《Wireshark网络分析实战》—第1章1.4节配置启动窗口

本节书摘来自异步社区《Wireshark网络分析实战》一书中的第1章1.4节配置启动窗口，作者【以色列】Yoram Orzach,更多章节内容可以访问云栖社区“异步社区”公众号查看。

1.4 配置启动窗口
Wireshark网络分析实战
本节会介绍与Wireshark启动窗口有关的基本配置，同时会介绍抓包主窗口、文件格式以及可视选项的配置。

1.4.1 准备工作
启动Wireshark软件，首先映入眼帘的就是启动窗口。可在此窗口中调整以下各项配置参数，来满足抓包需求：

工具条配置；
抓包主窗口配置；
时间格式；
名字解析；
所抓数据包的配色；
抓包时是否自动滚屏；
字体大小；
主窗口数据包属性栏的配置；
配色规则。
先来熟悉一下Wireshark启动窗口内几个常用的工具条（栏），如图1.11所示。

本节将重点介绍下列工具条的结构及用法：

主工具条（Main Toolbar）；
显示过滤器工具条（Filter Toolbar）；
状态栏（Status Toolbar）。
主工具条
主工具条上各个（组）按钮的用途如图1.12所示。

主工具条最左边一组5个按钮都与抓包操作有关，其余按钮分别涉及文件操作、数据包选择操作、字体缩放操作、配色及自动滚屏、抓包/显示过滤器的调整及应用、帮助等。

显示过滤器工具条
显示过滤器工具条上有一个输入栏和4个按钮，如图1.13所示。

状态栏
在Wireshark主窗口的最底部，有一个状态栏，分5个区域，如图1.14所示。

通过图1.14所示的Wireshark主窗口底部状态栏，可以：

观察到专家系统中的错误1；

选择为抓包文件添加注释信息；
观察到抓包文件的名称（在抓包期间，抓包文件名由Wireshark软件临时分配）；
获知抓包文件中包含的数据包的数量、Wireshark实际显示出的数据包的数量，以及人为打上标记的数据包的数量。
1.4.2 配置方法
本节会按部就班地指导读者配置Wireshark启动窗口和抓包主窗口。

定制工具条
对于一般情况下的抓包，根本无需调整与Wireshark工具条有关的任何配置。但若要抓取无线网络中的数据（即要让Wireshark主机抓到无线网络里其他主机的无线网卡收发的数据），则需要在Wireshark启动窗口内激活wireless工具栏。为此，请点击启动窗口中的View菜单，并选择Wireless Toolbar菜单项，如图1.15所示。

定制抓包主窗口
可按图1.16所示来配置Wireshark，定制其抓包主窗口的界面。

一般而言，无需对Wireshark抓包主窗口的界面做任何调整。但在某些情况下，也有可能需要取消勾选View菜单中的Packet Bytes菜单项，把抓包主窗口的空间都留给“数据包列表”（对应于View菜单中的Packet List菜单项）和“数据包内容”区域（对应于View菜单中的Packet Details菜单项）。

名字解析
在Wireshark软件里，名字解析功能一经启用，数据包中的L2（MAC）/L3（IP）地址以及第4层（UDP/TCP）端口号将会分别以有实际意义的名称示人，如图1.17所示。

由图1.17中画线的地方可知，数据包所含MAC地址、IP地址以及TCP端口号都以名称进行相应的替换。

为数据包着色
通常，在使用Wireshark抓包时，应为抓取到的网络中的正常流量建立一个（视觉上的）基线模板。这样一来，便可以一边抓包，一边通过抓包主窗口显示出的数据包的色差，来发现潜在的令人生疑的以太网、IP或TCP流量。

要让Wireshark体现出这样的色差，请在抓包主窗口的数据包列表区域，选择一个深受怀疑或需要着色的数据包，同时点右键，在右键菜单Colorize Conversation下点选Ethernet、IP或TCP/UDP（TCP和UDP只有一项可选，视数据包的第四层类型而定）子菜单项名下的各种颜色（color）菜单项。如此操作，会让该数据包所归属的（Ethernet、IP、UDP或TCP）会话中的所有其他数据包都以相同的颜色示人。

现举一个给抓包文件中的数据包上色的例子，如图1.18所示，作者将归属传输层安全（Transport Layer Security，TLS）会话的所有数据包以另外一种颜色示人。

要取消配色规则，请按下列步骤行事。

1．点击View菜单。

2．选择底部的菜单项Reset Coloring 1-10。

抓包时实时自动滚屏的配置
要配置Wireshark使其在抓包时自动滚屏，请按以下步骤行事。

1．点View菜单。

2．选择中间的Auto Scroll in Live Capture菜单项。

字体缩放
要缩放Wireshark抓包主窗口的字体，请按以下步骤行事。

1．点View菜单。

2．放大字体，请点中间的菜单项Zoom In或按Crtl+“+”键。

3．缩小字体，请点中间的菜单项Zoom Out或按Crtl+“-”键。

1译者注：原文是“Errors in the expert system”，译文直译。有句土话叫“东一榔头，西一棒槌”，应该很贴切地形容了作者的写作风格。
本文仅用于学习和交流目的，不代表异步社区观点。非商业转载请注明作译者、出处，并保留本文的原始链接。