 11.7.3.4. retap_packets()
      • 11.7.3.5. copy_to_clipboard(text)
        • 11.7.3.5.1. Arguments
      • 11.7.3.6. open_capture_file(filename, filter)
        • 11.7.3.6.1. Arguments
      • 11.7.3.7. set_filter(text)
        • 11.7.3.7.1. Arguments
      • 11.7.3.8. set_color_filter_slot(row, text)
        • 11.7.3.8.1. Arguments
      • 11.7.3.9. apply_filter()
      • 11.7.3.10. reload()
      • 11.7.3.11. browser_open_url(url)
        • 11.7.3.11.1. Arguments
      • 11.7.3.12. browser_open_data_file(filename)
        • 11.7.3.12.1. Arguments
  • 11.8.  Post-dissection packet analysis
    • 11.8.1. Listener
      • 11.8.1.1. Listener.new([tap], [filter])
        • 11.8.1.1.1. Arguments
        • 11.8.1.1.2. Returns
        • 11.8.1.1.3. Errors
      • 11.8.1.2. listener:remove()
      • 11.8.1.3. listener.packet
      • 11.8.1.4. listener.draw
      • 11.8.1.5. listener.reset
  • 11.9.  Obtaining packet information
    • 11.9.1. Address
      • 11.9.1.1. Address.ip(hostname)
        • 11.9.1.1.1. Arguments
        • 11.9.1.1.2. Returns
      • 11.9.1.2. address:__tostring()
        • 11.9.1.2.1. Returns
      • 11.9.1.3. address:__eq()
      • 11.9.1.4. address:__le()
      • 11.9.1.5. address:__lt()
    • 11.9.2. Column
      • 11.9.2.1. column:__tostring()
        • 11.9.2.1.1. Returns
      • 11.9.2.2. column:clear()
      • 11.9.2.3. column:set(text)
        • 11.9.2.3.1. Arguments
      • 11.9.2.4. column:append(text)
        • 11.9.2.4.1. Arguments
      • 11.9.2.5. column:preppend(text)
        • 11.9.2.5.1. Arguments
    • 11.9.3. Columns
      • 11.9.3.1. columns:__tostring()
        • 11.9.3.1.1. Returns
      • 11.9.3.2. columns:__newindex(column, text)
        • 11.9.3.2.1. Arguments
    • 11.9.4. NSTime
      • 11.9.4.1. NSTime.new([seconds], [nseconds])
        • 11.9.4.1.1. Arguments
        • 11.9.4.1.2. Returns
      • 11.9.4.2. nstime:__tostring()
        • 11.9.4.2.1. Returns
      • 11.9.4.3. nstime:__add()
      • 11.9.4.4. nstime:__sub()
      • 11.9.4.5. nstime:__unm()
      • 11.9.4.6. nstime:__eq()
        • 11.9.4.6.1. Errors
      • 11.9.4.7. nstime:__le()
        • 11.9.4.7.1. Errors
      • 11.9.4.8. nstime:__lt()
        • 11.9.4.8.1. Errors
      • 11.9.4.9. nstime.secs
      • 11.9.4.10. nstime.nsecs
    • 11.9.5. Pinfo
      • 11.9.5.1. pinfo.number
      • 11.9.5.2. pinfo.len
      • 11.9.5.3. pinfo.caplen
      • 11.9.5.4. pinfo.abs_ts
      • 11.9.5.5. pinfo.rel_ts
      • 11.9.5.6. pinfo.delta_ts
      • 11.9.5.7. pinfo.delta_dis_ts
      • 11.9.5.8. pinfo.visited
      • 11.9.5.9. pinfo.src
      • 11.9.5.10. pinfo.dst
      • 11.9.5.11. pinfo.lo
      • 11.9.5.12. pinfo.hi
      • 11.9.5.13. pinfo.dl_src
      • 11.9.5.14. pinfo.dl_dst
      • 11.9.5.15. pinfo.net_src
      • 11.9.5.16. pinfo.net_dst
      • 11.9.5.17. pinfo.ptype
      • 11.9.5.18. pinfo.src_port
      • 11.9.5.19. pinfo.dst_port
      • 11.9.5.20. pinfo.ipproto
      • 11.9.5.21. pinfo.circuit_id
      • 11.9.5.22. pinfo.match
      • 11.9.5.23. pinfo.curr_proto
      • 11.9.5.24. pinfo.columns
      • 11.9.5.25. pinfo.cols
      • 11.9.5.26. pinfo.desegment_len
      • 11.9.5.27. pinfo.desegment_offset
      • 11.9.5.28. pinfo.private_data
      • 11.9.5.29. pinfo.private
      • 11.9.5.30. pinfo.ethertype
      • 11.9.5.31. pinfo.fragmented
      • 11.9.5.32. pinfo.in_error_pkt
      • 11.9.5.33. pinfo.match_uint
