熟练使用Wireshark排除网络故障的方法

1 概述

本章会讨论如何娴熟地将Wireshark作为网络排障工具来使用,先讲如何配置用户界面,再谈如何配置全局和协议参数,接下来将讨论Wireshark文件夹、配置文件、文件夹和插件​​[3]​​

本章还会讲解Wireshark的配色规则及配置方法,同时会介绍新添加进W数据漫游ireshark版本2的智能滚动条功能,该功能对识别流量模式和协议的运作方式非常有帮助。

最后,会以对Wireshark模板(profile)wireshark没有找到接口及其使用方安全技术法的介绍来结束本章。所谓模板,是指为网络安全内容怎么写了加快排障时间,降低排障难度,事先在Wireshark中针对不同的网络环境、网络故障或网络协议,抓包是用来干什么的分别定义并保存的用户界面、协议参数、显示/抓包过滤器以及配色规则。本章会细述Wiresharkwireshark安装步骤模板,本书还会提供一些对读者有帮助的模板。

2 配置用户界面及全局、网络安全知识内容协议参数

通过Edit菜单中的Preferences菜单项以及Preferences窗口中的Protocol配置选项,不但能控制Wireshark软件的显示界面,而且还能改变该软件对常规协议数据包的抓取和呈现方式。本节将介绍如何在Prefe安全技术交底内容rences窗口的Protocol配置界面中配置最常见的协议wireshark

2.1 准备工作

点击Edit菜单中的Preferences菜单项,Prefer网络安全教育ences窗口会立刻弹出,如图2.1所示。

图2.1

由图2.1可知,在Preferences窗口中,只要选择了窗口左边的配置选项,窗口的右边便会出现相应的配置参数。

2.2 配置方法

本节wireshark设置中文会介绍如何配置Preferences窗口中的数据分析Appearance(外观)配置选项,以及如何针对最常用wireshark过滤ip的协议,配置Pref网络/安全erences窗口中的Protocowireshark是什么软件l选项。Pre安全技术与管理ferences窗口所含其余配置选项的配置方法请见本书后面的相关章节。

注意

由于本书旨在向读者传授Wiresh抓包awiresharkrk的使用诀窍,以及如何娴熟地将其作为排障工具来使用,因此不可能细述Wireshark的所有功能。Wireshark的简单功能请参阅其官网的用户手册,作者会重点讲解可以提高用户使用娴熟度的重要和特殊的功能。

先把目光放在Pre数据标注ferences窗口所含配置选项的设置上,看看这些配置选项能否对用户有所帮助。

1.wireshark常规的外观设置

图2.2所示为Wireshark Preferences窗口的Appearan安全技术交底ce(外观)配置选项,可以对该选项的内容进行配置安全技术与管理专业是干什么的,来提高使用体验。

图2.2

Preferences窗口的Appearance配置选项可供配网络安全大赛置的内容有:

  • 显示过滤器和最新抓包文件的缓冲区的大小;
  • 用户界面的语言(以后的版本将支持更多国家的语言);
  • 主工具条的显示风格——图标、文本或图标加文本。

2.抓包主窗网络安全知识口的布局设置

在Preferences窗口的Appearance(外观)配置菜单项后带......表示选项中,有一个Layout子配置选项,用来设置数据包列表(Packet List网络安全工程师)、数据包结构(安全技术与管理专业就业方向Packet Details)和数据包内容(Packet Bytes)区域在Wireshark抓包主窗口里的呈现方式,如图2.3所示。

图2.3

在图2.3所示的Preferences窗口中,可通过选择区域(Pane)的排列样式,来设置上述3个区域在Wires网络安全教育hark抓包主窗口中的呈现方式。

3网络安全知识内容.调整及添加数据包抓包是什么意思属性列

在Preferences窗口的Appearance(外观)配置选项中,有一个Columns子配置选项,用来添加或删除抓包主窗口的数据包列表区域里的数据包属性网络/安全列(栏)。在默认情况下,出现安全技术与管理专业是干什么的在抓包主wireshark过滤关键字窗口的数网络安全教育据包列表区域里的数据包属性列网络安全知识内容有No.(编号)、Time(抓取时间)、Source(源地址)、Destination(目的地址)、Prot数据漫游是什么意思ocol(协议类型)、Length(菜单项后带......表示长度)以及Info(信息),网络安全大赛如图2.4所示。

