Wireshark中怎么排除網(wǎng)絡(luò )故障
發(fā)布時(shí)間:2021-08-23 15:12
來(lái)源:億速云
閱讀:0
作者:Leah
欄目: 網(wǎng)絡(luò )安全
這期內容當中小編將會(huì )給大家帶來(lái)有關(guān)Wireshark中怎么排除網(wǎng)絡(luò )故障���,文章內容豐富且以專(zhuān)業(yè)的角度為大家分析和敘述��,閱讀完這篇文章希望大家可以有所收獲�。
配置用戶(hù)界面及全局�����、協(xié)議參數
通過(guò)Edit菜單中的Preferences菜單項以及Preferences窗口中的Protocol配置選項���,不但能控制Wireshark軟件的顯示界面����,而且還能改變該軟件對常規協(xié)議數據包的抓取和呈現方式����。本節將介紹如何在Preferences窗口的Protocol配置界面中配置最常見(jiàn)的協(xié)議���。
2.1 準備工作
點(diǎn)擊Edit菜單中的Preferences菜單項���,Preferences窗口會(huì )立刻彈出���,如圖2.1所示���。
圖2.1
由圖2.1可知����,在Preferences窗口中��,只要選擇了窗口左邊的配置選項���,窗口的右邊便會(huì )出現相應的配置參數�。
2.2 配置方法
本節會(huì )介紹如何配置Preferences窗口中的Appearance(外觀(guān))配置選項��,以及如何針對最常用的協(xié)議���,配置Preferences窗口中的Protocol選項���。Preferences窗口所含其余配置選項的配置方法請見(jiàn)本書(shū)后面的相關(guān)章節��。
注意
由于本書(shū)旨在向讀者傳授Wireshark的使用訣竅����,以及如何嫻熟地將其作為排障工具來(lái)使用�����,因此不可能細述Wireshark的所有功能����。Wireshark的簡(jiǎn)單功能請參閱其官網(wǎng)的用戶(hù)手冊���,作者會(huì )重點(diǎn)講解可以提高用戶(hù)使用嫻熟度的重要和特殊的功能����。
先把目光放在Preferences窗口所含配置選項的設置上����,看看這些配置選項能否對用戶(hù)有所幫助���。
1.常規的外觀(guān)設置
圖2.2所示為Wireshark Preferences窗口的Appearance(外觀(guān))配置選項��,可以對該選項的內容進(jìn)行配置����,來(lái)提高使用體驗��。
圖2.2
Preferences窗口的Appearance配置選項可供配置的內容有:
顯示過(guò)濾器和***抓包文件的緩沖區的大小;
用戶(hù)界面的語(yǔ)言(以后的版本將支持更多國家的語(yǔ)言);
主工具條的顯示風(fēng)格——圖標����、文本或圖標加文本�����。
2.抓包主窗口的布局設置
在Preferences窗口的Appearance(外觀(guān))配置選項中��,有一個(gè)Layout子配置選項��,用來(lái)設置數據包列表(Packet List)���、數據包結構(Packet Details)和數據包內容(Packet Bytes)區域在Wireshark抓包主窗口里的呈現方式����,如圖2.3所示��。
圖2.3
在圖2.3所示的Preferences窗口中���,可通過(guò)選擇區域(Pane)的排列樣式���,來(lái)設置上述3個(gè)區域在Wireshark抓包主窗口中的呈現方式�。
3.調整及添加數據包屬性列
在Preferences窗口的Appearance(外觀(guān))配置選項中��,有一個(gè)Columns子配置選項���,用來(lái)添加或刪除抓包主窗口的數據包列表區域里的數據包屬性列(欄)�����。在默認情況下�����,出現在抓包主窗口的數據包列表區域里的數據包屬性列有No.(編號)���、Time(抓取時(shí)間)����、Source(源地址)�����、Destination(目的地址)�、Protocol(協(xié)議類(lèi)型)�����、Length(長(cháng)度)以及Info(信息)�����,如圖2.4所示����。
要給數據包列表區域添加一個(gè)新列�����,可通過(guò)以下兩個(gè)途徑���。
點(diǎn)擊圖2.4中的“+”號按鈕�����,先在Type一欄里選擇預定義的參數(比如���,IP DSCP value����、src port和dest port等)作為新的屬性列��,再在Title一欄里給它起個(gè)名字�,***單擊OK按鈕��。