      • 11.9.5.34. pinfo.match_string
    • 11.9.6. PrivateTable
      • 11.9.6.1. privatetable:__tostring()
        • 11.9.6.1.1. Returns
  • 11.10.  Functions for writing dissectors
    • 11.10.1. Dissector
      • 11.10.1.1. Dissector.get(name)
        • 11.10.1.1.1. Arguments
        • 11.10.1.1.2. Returns
      • 11.10.1.2. dissector:call(tvb, pinfo, tree)
        • 11.10.1.2.1. Arguments
    • 11.10.2. DissectorTable
      • 11.10.2.1. DissectorTable.new(tablename, [uiname], [type], [base])
        • 11.10.2.1.1. Arguments
        • 11.10.2.1.2. Returns
      • 11.10.2.2. DissectorTable.get(tablename)
        • 11.10.2.2.1. Arguments
        • 11.10.2.2.2. Returns
      • 11.10.2.3. dissectortable:add(pattern, dissector)
        • 11.10.2.3.1. Arguments
      • 11.10.2.4. dissectortable:remove(pattern, dissector)
        • 11.10.2.4.1. Arguments
      • 11.10.2.5. dissectortable:try(pattern, tvb, pinfo, tree)
        • 11.10.2.5.1. Arguments
      • 11.10.2.6. dissectortable:get_dissector(pattern)
        • 11.10.2.6.1. Arguments
        • 11.10.2.6.2. Returns
    • 11.10.3. Pref
      • 11.10.3.1. Pref.bool(label, default, descr)
        • 11.10.3.1.1. Arguments
      • 11.10.3.2. Pref.uint(label, default, descr)
        • 11.10.3.2.1. Arguments
      • 11.10.3.3. Pref.string(label, default, descr)
        • 11.10.3.3.1. Arguments
      • 11.10.3.4. Pref.enum(label, default, descr, enum, radio)
        • 11.10.3.4.1. Arguments
      • 11.10.3.5. Pref.range(label, default, descr, max)
        • 11.10.3.5.1. Arguments
      • 11.10.3.6. Pref.statictext(label, descr)
        • 11.10.3.6.1. Arguments
    • 11.10.4. Prefs
      • 11.10.4.1. prefs:__newindex(name, pref)
        • 11.10.4.1.1. Arguments
        • 11.10.4.1.2. Errors
      • 11.10.4.2. prefs:__index(name)
        • 11.10.4.2.1. Arguments
        • 11.10.4.2.2. Returns
        • 11.10.4.2.3. Errors
    • 11.10.5. Proto
      • 11.10.5.1. Proto.new(name, desc)
        • 11.10.5.1.1. Arguments
        • 11.10.5.1.2. Returns
      • 11.10.5.2. proto.dissector
      • 11.10.5.3. proto.fields
      • 11.10.5.4. proto.prefs
      • 11.10.5.5. proto.init
      • 11.10.5.6. proto.name
      • 11.10.5.7. proto.description
    • 11.10.6. ProtoField
      • 11.10.6.1. ProtoField.new(name, abbr, type, [voidstring], [base], [mask], [descr])
        • 11.10.6.1.1. Arguments
        • 11.10.6.1.2. Returns
      • 11.10.6.2. ProtoField.uint8(abbr, [name], [base], [valuestring], [mask], [desc])
        • 11.10.6.2.1. Arguments
        • 11.10.6.2.2. Returns
      • 11.10.6.3. ProtoField.uint16(abbr, [name], [base], [valuestring], [mask], [desc])
        • 11.10.6.3.1. Arguments
        • 11.10.6.3.2. Returns
      • 11.10.6.4. ProtoField.uint24(abbr, [name], [base], [valuestring], [mask], [desc])
        • 11.10.6.4.1. Arguments
        • 11.10.6.4.2. Returns
      • 11.10.6.5. ProtoField.uint32(abbr, [name], [base], [valuestring], [mask], [desc])
        • 11.10.6.5.1. Arguments
        • 11.10.6.5.2. Returns
      • 11.10.6.6. ProtoField.uint64(abbr, [name], [base], [valuestring], [mask], [desc])
        • 11.10.6.6.1. Arguments
        • 11.10.6.6.2. Returns
      • 11.10.6.7. ProtoField.int8(abbr, [name], [base], [valuestring], [mask], [desc])
        • 11.10.6.7.1. Arguments
        • 11.10.6.7.2. Returns
      • 11.10.6.8. ProtoField.int16(abbr, [name], [base], [valuestring], [mask], [desc])