要给数据包列表区域添加一个新列,可通过以下两个途径。

  • 点击图2.4中的“+”号按钮,先在Type一栏里选择预定义的参数(比如,IP DSCP valu数据库e、src port和dest port等)作为新的属性列,再在Title一栏里网络安全专业给它起个名字,最后单击OK按钮。
  • 点击网络安全内容怎么写图2.4中的“+”号按钮,先在Type一栏里选择Custom(定制),再在Field网络安全大赛s Name一栏里输入可在显示过滤器中露面的任一参数,然后在Title一栏里给它起个名字,最后点网络安全教育心得体会击OK按钮。下抓包面举几个以定制方式在抓包主窗口中添加的数据包属性列的例子。
  • 要想在抓包主窗口中新增一列,以便观看TCP抓包数据包的TCP窗口大小,需在Fields Name一栏内输入显示过滤器参数tcp.window_size。
  • 要想在抓包主窗口中新增一wireshark列,以便观看每个IP数据包包头中的TTL字段值,需在Fields Name一栏内输入显示过滤器参数ip.ttl。
  • 要想在抓包主窗口中新增一列,以便观看每个RTP数据包中marker位置1的实例,需在Fields Name一栏内输入显示过滤器参数rtp.marker。

图2.4

注意

还有一种添加新的数据包属性列的办法,那就是在抓包主窗口的数据包结构区域里选择数据包的某个字段,单击鼠标网络安全右键,在抓包是用来干什么的弹出数据结构的菜单中点击Apply as Column菜单项。这么一点,那个字段就会成为数据包列表区域里新的数据包属性列。

在分析网络故障时,酌情以定制方式添加数据包属性列,可加快定位故障的原因。与此有关的内容本书后文再叙。

4.设置字体和配色

在Preferences窗口的网络/安全Appearwireshark怎么使用ance(外抓包软件怎么使用观)配置选项中,wireshark读音有一个Font and Colors子配置选项,用来更改字体大小、安全技术与管理专业是干什么的形状及颜色。可按图2.5所示来修改抓包主窗口的字体。

图2.5

注意

若不知如何将抓包主窗口的字体恢复为默认设置,请按图2.5所示将Font选为Consolas,将Size选为11.0,将Font sty网络安全教育心得体会le选为Normal。

5.抓包设置

可通过Pre网络/安全ferences窗口中的Ca数据漫游是什么意思pture设置选项,将主机或笔记本电抓包是什么意思脑的常用网卡设置为Wireshark默认抓包网卡安全技术交底交底人谁签字

在图2.6中,作者将自己笔记本电脑上名为Wireless Network Connection 2的无线网卡设置为Wireshark默认抓包网卡。Capture设置选项的其余配置参数保持原样。

图2.6

6.配置显示过滤表达式首选项

可通过Preferences窗口中的Filter Expressions设置选项,来定义出现在抓包主窗口的显示过滤器工具数据废土条右边的显示过滤器表达式。

要定义这样的显示过滤器菜单项表达式,请按以下步骤行事。

1.在Preferewireshark是什么软件nces窗口中点击Filter Expressions设置选项,如图2.7所示。

图2.7

2.点击“+”号按钮,先在Filte网络安全知识r Expression一栏里输入显示过滤器表达式,再在Button Label一栏里为它起个名字,最后点击OK按钮。

3.点击OK按钮之后,之前输入的显示过滤器表达式将会以按钮的形式,出现在显示过滤器工具条的右侧。

4.由图2.8可知,图2.7中定义的那两个名为TCP-抓包技术是违法的吗Z-WIN和TCP-RETR的滤器表达式以按钮的形式,出现在了网络安全内容怎么写抓包主窗口的显示过滤器工具条的右侧。

图2.8

注意

如本章最后一节所述,在Wireshark中,可为每个模板分别网络安全知识配置不同的显示过滤器首选项。这样一来,就可以配置出各种模板,分别用来排除网络安全大赛TCP、IP电话(IPT)等各种故障,或分别用来诊断各种网络协议故障。

如第4章所述,在Filter Expressions设置选项中,应按照Wireshark显示过滤器的格式来配置显示过滤表达式。

7.调wireshark读音整名称解析

Wireshark支持以下3个层级的名称解析。

  • 第二层(L2) :Wireshark可把数据包的MAC地址的前半部分解析并数据透视表显示为网卡芯片制安全技术交底交底人谁签字造商的名称或ID。比方说,可把一个MAC地址的前3个字节14:da:e9解析并显示为AsusTeckC(AS网络安全法USTeK Computer Inc,华硕计算机公司)。
  • 第三层(L3) :Wireshark可把数据包的IP地址解析并显示为DNS名称。比方说,可把157.1数据分析师66.226.46这一IP地址,解析并显示为CNN网站的Edition页面。
  • 第四层(L4)