點(diǎn)擊圖2.4中的“+”號按鈕��,先在Type一欄里選擇Custom(定制)��,再在Fields Name一欄里輸入可在顯示過(guò)濾器中露面的任一參數�,然后在Title一欄里給它起個(gè)名字�,***點(diǎn)擊OK按鈕�����。下面舉幾個(gè)以定制方式在抓包主窗口中添加的數據包屬性列的例子�。
要想在抓包主窗口中新增一列��,以便觀(guān)看TCP數據包的TCP窗口大小���,需在Fields Name一欄內輸入顯示過(guò)濾器參數tcp.window_size�����。
要想在抓包主窗口中新增一列����,以便觀(guān)看每個(gè)IP數據包包頭中的TTL字段值�����,需在Fields Name一欄內輸入顯示過(guò)濾器參數ip.ttl���。
要想在抓包主窗口中新增一列���,以便觀(guān)看每個(gè)RTP數據包中marker位置1的實(shí)例����,需在Fields Name一欄內輸入顯示過(guò)濾器參數rtp.marker�。
圖2.4
注意
還有一種添加新的數據包屬性列的辦法����,那就是在抓包主窗口的數據包結構區域里選擇數據包的某個(gè)字段�����,單擊鼠標右鍵�,在彈出的菜單中點(diǎn)擊Apply as Column菜單項����。這么一點(diǎn)���,那個(gè)字段就會(huì )成為數據包列表區域里新的數據包屬性列���。
在分析網(wǎng)絡(luò )故障時(shí)�����,酌情以定制方式添加數據包屬性列�,可加快定位故障的原因����。與此有關(guān)的內容本書(shū)后文再敘�����。
4.設置字體和配色
在Preferences窗口的Appearance(外觀(guān))配置選項中�����,有一個(gè)Font and Colors子配置選項�����,用來(lái)更改字體大小�、形狀及顏色�?�?砂磮D2.5所示來(lái)修改抓包主窗口的字體�。
圖2.5
注意
若不知如何將抓包主窗口的字體恢復為默認設置����,請按圖2.5所示將Font選為Consolas�����,將Size選為11.0�����,將Font style選為Normal����。
5.抓包設置
可通過(guò)Preferences窗口中的Capture設置選項����,將主機或筆記本電腦的常用網(wǎng)卡設置為Wireshark默認抓包網(wǎng)卡�。
在圖2.6中��,作者將自己筆記本電腦上名為Wireless Network Connection 2的無(wú)線(xiàn)網(wǎng)卡設置為Wireshark默認抓包網(wǎng)卡���。Capture設置選項的其余配置參數保持原樣���。
圖2.6
6.配置顯示過(guò)濾表達式***項
可通過(guò)Preferences窗口中的Filter Expressions設置選項�����,來(lái)定義出現在抓包主窗口的顯示過(guò)濾器工具條右邊的顯示過(guò)濾器表達式����。
要定義這樣的顯示過(guò)濾器表達式���,請按以下步驟行事���。
1.在Preferences窗口中點(diǎn)擊Filter Expressions設置選項�����,如圖2.7所示���。
圖2.7
2.點(diǎn)擊“+”號按鈕�,先在Filter Expression一欄里輸入顯示過(guò)濾器表達式�����,再在Button Label一欄里為它起個(gè)名字���,***點(diǎn)擊OK按鈕��。
3.點(diǎn)擊OK按鈕之后����,之前輸入的顯示過(guò)濾器表達式將會(huì )以按鈕的形式�����,出現在顯示過(guò)濾器工具條的右側����。
4.由圖2.8可知���,圖2.7中定義的那兩個(gè)名為T(mén)CP-Z-WIN和TCP-RETR的濾器表達式以按鈕的形式�����,出現在了抓包主窗口的顯示過(guò)濾器工具條的右側����。
圖2.8
注意
如本章***一節所述���,在Wireshark中����,可為每個(gè)模板分別配置不同的顯示過(guò)濾器***項��。這樣一來(lái)�����,就可以配置出各種模板�����,分別用來(lái)排除TCP�、IP電話(huà)(IPT)等各種故障���,或分別用來(lái)診斷各種網(wǎng)絡(luò )協(xié)議故障����。
如第4章所述�,在Filter Expressions設置選項中�����,應按照Wireshark顯示過(guò)濾器的格式來(lái)配置顯示過(guò)濾表達式���。
7.調整名稱(chēng)解析
Wireshark支持以下3個(gè)層級的名稱(chēng)解析���。