        • 11.10.6.8.1. Arguments
        • 11.10.6.8.2. Returns
      • 11.10.6.9. ProtoField.int24(abbr, [name], [base], [valuestring], [mask], [desc])
        • 11.10.6.9.1. Arguments
        • 11.10.6.9.2. Returns
      • 11.10.6.10. ProtoField.int32(abbr, [name], [base], [valuestring], [mask], [desc])
        • 11.10.6.10.1. Arguments
        • 11.10.6.10.2. Returns
      • 11.10.6.11. ProtoField.int64(abbr, [name], [base], [valuestring], [mask], [desc])
        • 11.10.6.11.1. Arguments
        • 11.10.6.11.2. Returns
      • 11.10.6.12. ProtoField.framenum(abbr, [name], [base], [valuestring], [mask], [desc])
        • 11.10.6.12.1. Arguments
        • 11.10.6.12.2. Returns
      • 11.10.6.13. ProtoField.bool(abbr, [name], [display], [string], [mask], [desc])
        • 11.10.6.13.1. Arguments
        • 11.10.6.13.2. Returns
      • 11.10.6.14. ProtoField.absolute_time(abbr, [name], [base], [desc])
        • 11.10.6.14.1. Arguments
        • 11.10.6.14.2. Returns
      • 11.10.6.15. ProtoField.relative_time(abbr, [name], [desc])
        • 11.10.6.15.1. Arguments
        • 11.10.6.15.2. Returns
      • 11.10.6.16. ProtoField.ipv4(abbr, [name], [desc])
        • 11.10.6.16.1. Arguments
        • 11.10.6.16.2. Returns
      • 11.10.6.17. ProtoField.ipv6(abbr, [name], [desc])
        • 11.10.6.17.1. Arguments
        • 11.10.6.17.2. Returns
      • 11.10.6.18. ProtoField.ether(abbr, [name], [desc])
        • 11.10.6.18.1. Arguments
        • 11.10.6.18.2. Returns
      • 11.10.6.19. ProtoField.float(abbr, [name], [desc])
        • 11.10.6.19.1. Arguments
        • 11.10.6.19.2. Returns
      • 11.10.6.20. ProtoField.double(abbr, [name], [desc])
        • 11.10.6.20.1. Arguments
        • 11.10.6.20.2. Returns
      • 11.10.6.21. ProtoField.string(abbr, [name], [desc])
        • 11.10.6.21.1. Arguments
        • 11.10.6.21.2. Returns
      • 11.10.6.22. ProtoField.stringz(abbr, [name], [desc])
        • 11.10.6.22.1. Arguments
        • 11.10.6.22.2. Returns
      • 11.10.6.23. ProtoField.bytes(abbr, [name], [desc])
        • 11.10.6.23.1. Arguments
        • 11.10.6.23.2. Returns
      • 11.10.6.24. ProtoField.ubytes(abbr, [name], [desc])
        • 11.10.6.24.1. Arguments
        • 11.10.6.24.2. Returns
      • 11.10.6.25. ProtoField.guid(abbr, [name], [desc])
        • 11.10.6.25.1. Arguments
        • 11.10.6.25.2. Returns
      • 11.10.6.26. ProtoField.oid(abbr, [name], [desc])
        • 11.10.6.26.1. Arguments
        • 11.10.6.26.2. Returns
      • 11.10.6.27. ProtoField.bool(abbr, [name], [desc])
        • 11.10.6.27.1. Arguments
        • 11.10.6.27.2. Returns
      • 11.10.6.28. protofield:__tostring()
    • 11.10.7. Non Method Functions
      • 11.10.7.1. register_postdissector(proto)
        • 11.10.7.1.1. Arguments
  • 11.11.  Adding information to the dissection tree
    • 11.11.1. TreeItem
      • 11.11.1.1. treeitem:add_packet_field()
      • 11.11.1.2. treeitem:add()
        • 11.11.1.2.1. Returns
      • 11.11.1.3. treeitem:add_le()
        • 11.11.1.3.1. Returns
      • 11.11.1.4. treeitem:set_text(text)
        • 11.11.1.4.1. Arguments
      • 11.11.1.5. treeitem:append_text(text)
        • 11.11.1.5.1. Arguments
      • 11.11.1.6. treeitem:set_expert_flags([group], [severity])
        • 11.11.1.6.1. Arguments
      • 11.11.1.7. treeitem:add_expert_info([group], [severity], [text])
        • 11.11.1.7.1. Arguments