:Wireshark可把TC网络安全知识P/UDP端口号解析并显示为应用程序(服务)名称。比方说,可把TCP 80端口解析并显示为HTTP,把UDP 5抓包软件是什么意思3端口解析并显示为DNS。

图2.9所示为在Preferences窗口中点击过左侧的Na菜单项me Resolutionwireshark过滤关键字配置选项之后,在窗口右侧出现的配置内容。

图2.9

在图2.9所示的Preferences窗口中,可从上到下配数据标注置下述内容。

  • 第2层、第3层和第4层名称解析。
  • 执行名称解析的方法(通过DNS和/或hosts文件),以及并发的wireshark设置中文DNS请求数量的上限(旨在确保Wireshark软件的运行速度不受影响)。
  • 简单网络管理协议(SNMP)的对象标识符、ID以及是否要将它们网络安全内容怎么写转换为对象名称。
  • GeoIP以及是否启用它。有关详细信息,请参阅网络安全大赛本书第10章​​[4]​​。

注意

对一个T网络/安全CP/UDP数据包的源、目端口号而言,只有把目的抓包app端口号换为应用程序名称才有意义。源端口号一般都是随机生成(高于1024),将其转换数据结构为应用程序名称没有任何意义。

  • Wireshark会默认解析第2层MAC地址和第4层TCP/UDP端口号,并按名称来显示。解析IP地址会拖慢Wireshark的运行速度,因为这会让Wireshark软件本身额外执行大量的Dwireshark安装步骤NS查询,所以在开启该功能之前应谨慎考虑。

8.调整Protocol配置选项里的IPv4配置参数

借助于Preferences窗口中的Pr数据结构otocols配置选项,可调整Wireshark对相关协议流量的抓取和呈现方式。点击配置选项Protocols左边的箭头,会出现多种协议配置子选项。图2.10所示为选择IPv4或IPv6协议配置子选项时,出现在Preferences窗口右侧的配安全技术与管理置参数。

图2.10

下面是对IPv4配置子选项名下的某些配置参数的解释。

  • Decode IPv4 TOS field as DiffServ field :制定IPv4协议标准之初,为了能在IPv4网络中保证服务质量,在IPv4包头中设立了一个叫做服务类型(ToS)的字段。后来,IETF又制定了一套IPv4服务质量的新标准(区分服务,Di网络安全工程师ffServ),打的也是IPv4包头中原ToS字段的主意,只是对其中各个位的置位方式有了新的定义。若未勾选该复选框,Wireshark便会按老的IPv4服务质量标准,来解析所抓IPv4数据包包头中的ToS字段。
  • Enable GeoIP lookups : GeoIP是一个数据库,Wireshark可根据该数据库里的内容来呈现(其所抓数据包IP包头中源和目的)IP地址所归属抓包工具的地理位置。若勾选该复选框,Wireshark便会针对所抓IPv4和IPv6数据包的IP地址来呈现其所归属的地理位置。该子选项功能涉及名称解析,一旦开启,会拖慢Wireshark实时抓包速率。第10章会介绍如何配置GeoIP网络安全大赛

9.调整Protocol配置选项里的TCP和UDP配置参数

UDP是一种非常简单的协议,与Wireshark版本1相比,Wireshar抓包k版本2的Protocols配置选项里的UDP协议配置子选项几乎没有变化,可供配置的参数也不多,一般无需调整;而TCP协议则很是复杂,Protocols配置选项里TCP协议配置子选项中可供配置的参数网络安全较多网络安全大赛,如图2.11所示。

