作为一名网络工程师,每天我们都需要处理很多奇怪的问题,为了帮助工程师找出根本原因,Wireshark 成了工程师日常工作中的得力助手,本文将给您介绍三个我用Wireshark的时候经常干的操作。
1.设置捕获包大小
当开始抓包时,确保只抓你想要的,为了使抓包文件准确和小,你可以改变数据包大小:
点击【捕获】:
点击【选项】:
在“Input”页签中,我们看到“捕获长度”就是我们想要设置的地方:
捕获长度是网络捕获工具实际捕获并存储到 CaptureFile 中的每一帧的数据量。
可以看到帧的默认大小是262144B,为了优化它,我建议将它设置在80-200之间:
这样就可以使得帧包括TCP层、网络层和数据链路层数据包更小,便于分析的效率。
2.设置颜色规则
当你完成捕捉后,如何找到你真正想要的是一个问题,要找到这些数据包,用不同颜色突出显示这些数据包是一个不错的选择。
那么怎么设置呢?
点击导航栏的【视图】:
选择点击【着色规则】:
可以看到,一些预定义的颜色规则已经存在,就如同现在看到的一样:
- 灰色代表:TCP SYN/FIN
- 红色代表:TCP RST
- 淡紫色代表:TCP
双击编辑,或者你自己添加,可以看到颜色规则是和滤镜相关的。
如上图,我增加了一个名为“localhost”着色规则,过滤器为“ip.addr == 192.168.3.29”,这是我本地的私网ip地址,也就是说当包涉及到我本地地址的时候就会着色显示,我们来试一下:
可以清晰的看到我们设置的着色规则生效了!
3.设置过滤器
Wireshark 有很多过滤器,但我们记不住所有的过滤器,虽然 wireshark 在 www.wireshark.org/docs/dfref/ 中提供了它,你可以通过这个站点查看它:
但是你也看到了,从进度条的大小来看,这个规则是真的多,想要全部学习,不太现实。
我们就简单的介绍一下平时我是怎么用的。
一般情况下,你在Wireshark界面上看到的数据基本上已经足够你分析了,那么大多数情况下,基于界面的数据进行过滤可以这样做:
比如看下面的截图:
在source这一列有很多ip,这个时候你想过滤出源ip为111.230.120.127的包,只需要鼠标悬浮在source列任意一个111.230.120.127地址上,右击,选择“作为过滤器应用”,选择“选中”:
然后你会看到过滤器编辑框中自动加上了ip.src == 111.230.120.127,并且过滤出所有以111.230.120.127为源ip的包:
就是那么简单,你不需要记“源ip过滤”怎么写规则。
再比如说当我们想过滤出帧生效时间是0.193381的包,也可以通过同样的办法来过滤:
过滤的结果:
是不是简单便捷。
好了,今天就给大家分享这三个小妙招,可能会的朋友早已在用了,不怎么熟悉的朋友可以试试哦。后面想起其他小妙招再给各位小伙伴分享。