      • 11.11.1.8. treeitem:set_generated()
      • 11.11.1.9. treeitem:set_hidden()
      • 11.11.1.10. treeitem:set_len(len)
        • 11.11.1.10.1. Arguments
  • 11.12.  Functions for handling packet data
    • 11.12.1. ByteArray
      • 11.12.1.1. ByteArray.new([hexbytes])
        • 11.12.1.1.1. Arguments
        • 11.12.1.1.2. Returns
      • 11.12.1.2. bytearray:__concat(first, second)
        • 11.12.1.2.1. Arguments
        • 11.12.1.2.2. Returns
        • 11.12.1.2.3. Errors
      • 11.12.1.3. bytearray:prepend(prepended)
        • 11.12.1.3.1. Arguments
        • 11.12.1.3.2. Errors
      • 11.12.1.4. bytearray:append(appended)
        • 11.12.1.4.1. Arguments
        • 11.12.1.4.2. Errors
      • 11.12.1.5. bytearray:set_size(size)
        • 11.12.1.5.1. Arguments
        • 11.12.1.5.2. Errors
      • 11.12.1.6. bytearray:set_index(index, value)
        • 11.12.1.6.1. Arguments
      • 11.12.1.7. bytearray:get_index(index)
        • 11.12.1.7.1. Arguments
        • 11.12.1.7.2. Returns
      • 11.12.1.8. bytearray:len()
        • 11.12.1.8.1. Returns
      • 11.12.1.9. bytearray:subset(offset, length)
        • 11.12.1.9.1. Arguments
        • 11.12.1.9.2. Returns
    • 11.12.2. Int
    • 11.12.3. Tvb
      • 11.12.3.1. ByteArray.tvb(name)
        • 11.12.3.1.1. Arguments
        • 11.12.3.1.2. Returns
      • 11.12.3.2. TvbRange.tvb(range)
        • 11.12.3.2.1. Arguments
      • 11.12.3.3. tvb:__tostring()
        • 11.12.3.3.1. Returns
      • 11.12.3.4. tvb:reported_len()
        • 11.12.3.4.1. Returns
      • 11.12.3.5. tvb:len()
        • 11.12.3.5.1. Returns
      • 11.12.3.6. tvb:reported_length_remaining()
        • 11.12.3.6.1. Returns
      • 11.12.3.7. tvb:offset()
        • 11.12.3.7.1. Returns
      • 11.12.3.8. tvb:__call()
      • 11.12.3.9. wslua:__concat()
    • 11.12.4. TvbRange
      • 11.12.4.1. tvb:range([offset], [length])
        • 11.12.4.1.1. Arguments
        • 11.12.4.1.2. Returns
      • 11.12.4.2. tvbrange:uint()
        • 11.12.4.2.1. Returns
      • 11.12.4.3. tvbrange:le_uint()
        • 11.12.4.3.1. Returns
      • 11.12.4.4. tvbrange:uint64()
      • 11.12.4.5. tvbrange:le_uint64()
      • 11.12.4.6. tvbrange:int()
        • 11.12.4.6.1. Returns
      • 11.12.4.7. tvbrange:le_int()
        • 11.12.4.7.1. Returns
      • 11.12.4.8. tvbrange:int64()
      • 11.12.4.9. tvbrange:le_int64()
      • 11.12.4.10. tvbrange:float()
        • 11.12.4.10.1. Returns
      • 11.12.4.11. tvbrange:le_float()
        • 11.12.4.11.1. Returns
      • 11.12.4.12. tvbrange:ipv4()
        • 11.12.4.12.1. Returns
      • 11.12.4.13. tvbrange:le_ipv4()
        • 11.12.4.13.1. Returns
      • 11.12.4.14. tvbrange:ether()
        • 11.12.4.14.1. Returns
        • 11.12.4.14.2. Errors
      • 11.12.4.15. tvbrange:nstime()
        • 11.12.4.15.1. Returns
        • 11.12.4.15.2. Errors
      • 11.12.4.16. tvbrange:le_nstime()
        • 11.12.4.16.1. Returns
        • 11.12.4.16.2. Errors
      • 11.12.4.17. tvbrange:string()
        • 11.12.4.17.1. Returns
      • 11.12.4.18. tvbrange:ustring()
        • 11.12.4.18.1. Returns
      • 11.12.4.19. tvbrange:le_ustring()
        • 11.12.4.19.1. Returns
      • 11.12.4.20. tvbrange:stringz()
        • 11.12.4.20.1. Returns
      • 11.12.4.21. tvbrange:ustringz()
        • 11.12.4.21.1. Returns
      • 11.12.4.22. tvbrange:le_ustringz()
        • 11.12.4.22.1. Returns