图2.11

调整TCP协议配置子选项名下的参数,其实也就是调整Wireshark对TCP报文段的解析方式,以下是对其中某些参数的解释。

  • Validate t安全技术交底范本he TCP checksum if possible :Wireshark有抓包是什么意思时会抓到超多校验和错误(checksum errors)的数据包,这要归因于在抓包主机的网卡上开启的TCP Checksum offloading(TCP校验和下放)功能。该功能一开,便会导致Wireshark将抓到的本机生成的数据包显示为checksum errors(具体原因后文再表)。因此,若安全技术交底交底人谁签字Wireshark抓到了超多校验和错误的数据包,则有必要先取消勾选该复选框,再去验证是否真的存在校验和问安全技术与管理专业题。
  • Analyze TCP sequence numbers :要让Wireshark对TCP数据包做详尽分析,就必须勾选该复选框,因为TCP sequence numbers(Twireshark过滤ipCP序列号)网络安全教育心得体会是TCP最重要的特性之一。
  • Relative seq安全技术uence numbers :主机在建网络/安全安全技术措施包括哪些内容TCP连接时,会随机选择一个序列号,并将其值存入相互交换的第一个报文段的TCP头部的序列号字段。只要勾选了该复选框,Wireshark就会把一股TCP数据流中第一个TCP报文段的(TCP头部的)序列号字段值显示为0,后续TCP报文段的序列号字数据漫游是什么意思段值将依网络安全教育次递增,从而隐藏了真实的序列号字段值。在大多数情况下,都应该让Wireshark显数据漫游示TCP报文段的相对序列号(relative number),以方便网管人员查看。
  • Calculate c数据恢复onversation timestamps :该复选框一经勾选,在抓包主窗口的数据包结构区域中,只要是TCP数据包,就会在transmiss网络安全专业ion contro网络安全大赛l protoco网络/安全l树下多出一个timestam抓包软件下载ps结构,点击其前面的箭头,就能看到Wireshark记录的该TCP数据包在本股TCP数据流中的时间烙印(timestamp)。让Wireshark显示每个TCP数据包的时间烙印,将有助于排查时间敏感型TCP应用程序的故障。

2.2.3 幕后原理

通过修改Preferences窗口中Protoc网络安全工程师ols选项下相关协议子配置选项的参数,便能开启或禁用Wireshark软件对相应协议流量的某些分析功能。需要注意的是,为了保证Wire安全技术与管理shark软件的运行速度,应尽量禁用不必要的分析抓包软件是什么意思功能

对TOS和DiffServ的介绍,详见本书第10章。

SNMP是一种用来行使网络管理功能的协议网络安全知识。SNMP对象标识符(OID)的wireshark怎么使用作用是标识对象及其在管理信息库(安全技术交底MIB)中的位置。所谓对象,既可以是一个计数器,对流入接口的数据包进行计数;也可以是路由器接口的IP地址、设备的名称数据结构及安装位置、CPU负载或任何其他可呈现或可测量的实体。

SNMP MIB按树形结构来构建,如图2.12所示。顶网络安全法规定层MIB对象ID分属不同的标wireshark是什么软件准组织。每家网络厂商都会为自己的网络产品定义私有分枝(包括受管理的对象)。

图2.1wireshark过滤ip2

Wireshark在解析SNMP MIB时,不但会显示对象ID,还会显示其名称,这有助于排障人员识别受监控的数据。

3 抓包文件的导入和导出

将抓包文件分享给其他的运维团队或设备厂商的支持人员,以期查明网络故障的根本原因是常有的事儿。这样的抓包文件会包含很多数据包,而排障人员感兴趣的或许仅限于若干数据流或部分数据包。Wireshark不但支持将所抓数据有选择地导出至新的文件,甚至还能修改其格式,以便传输。本节将探讨Wireshark支持的各种抓包文件导入和导出功能。

3.1 准备工作

运行Wireshark软件,点击主工具条上的Capt数据库ure按钮,开始抓包(或打开一个已保存的抓包文件)。

3.2 配置方法

在Wires网络安全法规定hark主抓包窗口内,既可以把抓来的所有数据都保存进一个文件,也能以不同的格式或文件类型导出自己所需要的数据。

现在来讲解如何执行这些操作。

1.完整网络安全法或部分导出抓包文件

既能把抓来的所有数据包(或抓包文件中wireshark设置中文的所有数据包)完整保存进一个文件,也能以各种文件格式和文件类型网络安全法导出特定的数据。

wireshark设置中文把抓来的所有数据包完整保存进一个文件(或将现有的抓包文件完整另存为一个新的文件),请按以下步骤行网络安全知识内容事。

  • 点击File菜单里的Save菜单项(或按Ctrl+S键),在弹抓包违法吗出窗口的“文件名”输入栏内输入有待保存的抓包文件的名称。
  • 点击File菜单里的S数据透视表ave as菜单项(或按Shift +Ctrl +S键),在弹出窗口的“文件名”输入栏内输入有待保存的抓包文件的新名称。

若要保存抓包文件(或已抓数据包)中的部分数据(比如,经过显示过滤器过滤的数据),请按以下步骤行事。

  • 点击F抓包软件是什么意思ile菜单里的Export Specified Packets菜单项,E抓包工具有哪些xport Specified Packets窗口会立刻弹出,如图2.13所示。抓包软件怎么使用