:Wireshark可把數據包的MAC地址的前半部分解析并顯示為網(wǎng)卡芯片制造商的名稱(chēng)或ID���。比方說(shuō)�,可把一個(gè)MAC地址的前3個(gè)字節14:da:e9解析并顯示為AsusTeckC(ASUSTeK Computer Inc�����,華碩計算機公司)���。
:Wireshark可把數據包的IP地址解析并顯示為名稱(chēng)�����。比方說(shuō)�,可把157.166.226.46這一IP地址����,解析并顯示為CNN網(wǎng)站的Edition頁(yè)面�����。
:Wireshark可把TCP/UDP端口號解析并顯示為應用程序(服務(wù))名稱(chēng)�����。比方說(shuō)����,可把TCP 80端口解析并顯示為HTTP���,把UDP 53端口解析并顯示為DNS���。
圖2.9所示為在Preferences窗口中點(diǎn)擊過(guò)左側的Name Resolution配置選項之后��,在窗口右側出現的配置內容�����。
圖2.9
在圖2.9所示的Preferences窗口中���,可從上到下配置下述內容��。
第2層��、第3層和第4層名稱(chēng)解析���。
執行名稱(chēng)解析的方法(通過(guò)DNS和/或hosts文件)�,以及并發(fā)的DNS請求數量的上限(旨在確保Wireshark軟件的運行速度不受影響)���。
簡(jiǎn)單網(wǎng)絡(luò )管理協(xié)議(SNMP)的對象標識符����、ID以及是否要將它們轉換為對象名稱(chēng)���。
GeoIP以及是否啟用它�。有關(guān)詳細信息�����,請參閱本書(shū)第10章[4]��。
注意
對一個(gè)TCP/UDP數據包的源�、目端口號而言�����,只有把目的端口號轉換為應用程序名稱(chēng)才有意義��。源端口號一般都是隨機生成(高于1024)���,將其轉換為應用程序名稱(chēng)沒(méi)有任何意義����。
8.調整Protocol配置選項里的IPv4配置參數
借助于Preferences窗口中的Protocols配置選項�����,可調整Wireshark對相關(guān)協(xié)議流量的抓取和呈現方式���。點(diǎn)擊配置選項Protocols左邊的箭頭��,會(huì )出現多種協(xié)議配置子選項��。圖2.10所示為選擇IPv4或IPv6協(xié)議配置子選項時(shí)�,出現在Preferences窗口右側的配置參數��。
圖2.10
下面是對IPv4配置子選項名下的某些配置參數的解釋��。
:制定IPv4協(xié)議標準之初����,為了能在IPv4網(wǎng)絡(luò )中保證服務(wù)質(zhì)量����,在IPv4包頭中設立了一個(gè)叫做服務(wù)類(lèi)型(ToS)的字段��。后來(lái)����,IETF又制定了一套IPv4服務(wù)質(zhì)量的新標準(區分服務(wù)�,DiffServ)�����,打的也是IPv4包頭中原ToS字段的主意���,只是對其中各個(gè)位的置位方式有了新的定義�����。若未勾選該復選框�����,Wireshark便會(huì )按老的IPv4服務(wù)質(zhì)量標準���,來(lái)解析所抓IPv4數據包包頭中的ToS字段�����。
: GeoIP是一個(gè)數據庫��,Wireshark可根據該數據庫里的內容來(lái)呈現(其所抓數據包IP包頭中源和目的)IP地址所歸屬的地理位置�����。若勾選該復選框���,Wireshark便會(huì )針對所抓IPv4和IPv6數據包的IP地址來(lái)呈現其所歸屬的地理位置�����。該子選項功能涉及名稱(chēng)解析����,一旦開(kāi)啟���,會(huì )拖慢Wireshark實(shí)時(shí)抓包速率�。第10章會(huì )介紹如何配置GeoIP����。
9.調整Protocol配置選項里的TCP和UDP配置參數
UDP是一種非常簡(jiǎn)單的協(xié)議�����,與Wireshark版本1相比����,Wireshark版本2的Protocols配置選項里的UDP協(xié)議配置子選項幾乎沒(méi)有變化�,可供配置的參數也不多����,一般無(wú)需調整;而TCP協(xié)議則很是復雜���,Protocols配置選項里TCP協(xié)議配置子選項中可供配置的參數較多���,如圖2.11所示�����。
圖2.11
調整TCP協(xié)議配置子選項名下的參數���,其實(shí)也就是調整Wireshark對TCP報文段的解析方式���,以下是對其中某些參數的解釋����。