      • 11.12.4.23. tvbrange:bytes()
        • 11.12.4.23.1. Returns
      • 11.12.4.24. tvbrange:bitfield([position], [length])
        • 11.12.4.24.1. Arguments
        • 11.12.4.24.2. Returns
      • 11.12.4.25. tvbrange:range([offset], [length])
        • 11.12.4.25.1. Arguments
        • 11.12.4.25.2. Returns
      • 11.12.4.26. tvbrange:len()
      • 11.12.4.27. tvbrange:offset()
      • 11.12.4.28. tvbrange:__tostring()
    • 11.12.5. UInt
  • 11.13.  Utility Functions
    • 11.13.1. Dir
      • 11.13.1.1. Dir.open(pathname, [extension])
        • 11.13.1.1.1. Arguments
        • 11.13.1.1.2. Returns
      • 11.13.1.2. dir:__call()
      • 11.13.1.3. dir:close()
    • 11.13.2. Non Method Functions
      • 11.13.2.1. get_version()
        • 11.13.2.1.1. Returns
      • 11.13.2.2. format_date(timestamp)
        • 11.13.2.2.1. Arguments
        • 11.13.2.2.2. Returns
      • 11.13.2.3. format_time(timestamp)
        • 11.13.2.3.1. Arguments
        • 11.13.2.3.2. Returns
      • 11.13.2.4. report_failure(text)
        • 11.13.2.4.1. Arguments
      • 11.13.2.5. critical(...)
        • 11.13.2.5.1. Arguments
      • 11.13.2.6. warn(...)
        • 11.13.2.6.1. Arguments
      • 11.13.2.7. message(...)
        • 11.13.2.7.1. Arguments
      • 11.13.2.8. info(...)
        • 11.13.2.8.1. Arguments
      • 11.13.2.9. debug(...)
        • 11.13.2.9.1. Arguments
      • 11.13.2.10. loadfile(filename)
        • 11.13.2.10.1. Arguments
      • 11.13.2.11. dofile(filename)
        • 11.13.2.11.1. Arguments
      • 11.13.2.12. persconffile_path([filename])
        • 11.13.2.12.1. Arguments
        • 11.13.2.12.2. Returns
      • 11.13.2.13. datafile_path([filename])
        • 11.13.2.13.1. Arguments
        • 11.13.2.13.2. Returns
      • 11.13.2.14. register_stat_cmd_arg(argument, [action])
        • 11.13.2.14.1. Arguments
• Appendix A. Files and Folders
  • A.1. Capture Files
    • A.1.1. Libpcap File Contents
    • A.1.2. Not Saved in the Capture File
  • A.2. Configuration Files and Folders
    • A.2.1. Protocol help configuration
  • A.3. Windows folders
    • A.3.1. Windows profiles
    • A.3.2. Windows 7, Vista, XP, 2000, and NT roaming profiles
    • A.3.3. Windows temporary folder
• Appendix B. Protocols and Protocol Fields
• Appendix C. Wireshark Messages
  • C.1. Packet List Messages
    • C.1.1. [Malformed Packet]
    • C.1.2. [Packet size limited during capture]
  • C.2. Packet Details Messages
    • C.2.1. [Response in frame: 123]
    • C.2.2. [Request in frame: 123]
    • C.2.3. [Time from request: 0.123 seconds]
    • C.2.4. [Stream setup by PROTOCOL (frame 123)]
• Appendix D. Related command line tools
  • D.1. Introduction
  • D.2. tshark: Terminal-based Wireshark
  • D.3. tcpdump: Capturing with tcpdump for viewing with Wireshark
  • D.4. dumpcap: Capturing with dumpcap for viewing with Wireshark
  • D.5. capinfos: Print information about capture files
  • D.6. rawshark: Dump and analyze network traffic.
  • D.7. editcap: Edit capture files
  • D.8. mergecap: Merging multiple capture files into one
  • D.9. text2pcap: Converting ASCII hexdumps to network captures
  • D.10. idl2wrs: Creating dissectors from CORBA IDL files
    • D.10.1. What is it?
    • D.10.2. Why do this?
    • D.10.3. How to use idl2wrs
    • D.10.4. TODO
    • D.10.5. Limitations
    • D.10.6. Notes
• Appendix E. This Document's License (GPL)