图2.13

可在Export Specified Packets窗口的左下角区域,点击相应的单选按钮,来选择文件的导出方式。

  • 要把抓包文件中的所有数据网络安全内容怎么写包或所有已抓数据包作为一个文件导出,请同时选择All packets和Captured单选按钮,再点Save按钮。
  • 要把抓包文网络安全专业件(或已抓数据包)中经过显示过滤器过滤的数据包作为一个文件导出,请同时选择All packets和Displayed单选按钮,再点Save按钮。
  • 要把已选中的数据包(即在数据包列表区域中用鼠安全技术与管理专业就业方向标点选的数据包)作为一个安全技术交底范本文件导出,请选择Selected packets onl网络安全法规定y单选框,再点Save按钮。
  • 要把所有带标记的数据包(给数据包打标的方法是,先在“数据包列表”wireshark设置中文区域选中一个数据包,然后点击右键,在弹出的菜单中选择Mark/unmark packet 菜单项)作为一个文件导出,请选择Marked packets only单选按钮,再点Save按钮。
  • 要把“数据包列表”区域中位列两个带标记的数据包之间的所有数据包作为一个文件导出,请选择First twireshark安装步骤o last marked单选按钮,再点Save按钮。
  • 网络安全把抓包文件中编号(详见“数据包列表”区域里的“No.”列)连续的那部分数据包作为一个文件导出,请选择Range单选按钮,并在其后的输入栏内填写数据包的编号范围,再点Save按钮。
  • 导出抓包文件时,要是希望放弃其中的数据分析某些数据包,请先在“数据包列表”区域里选中那些数据包并单击右键,在弹出的菜单中选择Ignore/Unignore安全技术与管理专业就业方向 packet tog菜单项;再然后,选择Export Specified Packets窗口中的Remove ignored packets复选框,再点Save按钮。

要以压缩安全技术与管理专业的形式保存数据包,请先勾选Export Specified Packets窗口中的安全技术与管理Compress wit网络安全法h g网络安全知识zip复选框,再点Save按钮。

上述“存盘”操作既可以基于整个抓包文件中的所有数据包来进行,也wireshark下载可以基于抓包文件中经过显示数据库过滤器过滤的数据包来进行。

2.保存数据的格式选安全技术措施包括哪些内容

Wireshark支持将抓到的数据以不同的格式来保存,以便用各种其他工具做进一步网络安全知识的分析。

通过点击File菜单的Export Packet Dissections菜单项里的wireshark安装步骤各个子菜单项,可将抓包文件保存为以下格式。

  • 纯文本格式(*.txt) :保存为纯文本ASCII文件格式。
  • PostScript(*.pst) :保存为PostScript文件格式。
  • 逗号分割值格式菜单项后带......表示(Comma Separated Values)(*.csv) :保存为逗号分割文件格式。这种格式的文件可为电子表格程序(比如,Microsoft Excel)所用。
  • C语言数组格式(*.c) :把数据包的内容以C语言数组的格式保存,便于导入C程序。
  • PSML格式(*.psml) :存为PSML文件格式。PS网络安全教育心得体会ML是一种基于XML的文件格式,只能保存数据包的汇总信息。
  • PDML格式(*.pdml) :存为PDML文件格式。PSML也是一种基于XML的文件格式,但能保存数据包的详数据标注细信息。

3.数据打印

要想打印数据,请点击File菜单里的Print菜单项,Print窗网络/安全口会立刻弹出网络安全内容怎么写,如图2.14所示。

可在Print窗口中做如下选择。

  • 在窗口的右上角(1),可安全技术与管理专业是干什么的选择有待打抓包印的数据包的具体内容。
  • 勾选Summary line复选框,会打印出在数据包列表(Packet Summary)区域看到的数据包的内容。
  • 勾选Details复选框,会打印出在数据包结构(Packet Details)区域看到的数据包的内容。
  • 勾选B网络安全ytes复选框,会打印出在数据包内容(Packet Byte)区域看到的数据包的内容。
  • 安全技术交底范本窗口的左下区域,可选择有待打印的数据包(操作方法类似于文件保存,这在上一节已经提到)。

图2.14

3.3 幕后原理

Wiresharwireshark安装步骤k支持以文本格式或PostScript格式来打印数据(以后一种格式打印时,打印机应为PostScript感知的打印机),同时支持将数据打印至一个文件。选安全技术交底交底人谁签字妥了Print窗口中的各个选项,点击Print按钮之后,会弹出操作系统自带的常规“打印”窗口,可在其中选择具体的打印机来打印。