:Wireshark有時(shí)會(huì )抓到超多校驗和錯誤(checksum errors)的數據包�,這要歸因于在抓包主機的網(wǎng)卡上開(kāi)啟的TCP Checksum offloading(TCP校驗和下放)功能��。該功能一開(kāi)���,便會(huì )導致Wireshark將抓到的本機生成的數據包顯示為checksum errors(具體原因后文再表)��。因此���,若Wireshark抓到了超多校驗和錯誤的數據包�����,則有必要先取消勾選該復選框��,再去驗證是否真的存在校驗和問(wèn)題���。
:要讓W(xué)ireshark對TCP數據包做詳盡分析����,就必須勾選該復選框�,因為T(mén)CP sequence numbers(TCP序列號)是TCP最重要的特性之一�����。
:主機在建立TCP連接時(shí)�����,會(huì )隨機選擇一個(gè)序列號���,并將其值存入相互交換的***個(gè)報文段的TCP頭部的序列號字段�����。只要勾選了該復選框�,Wireshark就會(huì )把一股TCP數據流中***個(gè)TCP報文段的(TCP頭部的)序列號字段值顯示為0��,后續TCP報文段的序列號字段值將依次遞增�,從而隱藏了真實(shí)的序列號字段值��。在大多數情況下�����,都應該讓W(xué)ireshark顯示TCP報文段的相對序列號(relative number)����,以方便網(wǎng)管人員查看����。
:該復選框一經(jīng)勾選����,在抓包主窗口的數據包結構區域中����,只要是TCP數據包��,就會(huì )在transmission control protocol樹(shù)下多出一個(gè)timestamps結構�����,點(diǎn)擊其前面的箭頭�,就能看到Wireshark記錄的該TCP數據包在本股TCP數據流中的時(shí)間烙印(timestamp)�。讓W(xué)ireshark顯示每個(gè)TCP數據包的時(shí)間烙印�,將有助于排查時(shí)間敏感型TCP應用程序的故障��。
2.2.3 幕后原理
通過(guò)修改Preferences窗口中Protocols選項下相關(guān)協(xié)議子配置選項的參數�����,便能開(kāi)啟或禁用Wireshark軟件對相應協(xié)議流量的某些分析功能��。需要注意的是�����,為了保證Wireshark軟件的運行速度��,應盡量禁用不必要的分析功能
對TOS和DiffServ的介紹�,詳見(jiàn)本書(shū)第10章����。
SNMP是一種用來(lái)行使網(wǎng)絡(luò )管理功能的協(xié)議�。SNMP對象標識符(OID)的作用是標識對象及其在管理信息庫(MIB)中的位置����。所謂對象�����,既可以是一個(gè)計數器�,對流入接口的數據包進(jìn)行計數;也可以是路由器接口的IP地址�����、設備的名稱(chēng)及安裝位置����、CPU負載或任何其他可呈現或可測量的實(shí)體���。
SNMP MIB按樹(shù)形結構來(lái)構建�,如圖2.12所示����。頂層MIB對象ID分屬不同的標準組織��。每家網(wǎng)絡(luò )廠(chǎng)商都會(huì )為自己的網(wǎng)絡(luò )產(chǎn)品定義私有分枝(包括受管理的對象)�����。
圖2.12
Wireshark在解析SNMP MIB時(shí)���,不但會(huì )顯示對象ID�,還會(huì )顯示其名稱(chēng)���,這有助于排障人員識別受監控的數據�。
3 抓包文件的導入和導出
將抓包文件分享給其他的運維團隊或設備廠(chǎng)商的支持人員�,以期查明網(wǎng)絡(luò )故障的根本原因是常有的事兒�����。這樣的抓包文件會(huì )包含很多數據包��,而排障人員感興趣的或許僅限于若干數據流或部分數據包�����。Wireshark不但支持將所抓數據有選擇地導出至新的文件���,甚至還能修改其格式��,以便傳輸����。本節將探討Wireshark支持的各種抓包文件導入和導出功能����。
3.1 準備工作
運行Wireshark軟件�����,點(diǎn)擊主工具條上的Capture按鈕�,開(kāi)始抓包(或打開(kāi)一個(gè)已保存的抓包文件)��。
3.2 配置方法
在Wireshark主抓包窗口內�����,既可以把抓來(lái)的所有數據都保存進(jìn)一個(gè)文件���,也能以不同的格式或文件類(lèi)型導出自己所需要的數據�����。
