《Wireshark網絡分析實戰》—第1章1.4節配置啟動視窗

本節書摘來自異步社群《wireshark網絡分析實戰》一書中的第1章1.4節配置啟動視窗，作者【以色列】yoram orzach,更多章節内容可以通路雲栖社群“異步社群”公衆号檢視。

1.4 配置啟動視窗

wireshark網絡分析實戰

本節會介紹與wireshark啟動視窗有關的基本配置，同時會介紹抓包主視窗、檔案格式以及可視選項的配置。

1.4.1 準備工作

啟動wireshark軟體，首先映入眼簾的就是啟動視窗。可在此視窗中調整以下各項配置參數，來滿足抓包需求：

工具條配置；

抓包主視窗配置；

時間格式；

名字解析；

所抓資料包的配色；

抓包時是否自動滾屏；

字型大小；

主視窗資料包屬性欄的配置；

配色規則。

先來熟悉一下wireshark啟動視窗内幾個常用的工具條（欄），如圖1.11所示。

本節将重點介紹下列工具條的結構及用法：

主工具條（main toolbar）；

顯示過濾器工具條（filter toolbar）；

狀态欄（status toolbar）。

主工具條

主工具條上各個（組）按鈕的用途如圖1.12所示。

主工具條最左邊一組5個按鈕都與抓包操作有關，其餘按鈕分别涉及檔案操作、資料包選擇操作、字型縮放操作、配色及自動滾屏、抓包/顯示過濾器的調整及應用、幫助等。

顯示過濾器工具條

顯示過濾器工具條上有一個輸入欄和4個按鈕，如圖1.13所示。

狀态欄

在wireshark主視窗的最底部，有一個狀态欄，分5個區域，如圖1.14所示。

通過圖1.14所示的wireshark主視窗底部狀态欄，可以：

觀察到專家系統中的錯誤1；

選擇為抓封包件添加注釋資訊；

觀察到抓封包件的名稱（在抓包期間，抓封包件名由wireshark軟體臨時配置設定）；

獲知抓封包件中包含的資料包的數量、wireshark實際顯示出的資料包的數量，以及人為打上标記的資料包的數量。

1.4.2 配置方法

本節會按部就班地指導讀者配置wireshark啟動視窗和抓包主視窗。

定制工具條

對于一般情況下的抓包，根本無需調整與wireshark工具條有關的任何配置。但若要抓取無線網絡中的資料（即要讓wireshark主機抓到無線網絡裡其他主機的無線網卡收發的資料），則需要在wireshark啟動視窗内激活wireless工具欄。為此，請點選啟動視窗中的view菜單，并選擇wireless toolbar菜單項，如圖1.15所示。

定制抓包主視窗

可按圖1.16所示來配置wireshark，定制其抓包主視窗的界面。

一般而言，無需對wireshark抓包主視窗的界面做任何調整。但在某些情況下，也有可能需要取消勾選view菜單中的packet bytes菜單項，把抓包主視窗的空間都留給“資料包清單”（對應于view菜單中的packet list菜單項）和“資料包内容”區域（對應于view菜單中的packet details菜單項）。

名字解析

在wireshark軟體裡，名字解析功能一經啟用，資料包中的l2（mac）/l3（ip）位址以及第4層（udp/tcp）端口号将會分别以有實際意義的名稱示人，如圖1.17所示。

由圖1.17中畫線的地方可知，資料包所含mac位址、ip位址以及tcp端口号都以名稱進行相應的替換。

為資料包着色

通常，在使用wireshark抓包時，應為抓取到的網絡中的正常流量建立一個（視覺上的）基線模闆。這樣一來，便可以一邊抓包，一邊通過抓包主視窗顯示出的資料包的色差，來發現潛在的令人生疑的以太網、ip或tcp流量。

要讓wireshark展現出這樣的色差，請在抓包主視窗的資料包清單區域，選擇一個深受懷疑或需要着色的資料包，同時點右鍵，在右鍵菜單colorize conversation下點選ethernet、ip或tcp/udp（tcp和udp隻有一項可選，視資料包的第四層類型而定）子菜單項名下的各種顔色（color）菜單項。如此操作，會讓該資料包所歸屬的（ethernet、ip、udp或tcp）會話中的所有其他資料包都以相同的顔色示人。

現舉一個給抓封包件中的資料包上色的例子，如圖1.18所示，作者将歸屬傳輸層安全（transport layer security，tls）會話的所有資料包以另外一種顔色示人。

要取消配色規則，請按下列步驟行事。

1．點選view菜單。

2．選擇底部的菜單項reset coloring 1-10。

抓包時實時自動滾屏的配置

要配置wireshark使其在抓包時自動滾屏，請按以下步驟行事。

1．點view菜單。

2．選擇中間的auto scroll in live capture菜單項。

字型縮放

要縮放wireshark抓包主視窗的字型，請按以下步驟行事。

2．放大字型，請點中間的菜單項zoom in或按crtl+“+”鍵。

3．縮小字型，請點中間的菜單項zoom out或按crtl+“-”鍵。

1譯者注：原文是“errors in the expert system”，譯文直譯。有句土話叫“東一榔頭，西一棒槌”，應該很貼切地形容了作者的寫作風格。

本文僅用于學習和交流目的，不代表異步社群觀點。非商業轉載請注明作譯者、出處，并保留本文的原始連結。