3.4 拾遗补缺

要查看Wireshark软件存储各种文件的系统文件夹,请点击Help菜单中的About Wir网络安全法规定eshark菜单数据废土项,在弹出的About Wireshark窗口中选择Folders选项卡,如图2.15所示。在About Wiresha网络安全内容怎么写rk窗口中,可以看到Wireshark软件存网络安全内容怎么写储各种文件的实际文件夹,在窗口的最右边,可以看到存储在那些文件夹中的文件类型。

图2.15

点击Location下的链接,会进入存储相应文件的文件夹。

4 调整数据包的配色规则

Wireshark会根据事先定义的配色规则,用不网络安全专业同的颜色来分门别类地显示抓包文件中的数据。合理地定义配色规则,让匹配不同协议的数据包以不同的颜色示人(或让不同状态下的同一种协议的数据包呈现出多种颜色),能在排除网络故障时帮上大忙。

Wireshark支持基于各种过滤条件来配置新的配色规则。这样一来,就网络安全法能够针对不同的场景定制不同的配色方案,同时还能以不同的模板来保存。也就是说,网管人员可在解决网络安全知识内容TCP故障时启用配色规则A,在解决SIP和IP语音故障时启用配色规则B。

注意

可通过定义模板(p网络安全工程师rofile)的网络安全法规定方式,来保存针对Wireshark软件自身的配置(比如,事先配置的配色规则和显示过滤器等)。要如此行事,请点击Edi网络安全知识内容t菜单下的Confi数据库guration Profiles菜单项。

4.1 准备工数据库

要定义配色规则,请按以下步骤行事。

1.选择View菜单。数据分析师

2.点击中下数据透视表部的Coloring网络安全工程师 Rules菜单项,Coloring Rules-Default窗口会立刻弹出,如图2.16所示。

该窗口显示的是Wireshark默认启用的配色规则,包括TCP数据包、路由协议数据数据分析包以及匹配某些协议事件的数据包的配色规则。

图2.16

4.2 操作方法

要调整配色规则,请按以下步骤行事。

  • 要定义一条新的配色规则,请点击“+”按钮,如图2.17wireshark设置中文所示。

图2.17

  • 在Name栏内填入本配色规则的名wireshark安装步骤称。比如,要想专为NTP协议数据包定制配色规则,那就在该输入栏内填入NTP。
  • 在Filter字段内填入显示过滤表达式,指明本配色规则对哪些数据包生效。欲知更多与显示过滤器有关的内容,请阅读第4章。
  • 点击Foreground按钮,为本配安全技术色规则选择一款前景色。此款颜色将成为受本数据废土配色规则约束的数据包在抓包主数据废土窗口的数据包列表区域里的前景色。
  • 点击Background按钮,为wireshark本配色规则选择一款背景色。此款颜色网络安全内容怎么写将成为受本配色规则约束的数据包在抓包主窗口的数据包列表区域里的背景色。
  • 要删除一条配数据结构色规则,请点击“−”按钮(在“+”按钮的右侧)。
  • 要修改现网络安全教育心得体会有的配色规则,请双击该配色规则。
  • 点击Import按钮,可导入现成的配色方案;点击Export按钮,可导出当前的配色方案。

注意数据

Colorin数据分析g Rules窗口中配色规则的排放次序是有讲究的。请务必确保配色规则的排放次序与安全技术措施配色方案的执行次序相匹配。比方说,作用于应用层协议数据包的配色规则应置于作用于TC安全技术与管理专业就业方向P/UDP数据包的配色规则之前,只有如此,方能避免Wireshark为了应用层协议数据包而干扰TCP/UDP数据包的颜色。

4.3 幕后原理安全技术交底

Wiresha网络安全法rk软件中的许多操作都与显示过滤器紧密关联,定义配色规安全技术与管理专业则也是如此,wireshark下载因为受配色规则约束的数据包都是经过预定义wireshark设置中文的显示过滤器过滤的数据包。

4.4 进阶阅读

  • 可从Wiresharkwireshark过滤ip官方网站下载到很多经典的Wireshark数据包配色方案,在Internet上也能搜到许多其他的配色方案示例。
  • 要想使抓包用某个配色规则文件,请先将那些文件下载至本机,再在Wireshark中选择View菜单,网络安全教育心得体会单击Coloring Rules菜单项,在弹出的Coloring Rules-Default窗口中单击Import按钮,将文件导入。