現在來(lái)講解如何執行這些操作����。
1.完整或部分導出抓包文件
既能把抓來(lái)的所有數據包(或抓包文件中的所有數據包)完整保存進(jìn)一個(gè)文件����,也能以各種文件格式和文件類(lèi)型導出特定的數據�。
要把抓來(lái)的所有數據包完整保存進(jìn)一個(gè)文件(或將現有的抓包文件完整另存為一個(gè)新的文件)���,請按以下步驟行事�。
若要保存抓包文件(或已抓數據包)中的部分數據(比如�,經(jīng)過(guò)顯示過(guò)濾器過(guò)濾的數據)�����,請按以下步驟行事�����。
圖2.13
可在Export Specified Packets窗口的左下角區域�,點(diǎn)擊相應的單選按鈕����,來(lái)選擇文件的導出方式��。
要把抓包文件中的所有數據包或所有已抓數據包作為一個(gè)文件導出��,請同時(shí)選擇All packets和Captured單選按鈕���,再點(diǎn)Save按鈕�。
要把抓包文件(或已抓數據包)中經(jīng)過(guò)顯示過(guò)濾器過(guò)濾的數據包作為一個(gè)文件導出��,請同時(shí)選擇All packets和Displayed單選按鈕��,再點(diǎn)Save按鈕����。
要把已選中的數據包(即在數據包列表區域中用鼠標點(diǎn)選的數據包)作為一個(gè)文件導出���,請選擇Selected packets only單選框��,再點(diǎn)Save按鈕�。
要把所有帶標記的數據包(給數據包打標的方法是����,先在“數據包列表”區域選中一個(gè)數據包��,然后點(diǎn)擊右鍵�,在彈出的菜單中選擇Mark/unmark packet 菜單項)作為一個(gè)文件導出����,請選擇Marked packets only單選按鈕�,再點(diǎn)Save按鈕�。
要把“數據包列表”區域中位列兩個(gè)帶標記的數據包之間的所有數據包作為一個(gè)文件導出�����,請選擇First to last marked單選按鈕��,再點(diǎn)Save按鈕����。
要把抓包文件中編號(詳見(jiàn)“數據包列表”區域里的“No.”列)連續的那部分數據包作為一個(gè)文件導出�����,請選擇Range單選按鈕����,并在其后的輸入欄內填寫(xiě)數據包的編號范圍�����,再點(diǎn)Save按鈕���。
導出抓包文件時(shí)��,要是希望放棄其中的某些數據包�,請先在“數據包列表”區域里選中那些數據包并單擊右鍵���,在彈出的菜單中選擇Ignore/Unignore packet tog菜單項;再然后����,選擇Export Specified Packets窗口中的Remove ignored packets復選框��,再點(diǎn)Save按鈕����。
要以壓縮的形式保存數據包��,請先勾選Export Specified Packets窗口中的Compress with gzip復選框�,再點(diǎn)Save按鈕�。
上述“存盤(pán)”操作既可以基于整個(gè)抓包文件中的所有數據包來(lái)進(jìn)行����,也可以基于抓包文件中經(jīng)過(guò)顯示過(guò)濾器過(guò)濾的數據包來(lái)進(jìn)行�。
2.保存數據的格式選取
Wireshark支持將抓到的數據以不同的格式來(lái)保存�,以便用各種其他工具做進(jìn)一步的分析�����。
通過(guò)點(diǎn)擊File菜單的Export Packet Dissections菜單項里的各個(gè)子菜單項�,可將抓包文件保存為以下格式�。
:保存為純文本ASCII文件格式�����。
:保存為PostScript文件格式��。
:保存為逗號分割文件格式����。這種格式的文件可為電子表格程序(比如����,Microsoft Excel)所用���。
:把數據包的內容以C語(yǔ)言數組的格式保存����,便于導入C程序���。
:存為PSML文件格式����。PSML是一種基于XML的文件格式��,只能保存數據包的匯總信息�。
:存為PDML文件格式����。PSML也是一種基于XML的文件格式���,但能保存數據包的詳細信息���。
3.數據打印
要想打印數據�����,請點(diǎn)擊File菜單里的Print菜單項��,Print窗口會(huì )立刻彈出�,如圖2.14所示�。
可在Print窗口中做如下選擇��。
在窗口的右上角(1)�,可選擇有待打印的數據包的具體內容���。
勾選Summary line復選框�,會(huì )打印出在數據包列表(Packet Summary)區域看到的數據包的內容����。
