本节书摘来自异步社区《Wireshark网络分析实战》一书中的第1章1.1节 Wireshark简介,作者【以色列】Yoram Orzach,更多章节内容可以访问云栖社区“异步社区”公众号查看。
第1章 Wireshark简介
Wireshark网络分析实战
本章涵盖以下内容:
安置Wireshark(主机/程序);
开始抓包;
配置启动窗口;
配置时间参数;
调整配色规则;
保存、打印及导出数据;
配置用户界面(点击EDIT菜单的Preferences菜单项,会弹出Preferences窗口。所谓配置用户界面,就是配置该窗口中User Interface配置选项里的内容);
配置协议参数(即配置Preferences窗口中Protocol配置选项里的内容)。
1.1 Wireshark简介
Wireshark网络分析实战
本章将介绍Wireshark所能行使的基本任务。本书的前言曾提到过网络排障以及内置于Wireshark能帮助排障的各种工具。一旦决定动用Wireshark协议分析软件,在使用之前,则有必要先确定该软件在网络中的部署(或安装)位置。除此之外,还得对该软件做一些基本的配置,至少应让其界面看起来更为友好。
用Wireshark执行基本的抓包操作,配置起来并不麻烦,但是该软件也包含了很多高级配置选项,可用来应对某些特殊情况。这样的特殊情况包括令Wireshark在某条链路上持续抓取数据包的同时,将抓包文件切分为多个较小的文件;让Wireshark在抓包主窗口的数据包列表区域只显示(发包/收包)主机(或设备)的名称而非IP地址等。本章会介绍如何在Wireshark中配置这些高级选项,以应对上述特殊情况。
把Wireshark主机(或程序)安置(或安装)在网络中的哪个地方,令其行使抓包功能,是本章的一大重点。应将Wireshark置于防火墙“身前”还是“身后”呢?应置于路由器的WAN一侧,还是LAN一侧呢?到底应在上述的哪些地方才能正确采集到自己想要的数据呢?这些问题的答案、安置Wireshark的诀窍以及更多与Wireshark抓包有关的内容请见1.2节。
如何配置Wireshark时间参数(亦即如何配置Wireshark,让其按网管人员的意愿,来显示数据包的收、发时间的格式),是本章的又一重点内容。在抓取时间敏感型应用程序数据,且希望弄清隶属于同一条TCP连接或UDP流的数据包间的“交互”时间时,如何配置Wireshark时间参数将显得尤为重要。
1.4节会介绍Wireshark数据文件的操作,包括:如何保存抓包数据(是完整还是部分保存);如何保存经过过滤的数据文件;如何以各种文件格式来导出抓包数据;如何合并抓包文件(比如,将两份Wireshark抓包文件合二为一,这两份抓包文件中的数据分别抓取自不同路由器上的以太网接口)等。
本章还会介绍如何调整Wireshark配色规则。所谓调整配色规则,是指配置Wireshark,令其以不同的颜色来显示不同类型(或不同协议)的数据包。虽然Wireshark默认开启了一套配色方案,但在某些特殊情况下,网管人员可能需要对配色方案进行调整,让受监控的特殊协议的数据包或让Wireshark把识别出的某些值得关注的错误/事件,以引人注目的颜色显示。1.6节将包括这些内容。
本章最后两节会讨论Wireshark首选菜单项的配置。这两节会讲解Wireshark用户界面的配置(包括如何配置Wireshark主界面;如何在抓包面板中添加或删除数据包属性栏;如何查看数据包属性栏等),以及针对具体协议的配置(包括如何将某个TCP端口号默认解析为应用服务名称;如何验证TCP/UDP校验和;如何验证TCP时间戳;如何解码数据包中各协议头部内的各个字段等)。
本文仅用于学习和交流目的,不代表异步社区观点。非商业转载请注明作译者、出处,并保留本文的原始链接。