5 配置时间参数

对时间显示格式的调整,会在Wireshark抓包主窗口数据包列表区域菜单项后带......表示的Time列(默认为左边第2列)的内容里反映出来。在安全技术交底交底人谁签字某些情况下,有网络安全法必要让Wireshark以多种时间格式来显示数据包。比方说,在观察隶属同一连接的所有TCP数据包时,每个数据包的发送间隔时间是应该关注的重点;当所要观察的数据包抓取自多个来源时,则最应关注每个数据包的确数据分析师切抓取时间。

5.1 准备工作

要配置Wireshark抓包主窗口数据包列表区域中数据包的时间显示格式,请进入View菜单,选择Time Displa网络安全专业y Fo网络安全法规定rmat菜单项,其右边会出现如图2.18所示的子菜单。

图2.18

5.2 配置方法

图2.18所示的Time Display Format菜单项的wireshark设置中文上半部分子菜wireshark下载单包含以下子菜单项。

  • Date and Time of Day数据标注当通过Wireshark抓包来帮助排除网络故障,且故障发生的时间也是定位故障的重要依据时(比如,已获悉了故障发生的精确时间,且还想知道相同时间网络内发生的其他事件时),就应该根据具抓包软件下载体情况,选择该子菜单项。
  • S菜单项econds Since 1970-01-01(自1970年1月1日以来的秒数) :Epoch是指通用协调时间(格林威治标准时间的wireshark是什么软件前称)的1970年1月1日早晨0点。这也是UNIX系统问世的大致时间。
  • Seconds Since Be数据库ginning of Capwireshark怎么使用ture(自开始抓包以来的秒数) :此乃Wireshark默认选项。
  • Seconds Since Previous Captured Packet(自抓到上一个数据包以来的秒数) :这也是一个常用选项,此菜单项一经点选,数据包列表区域的T数据分析师ime列将显示每个数据包的抓取时间差。当监控时间敏感型数据包(比如,TCP流量、实时视频流量、VoIP语音流量)时,就应该点选该子菜单项,抓包软件下载因为此类数据包的发送时间间隔对用户体验有至关重要的影响。
  • Seconds Since Previous Displayed Packet :在应用过显示过滤器,让Wireshark只显示抓包文件中部分数据的情况下(比如,在只显示隶属于某条TCP流的所有数据包的情况下),通常都应该点选该子菜单项。此时,网管人员更关心的应该是隶属于某条TCP数据流的各个数据包之间的抓取时间差。
  • UTC Date and Time of Day

:提供UTC时间。

Time Dis网络安全法规定play Format安全技术措施菜单项的下半部分子菜单项涉及对时间精度的调整。只有对时间精度要安全技术与管理求很高的情况下,才建议更改默认设置。

可使用Ctrl+Alt+任意数字键来调整上述时间格式选项。

5.3 幕后原理

为抓到的数据包留下时间烙印时,Wireshark依据的是操作系统的时间。在默认情况下,生效wireshark过滤ip的是Seconds Since Beginning of Capture子菜单项功能。

6数据恢复 网络安全构建排障使用的配置模板

可定义Wireshar网络/安全k配置模板,来保存针对Wireshark软件自身的各种配置(比如,外观、预定义的配色规则、抓包及显示过滤器等)。要如此行事,请进入Edit菜单,选择Configuration Profile菜单项。

Wi菜单项reshark配置模板会保存下列信息。

  • 对Editwireshark使用教程入门菜单中Preferences菜单项包含的各配置选项的定义,包括:对Appearancwireshark安装步骤e和Protocols功能项的定义(比如,对Wireshark抓包主窗口的字体、属性列的列宽的定抓包技术是违法的吗义)。
  • 抓包过滤器。
  • 显示过滤器和显示过滤器宏(详见第4章)。
  • 网络安全法规定色规则。
  • 定制的HTT网络安全教育心得体会P、IM安全技术措施包括哪些内容F和LDAP头部(详见第12章)。
  • 用户定义的解码方式,比如,作为某种功能的解码方式,用户可利用该功能临时性地安全技术与管理专业是干什么的改变Wireshark对特殊协议的解析方式wireshark是什么软件

所有配置模板文件都会保存在Wireshark软件Personal Configuration目录的 profiles目录下。

6.1 准备工作

运行Wireshark软件,点击主工具条上的Capture按钮,开始抓包(或打开一wireshark过滤ip个已保存的抓包文件)。

6.2 操作方法

要打开现有的配置模板文件,请执行如下操作。

1.可点击状态栏最后边的Profile区域,选择准备采用的现有配置模板,如图2.19所示。

图2.19

2.还可以进入Edit菜单,选择Configuration Profiles菜单项,在Configuration Profiles窗口中选择准网络安全法备采用的现有配置模板,如图2.20所示。