勾選Details復選框�,會(huì )打印出在數據包結構(Packet Details)區域看到的數據包的內容���。
勾選Bytes復選框�����,會(huì )打印出在數據包內容(Packet Byte)區域看到的數據包的內容��。
在窗口的左下區域�����,可選擇有待打印的數據包(操作方法類(lèi)似于文件保存�����,這在上一節已經(jīng)提到)�。
圖2.14
3.3 幕后原理
Wireshark支持以文本格式或PostScript格式來(lái)打印數據(以后一種格式打印時(shí)����,打印機應為PostScript感知的打印機)����,同時(shí)支持將數據打印至一個(gè)文件�����。選妥了Print窗口中的各個(gè)選項��,點(diǎn)擊Print按鈕之后�,會(huì )彈出操作系統自帶的常規“打印”窗口���,可在其中選擇具體的打印機來(lái)打印�����。
3.4 拾遺補缺
要查看Wireshark軟件存儲各種文件的系統文件夾�����,請點(diǎn)擊Help菜單中的About Wireshark菜單項���,在彈出的About Wireshark窗口中選擇Folders選項卡��,如圖2.15所示�����。在A(yíng)bout Wireshark窗口中����,可以看到Wireshark軟件存儲各種文件的實(shí)際文件夾�,在窗口的最右邊���,可以看到存儲在那些文件夾中的文件類(lèi)型�。
圖2.15
點(diǎn)擊Location下的鏈接�����,會(huì )進(jìn)入存儲相應文件的文件夾����。
4 調整數據包的配色規則
Wireshark會(huì )根據事先定義的配色規則����,用不同的顏色來(lái)分門(mén)別類(lèi)地顯示抓包文件中的數據��。合理地定義配色規則���,讓匹配不同協(xié)議的數據包以不同的顏色示人(或讓不同狀態(tài)下的同一種協(xié)議的數據包呈現出多種顏色)�����,能在排除網(wǎng)絡(luò )故障時(shí)幫上大忙�。
Wireshark支持基于各種過(guò)濾條件來(lái)配置新的配色規則�。這樣一來(lái)��,就能夠針對不同的場(chǎng)景定制不同的配色方案��,同時(shí)還能以不同的模板來(lái)保存���。也就是說(shuō)���,網(wǎng)管人員可在解決TCP故障時(shí)啟用配色規則A���,在解決SIP和IP語(yǔ)音故障時(shí)啟用配色規則B�����。
注意
可通過(guò)定義模板(profile)的方式��,來(lái)保存針對Wireshark軟件自身的配置(比如�,事先配置的配色規則和顯示過(guò)濾器等)���。要如此行事����,請點(diǎn)擊Edit菜單下的Configuration Profiles菜單項��。
4.1 準備工作
要定義配色規則�����,請按以下步驟行事�。
1.選擇View菜單���。
2.點(diǎn)擊中下部的Coloring Rules菜單項�,Coloring Rules-Default窗口會(huì )立刻彈出�,如圖2.16所示����。
該窗口顯示的是Wireshark默認啟用的配色規則���,包括TCP數據包����、路由協(xié)議數據包以及匹配某些協(xié)議事件的數據包的配色規則����。
圖2.16
4.2 操作方法
要調整配色規則���,請按以下步驟行事���。
圖2.17
在Name欄內填入本配色規則的名稱(chēng)��。比如�����,要想專(zhuān)為NTP協(xié)議數據包定制配色規則�����,那就在該輸入欄內填入NTP���。
在Filter字段內填入顯示過(guò)濾表達式��,指明本配色規則對哪些數據包生效�。欲知更多與顯示過(guò)濾器有關(guān)的內容��,請閱讀第4章����。
點(diǎn)擊Foreground按鈕����,為本配色規則選擇一款前景色�。此款顏色將成為受本配色規則約束的數據包在抓包主窗口的數據包列表區域里的前景色��。
點(diǎn)擊Background按鈕�����,為本配色規則選擇一款背景色�。此款顏色將成為受本配色規則約束的數據包在抓包主窗口的數據包列表區域里的背景色����。
要刪除一條配色規則�����,請點(diǎn)擊“−”按鈕(在“+”按鈕的右側)���。
要修改現有的配色規則�����,請雙擊該配色規則�。
點(diǎn)擊Import按鈕�,可導入現成的配色方案;點(diǎn)擊Export按鈕����,可導出當前的配色方案����。
注意
