本節書摘來自異步社群《wireshark網絡分析實戰》一書中的第1章1.8節 通過edit菜單中的preferences菜單項,來配置wireshark主界面,作者【以色列】yoram orzach,更多章節内容可以通路雲栖社群“異步社群”公衆号檢視。
1.8 通過edit菜單中的preferences菜單項,來配置wireshark主界面
wireshark網絡分析實戰
借助于edit菜單中的preferences菜單項,能控制wireshark軟體的主界面及軟體自身的諸多參數,包括資料包的呈現方式、抓封包件的預設存盤位置,以及用來抓取資料包的網卡等。
本章将介紹wireshark主界面及軟體自身的常用參數的配置,熟知這些參數的配置,可幫助我們更好地應對不同的抓包場景。
1.8.1 配置準備
要配置wireshark的使用者界面(主界面),請點選edit菜單中的preferences菜單項,preferences視窗會立刻彈出,如圖1.25所示。
在本章接下來的内容中,會介紹preferences視窗中以下參數的配置:
columns(資料包屬性列);
capture(抓包方式);
name resolution(名字解析)。
1.8.2 配置方法
本節會介紹如何調整事關wireshark軟體自身的配置參數。
調整及添加資料包屬性列
在預設情況下,顯現在抓包主視窗的資料包清單區域裡的資料包屬性列有:no.(編号)、time(抓取時間)、source(源位址)、destination(目的位址)、protocol(協定類型)、length(長度)以及info(資訊),可通過圖1.26所示的preferences視窗來調整出現在資料包清單區域裡的資料包屬性列。
要給資料包清單區域添加一新列,可通過以下兩個途徑。
1.從preferences視窗下部的field type下拉菜單欄裡,選擇預先定義好的屬性列。這些預先定義好的屬性列包括time delta、 ip dscp value、src port和dest port等。
2.點選add按鈕,從preferences視窗下部的field type下拉菜單欄裡,選擇custom菜單項,定制資料包屬性列。此時,可在圖1.26所示的field name輸入欄内輸入可在顯示過濾器中露面的任一參數,然後點選ok按鈕,将這一新列添加至抓包主視窗。之後,在抓包主視窗選中該列,點選右鍵,選擇右鍵菜單中的edit column details菜單項,便可以為新添加的這一新列改名了。
下面舉幾個用custom菜單項定制資料包屬性列的例子。
1.要想在抓包主視窗中新增一列,以便觀看tcp資料包的tcp視窗大小,需在field name輸入欄内輸入顯示過濾器參數tcp.window_size。
2.要想在抓包主視窗中新增一列,以便觀看每個ip資料包標頭中的ttl字段值,需在field name輸入欄内輸入顯示過濾器參數ip.ttl。
3.要想在抓包主視窗中新增一列,以便觀看每個rtp資料包中marker位置1的執行個體,需在field name輸入欄内輸入顯示過濾器參數rtp.marker。
4.在分析網絡故障時,酌情使用custom菜單項定制資料包屬性列,可加快定位故障的原因,與此有關的内容本書後文再叙。
調整跟執行抓包任務有關的配置
執行抓包任務之前,可調整涉及抓包的配置。為此,請在preferences視窗中點選capture選項,如圖1.27所示。
要想更改預設用來抓取資料包的網卡,請點選edit按鈕,在彈出的interface option視窗中選擇相應的網卡,再點ok按鈕即可(重新開機wireshark軟體之後才能生效)。當然,這裡更改的隻是預設配置,可在每次重新開始抓包之前,更換用來接收資料包的網卡。
調整名字解析
wireshark支援以下三個層級的名字解析(見圖1.28)。
在第二層(l2):wireshark可把mac位址的前半部分解析并顯示為網卡晶片制造商的名稱或id。比方說,可把一個mac位址的前三個位元組14:da:e9解析并顯示為asusteckc (asustek computer inc)。
在第三層(l3):wireshark可把ip位址解析并顯示為dns名稱,比如可把157.166.226.46這一ip位址,解析并顯示為www.edition.cnn.com。
在第四層(l4):wireshark可把tcp/udp端口号解析并顯示為應用程式(服務)名稱,比如可把tcp 80端口解析并顯示為http,把udp 53端口解析并顯示為dns。
注意:
在第四層,隻有接收由用戶端發起的會話建立請求的tcp/udp目的端口号才有做名字解析的意義。用戶端用來發起會話建立請求的tcp/udp源端口号是一個随機端口号(大于1024),是以并沒有轉換成應用程式(服務)名的必要。
在預設情況下,wireshark隻會針對第二層mac位址和第四層tcp/udp端口号做名字解析。開啟ip位址的名字解析功能之前要三思而後行,因為這會讓wireshark委托os發出大量dns查詢消息,進而拖慢wireshark的運作速度。
1.8.3 幕後原理
原理非常簡單,隻是調整wireshark某些菜單項的配置而已。要修改wireshark主界面,除了本節介紹的配置選項之外,還有其他配置選項可供選擇。更多詳情請參考www.wireshark.org上的wireshark配置手冊。
本文僅用于學習和交流目的,不代表異步社群觀點。非商業轉載請注明作譯者、出處,并保留本文的原始連結。