《Wireshark網絡分析實戰》—第1章1.1節 Wireshark簡介

本節書摘來自異步社群《wireshark網絡分析實戰》一書中的第1章1.1節 wireshark簡介，作者【以色列】yoram orzach,更多章節内容可以通路雲栖社群“異步社群”公衆号檢視。

第1章 wireshark簡介

wireshark網絡分析實戰

本章涵蓋以下内容：

安置wireshark（主機/程式）；

開始抓包；

配置啟動視窗；

配置時間參數；

調整配色規則；

儲存、列印及導出資料；

配置使用者界面（點選edit菜單的preferences菜單項，會彈出preferences視窗。所謂配置使用者界面，就是配置該視窗中user interface配置選項裡的内容）；

配置協定參數（即配置preferences視窗中protocol配置選項裡的内容）。

1.1 wireshark簡介

本章将介紹wireshark所能行使的基本任務。本書的前言曾提到過網絡排障以及内置于wireshark能幫助排障的各種工具。一旦決定動用wireshark協定分析軟體，在使用之前，則有必要先确定該軟體在網絡中的部署（或安裝）位置。除此之外，還得對該軟體做一些基本的配置，至少應讓其界面看起來更為友好。

用wireshark執行基本的抓包操作，配置起來并不麻煩，但是該軟體也包含了很多進階配置選項，可用來應對某些特殊情況。這樣的特殊情況包括令wireshark在某條鍊路上持續抓取資料包的同時，将抓封包件切分為多個較小的檔案；讓wireshark在抓包主視窗的資料包清單區域隻顯示（發包/收包）主機（或裝置）的名稱而非ip位址等。本章會介紹如何在wireshark中配置這些進階選項，以應對上述特殊情況。

把wireshark主機（或程式）安置（或安裝）在網絡中的哪個地方，令其行使抓包功能，是本章的一大重點。應将wireshark置于防火牆“身前”還是“身後”呢？應置于路由器的wan一側，還是lan一側呢？到底應在上述的哪些地方才能正确采集到自己想要的資料呢？這些問題的答案、安置wireshark的訣竅以及更多與wireshark抓包有關的内容請見1.2節。

如何配置wireshark時間參數（亦即如何配置wireshark，讓其按網管人員的意願，來顯示資料包的收、發時間的格式），是本章的又一重點内容。在抓取時間敏感型應用程式資料，且希望弄清隸屬于同一條tcp連接配接或udp流的資料包廂的“互動”時間時，如何配置wireshark時間參數将顯得尤為重要。

1.4節會介紹wireshark資料檔案的操作，包括：如何儲存抓包資料（是完整還是部分儲存）；如何儲存經過過濾的資料檔案；如何以各種檔案格式來導出抓包資料；如何合并抓封包件（比如，将兩份wireshark抓封包件合二為一，這兩份抓封包件中的資料分别抓取自不同路由器上的以太網接口）等。

本章還會介紹如何調整wireshark配色規則。所謂調整配色規則，是指配置wireshark，令其以不同的顔色來顯示不同類型（或不同協定）的資料包。雖然wireshark預設開啟了一套配色方案，但在某些特殊情況下，網管人員可能需要對配色方案進行調整，讓受監控的特殊協定的資料包或讓wireshark把識别出的某些值得關注的錯誤/事件，以引人注目的顔色顯示。1.6節将包括這些内容。

本章最後兩節會讨論wireshark首選菜單項的配置。這兩節會講解wireshark使用者界面的配置（包括如何配置wireshark主界面；如何在抓包面闆中添加或删除資料包屬性欄；如何檢視資料包屬性欄等），以及針對具體協定的配置（包括如何将某個tcp端口号預設解析為應用服務名稱；如何驗證tcp/udp校驗和；如何驗證tcp時間戳；如何解碼資料包中各協定頭部内的各個字段等）。

本文僅用于學習和交流目的，不代表異步社群觀點。非商業轉載請注明作譯者、出處，并保留本文的原始連結。