Coloring Rules窗口中配色規則的排放次序是有講究的����。請務(wù)必確保配色規則的排放次序與配色方案的執行次序相匹配���。比方說(shuō)����,作用于應用層協(xié)議數據包的配色規則應置于作用于TCP/UDP數據包的配色規則之前�,只有如此����,方能避免Wireshark為了應用層協(xié)議數據包而干擾TCP/UDP數據包的顏色����。
4.3 幕后原理
Wireshark軟件中的許多操作都與顯示過(guò)濾器緊密關(guān)聯(lián)����,定義配色規則也是如此��,因為受配色規則約束的數據包都是經(jīng)過(guò)預定義的顯示過(guò)濾器過(guò)濾的數據包�����。
4.4 進(jìn)階閱讀
可從Wireshark官方網(wǎng)站下載到很多經(jīng)典的Wireshark數據包配色方案�,在Internet上也能搜到許多其他的配色方案示例��。
要想使用某個(gè)配色規則文件���,請先將那些文件下載至本機�����,再在Wireshark中選擇View菜單�,單擊Coloring Rules菜單項��,在彈出的Coloring Rules-Default窗口中單擊Import按鈕����,將文件導入�����。
5 配置時(shí)間參數
對時(shí)間顯示格式的調整�,會(huì )在Wireshark抓包主窗口數據包列表區域的Time列(默認為左邊第2列)的內容里反映出來(lái)�����。在某些情況下���,有必要讓W(xué)ireshark以多種時(shí)間格式來(lái)顯示數據包���。比方說(shuō)��,在觀(guān)察隸屬同一連接的所有TCP數據包時(shí)�����,每個(gè)數據包的發(fā)送間隔時(shí)間是應該關(guān)注的重點(diǎn);當所要觀(guān)察的數據包抓取自多個(gè)來(lái)源時(shí)���,則最應關(guān)注每個(gè)數據包的確切抓取時(shí)間�。
5.1 準備工作
要配置Wireshark抓包主窗口數據包列表區域中數據包的時(shí)間顯示格式�,請進(jìn)入View菜單�,選擇Time Display Format菜單項�,其右邊會(huì )出現如圖2.18所示的子菜單���。
圖2.18
5.2 配置方法
圖2.18所示的Time Display Format菜單項的上半部分子菜單包含以下子菜單項����。
:當通過(guò)Wireshark抓包來(lái)幫助排除網(wǎng)絡(luò )故障����,且故障發(fā)生的時(shí)間也是定位故障的重要依據時(shí)(比如��,已獲悉了故障發(fā)生的精確時(shí)間���,且還想知道相同時(shí)間網(wǎng)絡(luò )內發(fā)生的其他事件時(shí))��,就應該根據具體情況���,選擇該子菜單項���。
:Epoch是指通用協(xié)調時(shí)間(格林威治標準時(shí)間的前稱(chēng))的1970年1月1日早晨0點(diǎn)��。這也是UNIX系統問(wèn)世的大致時(shí)間���。
:此乃Wireshark默認選項�。
:這也是一個(gè)常用選項��,此菜單項一經(jīng)點(diǎn)選����,數據包列表區域的Time列將顯示每個(gè)數據包的抓取時(shí)間差����。當監控時(shí)間敏感型數據包(比如�,TCP流量�、實(shí)時(shí)視頻流量����、VoIP語(yǔ)音流量)時(shí)�,就應該點(diǎn)選該子菜單項����,因為此類(lèi)數據包的發(fā)送時(shí)間間隔對用戶(hù)體驗有至關(guān)重要的影響����。
:在應用過(guò)顯示過(guò)濾器��,讓W(xué)ireshark只顯示抓包文件中部分數據的情況下(比如��,在只顯示隸屬于某條TCP流的所有數據包的情況下)��,通常都應該點(diǎn)選該子菜單項�。此時(shí)�,網(wǎng)管人員更關(guān)心的應該是隸屬于某條TCP數據流的各個(gè)數據包之間的抓取時(shí)間差���。
:提供UTC時(shí)間��。
Time Display Format菜單項的下半部分子菜單項涉及對時(shí)間精度的調整���。只有對時(shí)間精度要求很高的情況下�����,才建議更改默認設置�。
可使用Ctrl+Alt+任意數字鍵來(lái)調整上述時(shí)間格式選項�。
5.3 幕后原理
為抓到的數據包留下時(shí)間烙印時(shí)����,Wireshark依據的是操作系統的時(shí)間�����。在默認情況下�����,生效的是Seconds Since Beginning of Capture子菜單項功能�。
6 構建排障使用的配置模板