图2.20

要创建一个新的配置模板,可执行如下步骤。

1.右键网络安全教育心得体会单击状态栏最后抓包是用来干什么的边的Profile区域,在弹出的菜单中选择Ne抓包工具有哪些w菜wireshark过滤ip单项,或者在图2.2网络安全内容怎么写0所示的窗口中数据标注“+”号按钮。

2.新的配置模板创建之后,在profiles目录数据透视表下会创建一个新的目录,如网络安全法规定图2.21所示。

图2.21

3.由图2.21可知,在新建的配置模板目录下(本例为Wireless模板及Wireless目录),可以看到包含抓包过滤器的c网络安全知识filter文件、包含配色规则的colorfilters文件、保网络安全法规定存HTTP字段配置的wireshark安装步骤custom_http_header_fields文件,以及保存preference菜单项功能配置的preference文件安全技术与管理专业是干什么的

6.3 幕后原理

创建新的模板时,Wireshark软件会在profiles目录下新建一个同名目录。此后,在关闭Wireshark或加载另一个配置模板时,一个名为recent的文件会诞生在那个新的模板目录内。该文件包含了常规的Wireshark窗口设置,包括可安全技术交底范本视工具栏、时间戳显示、字体缩放抓包工具级别和列宽等配置。若在创建了新的配置模板之后还创建了抓包过滤器、显示过滤器wireshark是什么软件和配色规则,则在那个新的模板目录内还会诞生别的文件(分别为cfilters、dfilters和colorfilters)。

6.4 拾遗补缺

如前所述,保存模板配置参数的文件都位于profiles目录下。那么,自然可以在不同的配置模板之间移配置参数,比如,在默认的preference文件中,包含了以下与启动窗口中的显示过滤器工具条有关的配置参数​​[5]​​

####### Filter Expressions ########
gui.filter_expressions.label: SIP
gui.filter_expressions.enabled: FALSE
gui.filter_expressions.expr: sip
gui.filter_expressions.label: RTP
gui.filter_expressions.enabled: FALSE
gui.filter_expressions.expr: rtp

若另一个配置模板也需要这样菜单项的配置参数,则只需将这些参数复制进该配置模板目录下的preference文件。

6.5 进阶阅读

在本书随后的相关章节内,会介绍具体的wireshark下载配置模板。第11章会介绍用于排除TCP性能故障的配置模板,第9章会介绍用于无线LAN分析的配置模板。


​​[1]​​ 译者注:点击Edit菜单的Preferences菜单项,会弹出Preferences窗口。所谓配置用户界面,就是配置该窗口中Appearance配置选项里的内容。

​​[2]​​ 译者注:即配置Pwireshark设置中文references安全技术与管理窗口中Protocol配置选项里的内数据库容。

​​[3]​​ 译者注:原文是“Next, we数据库 talk about Wireshark folders, configuration files, and folders and plugins”,译文按原文字面意思抓包软件是什么意思直译。

​​[4]​​ 译者注:本书第10章并没有GeoIP相关内容。

​​[5]​​ 译者注:原文是“You can of course copy parameterwireshark下载s from one profile to another; for example, in the defaultwireshark是什么软件 performance file, ywireshark读音ou have these filters”。

  • Wireshark大百科全书
  • 巨细靡遗地讲解Wiresh网络安全大赛ark操作细节
  • 掌握Wireshark基本操作的入门级图书
  • 排除网安全技术措施包括哪些内容络故障 性能调优的好帮手
  • 每一位IT运维人员的利器

本书扩网络安全工程师充了上一版的主题,涵盖如何使用Wireshark监控TCP性能、网络安全、无线LAN以及云和虚拟系统,介绍了在单播/多播网络环境中如何借助Wireshark分析端到端的IPv4/IPv数据6连通性故障。读者将了解E-mail协议的正常运行机制,学会如何使用Wireshark来完成基本的故障分析和排除工作。利用Wireshark这款利器,读者可以解决安全技术与管理专业就业方向企业网络中常用应用程序的故障。读者还将学习如何测量网络参数,如何检查并修复因网络参数引起的性能问题。

读完本书之后,读数据漫游是什么意思者将掌握如何分析流量,抓包软件下载如何发现各种异常流量,以及如何加固自己的网络。