本節書摘來自異步社群《精通wireshark》一書中的第2章2.6節總結,作者【印度】charit mishra(夏裡特 米什拉),更多章節内容可以通路雲栖社群“異步社群”公衆号檢視。
2.6 總結
在有些情況下,搜尋工具十分好用,使用者可以在wireshark的edit菜單中打開搜尋工具。搜尋工具為使用者提供了很多搜尋資料包内容的向量。
使用者可以通過過濾流量的方式,來把注意力放在那些自己真正感興趣的資料包上;過濾器的類型有兩種:顯示過濾器和抓包過濾器。
顯示過濾器會把資料包隐藏起來,一旦使用者清除了自己配置的過濾器表達式,所有隐藏的資訊都會再次出現。但抓包過濾器會丢棄那些不滿足(使用者所定義的)表達式的資料包。wireshark不會将這些丢棄的資料包轉交給抓包引擎。
抓包過濾器使用了bpf文法,這種文法是行業标準,很多協定分析軟體使用的都是這種文法。
在使用一種特定的表達式來過濾某一類流量時,用顔色标記流量的做法可以發揮重要的作用。給不同的流量标記不同的顔色可以讓使用者更容易區分不同類型的資料包,因為比對規則的資料包在軟體界面中會以一種不同的顔色顯示出來。
配置檔案類似于使用者定義的不同軟體使用環境,配置檔案可以節省網絡管理者的時間,減輕管理者的工作。對配置檔案進行修改包括對配置檔案中不同元素進行修改,如顯示過濾器/抓包過濾器和色彩/協定/時間的優先順序。
wireshark的配置檔案和許多設定參數都很容易導出,是以wireshark這款軟體的移植性是很強的。
在下一章中,我們會介紹如何使用wireshark的一些進階特性,如圖表和統計資料可選項。