可定義Wireshark配置模板�����,來(lái)保存針對Wireshark軟件自身的各種配置(比如�����,外觀(guān)����、預定義的配色規則����、抓包及顯示過(guò)濾器等)��。要如此行事��,請進(jìn)入Edit菜單���,選擇Configuration Profile菜單項�。
Wireshark配置模板會(huì )保存下列信息���。
對Edit菜單中Preferences菜單項包含的各配置選項的定義�����,包括:對Appearance和Protocols功能項的定義(比如����,對Wireshark抓包主窗口的字體���、屬性列的列寬的定義)���。
抓***濾器����。
顯示過(guò)濾器和顯示過(guò)濾器宏(詳見(jiàn)第4章)�����。
配色規則�。
定制的HTTP�、IMF和LDAP頭部(詳見(jiàn)第12章)����。
用戶(hù)定義的解碼方式�,比如�,作為某種功能的解碼方式����,用戶(hù)可利用該功能臨時(shí)性地改變Wireshark對特殊協(xié)議的解析方式��。
所有配置模板文件都會(huì )保存在Wireshark軟件Personal Configuration目錄的 profiles目錄下�����。
6.1 準備工作
運行Wireshark軟件�����,點(diǎn)擊主工具條上的Capture按鈕�����,開(kāi)始抓包(或打開(kāi)一個(gè)已保存的抓包文件)����。
6.2 操作方法
要打開(kāi)現有的配置模板文件�����,請執行如下操作�����。
1.可點(diǎn)擊狀態(tài)欄***邊的Profile區域�����,選擇準備采用的現有配置模板�����,如圖2.19所示�����。
圖2.19
2.還可以進(jìn)入Edit菜單����,選擇Configuration Profiles菜單項��,在Configuration Profiles窗口中選擇準備采用的現有配置模板���,如圖2.20所示����。
圖2.20
要創(chuàng )建一個(gè)新的配置模板��,可執行如下步驟�����。
1.右鍵單擊狀態(tài)欄***邊的Profile區域��,在彈出的菜單中選擇New菜單項��,或者在圖2.20所示的窗口中點(diǎn)擊“+”號按鈕�。
2.新的配置模板創(chuàng )建之后�����,在profiles目錄下會(huì )創(chuàng )建一個(gè)新的目錄�����,如圖2.21所示��。
圖2.21
3.由圖2.21可知��,在新建的配置模板目錄下(本例為Wireless模板及Wireless目錄)��,可以看到包含抓***濾器的cfilter文件�、包含配色規則的colorfilters文件�����、保存HTTP字段配置的custom_http_header_fields文件�,以及保存preference菜單項功能配置的preference文件����。
6.3 幕后原理
創(chuàng )建新的模板時(shí)���,Wireshark軟件會(huì )在profiles目錄下新建一個(gè)同名目錄��。此后��,在關(guān)閉Wireshark或加載另一個(gè)配置模板時(shí)��,一個(gè)名為recent的文件會(huì )誕生在那個(gè)新的模板目錄內�����。該文件包含了常規的Wireshark窗口設置�����,包括可視工具欄����、時(shí)間戳顯示����、字體縮放級別和列寬等配置��。若在創(chuàng )建了新的配置模板之后還創(chuàng )建了抓***濾器����、顯示過(guò)濾器和配色規則�,則在那個(gè)新的模板目錄內還會(huì )誕生別的文件(分別為cfilters���、dfilters和colorfilters)��。
6.4 拾遺補缺
如前所述�����,保存模板配置參數的文件都位于profiles目錄下��。那么��,自然可以在不同的配置模板之間轉移配置參數����,比如�,在默認的preference文件中����,包含了以下與啟動(dòng)窗口中的顯示過(guò)濾器工具條有關(guān)的配置參數[5]�����。
####### Filter Expressions ######## gui.filter_expressions.label: SIP gui.filter_expressions.enabled: FALSE gui.filter_expressions.expr: sip gui.filter_expressions.label: RTP gui.filter_expressions.enabled: FALSE gui.filter_expressions.expr: rtp
