本节书摘来自异步社区《Wireshark网络分析实战》一书中的第1章1.8节 通过Edit菜单中的Preferences菜单项,来配置Wireshark主界面,作者【以色列】Yoram Orzach,更多章节内容可以访问云栖社区“异步社区”公众号查看。
1.8 通过Edit菜单中的Preferences菜单项,来配置Wireshark主界面
Wireshark网络分析实战
借助于Edit菜单中的Preferences菜单项,能控制Wireshark软件的主界面及软件自身的诸多参数,包括数据包的呈现方式、抓包文件的默认存盘位置,以及用来抓取数据包的网卡等。
本章将介绍Wireshark主界面及软件自身的常用参数的配置,熟知这些参数的配置,可帮助我们更好地应对不同的抓包场景。
1.8.1 配置准备
要配置Wireshark的用户界面(主界面),请点击Edit菜单中的Preferences菜单项,Preferences窗口会立刻弹出,如图1.25所示。
在本章接下来的内容中,会介绍Preferences窗口中以下参数的配置:
Columns(数据包属性列);
Capture(抓包方式);
Name Resolution(名字解析)。
1.8.2 配置方法
本节会介绍如何调整事关Wireshark软件自身的配置参数。
调整及添加数据包属性列
在默认情况下,显现在抓包主窗口的数据包列表区域里的数据包属性列有:No.(编号)、Time(抓取时间)、Source(源地址)、Destination(目的地址)、Protocol(协议类型)、Length(长度)以及Info(信息),可通过图1.26所示的Preferences窗口来调整出现在数据包列表区域里的数据包属性列。
要给数据包列表区域添加一新列,可通过以下两个途径。
1.从Preferences窗口下部的Field type下拉菜单栏里,选择预先定义好的属性列。这些预先定义好的属性列包括time delta、 IP DSCP value、src port和dest port等。
2.点击Add按钮,从Preferences窗口下部的Field type下拉菜单栏里,选择Custom菜单项,定制数据包属性列。此时,可在图1.26所示的Field name输入栏内输入可在显示过滤器中露面的任一参数,然后点击OK按钮,将这一新列添加至抓包主窗口。之后,在抓包主窗口选中该列,点击右键,选择右键菜单中的Edit Column Details菜单项,便可以为新添加的这一新列改名了。
下面举几个用Custom菜单项定制数据包属性列的例子。
1.要想在抓包主窗口中新增一列,以便观看TCP数据包的TCP窗口大小,需在Field name输入栏内输入显示过滤器参数tcp.window_size。
2.要想在抓包主窗口中新增一列,以便观看每个IP数据包包头中的TTL字段值,需在Field name输入栏内输入显示过滤器参数ip.ttl。
3.要想在抓包主窗口中新增一列,以便观看每个RTP数据包中marker位置1的实例,需在Field name输入栏内输入显示过滤器参数rtp.marker。
4.在分析网络故障时,酌情使用Custom菜单项定制数据包属性列,可加快定位故障的原因,与此有关的内容本书后文再叙。
调整跟执行抓包任务有关的配置
执行抓包任务之前,可调整涉及抓包的配置。为此,请在Preferences窗口中点击Capture选项,如图1.27所示。
要想更改默认用来抓取数据包的网卡,请点击Edit按钮,在弹出的Interface Option窗口中选择相应的网卡,再点OK按钮即可(重启Wireshark软件之后才能生效)。当然,这里更改的只是默认配置,可在每次重新开始抓包之前,更换用来接收数据包的网卡。
调整名字解析
Wireshark支持以下三个层级的名字解析(见图1.28)。
在第二层(L2):Wireshark可把MAC地址的前半部分解析并显示为网卡芯片制造商的名称或ID。比方说,可把一个MAC地址的前三个字节14:da:e9解析并显示为AsusTeckC (ASUSTeK Computer Inc)。
在第三层(L3):Wireshark可把IP地址解析并显示为DNS名称,比如可把157.166.226.46这一IP地址,解析并显示为www.edition.cnn.com。
在第四层(L4):Wireshark可把TCP/UDP端口号解析并显示为应用程序(服务)名称,比如可把TCP 80端口解析并显示为HTTP,把UDP 53端口解析并显示为DNS。
注意:
在第四层,只有接收由客户端发起的会话建立请求的TCP/UDP目的端口号才有做名字解析的意义。客户端用来发起会话建立请求的TCP/UDP源端口号是一个随机端口号(大于1024),因此并没有转换成应用程序(服务)名的必要。
在默认情况下,Wireshark只会针对第二层MAC地址和第四层TCP/UDP端口号做名字解析。开启IP地址的名字解析功能之前要三思而后行,因为这会让Wireshark委托OS发出大量DNS查询消息,从而拖慢Wireshark的运行速度。
1.8.3 幕后原理
原理非常简单,只是调整Wireshark某些菜单项的配置而已。要修改Wireshark主界面,除了本节介绍的配置选项之外,还有其他配置选项可供选择。更多详情请参考www.wireshark.org上的Wireshark配置手册。
本文仅用于学习和交流目的,不代表异步社区观点。非商业转载请注明作译者、出处,并保留本文的原始链接。
