|
|
51CTO旗下网站
|
|
开户注册送38体验金端

熟练使用Wireshark排除网络故障的方法

本章会讨论如何娴熟地将Wireshark作为网络排障工具来使用,先讲如何配置用户界面,再谈如何配置全局和协议参数,接下来将讨论Wireshark文件夹、配置文件、文件夹和插件[3]。

作者:程序员书屋来源:今日头条|2019-04-24 11:02

1 概述

本章会讨论如何娴熟地将Wireshark作为网络排障工具来使用,先讲如何配置用户界面,再谈如何配置全局和协议参数,接下来将讨论Wireshark文件夹、配置文件、文件夹和插件[3]。

本章还会讲解Wireshark的配色规则及配置方法,同时会介绍新添加进Wireshark版本2的智能滚动条功能,该功能对识别流量模式和协议的运作方式非常有帮助。

最后,会以对Wireshark模板(profile)及其使用方法的介绍来结束本章。所谓模板,是指为了加快排障时间,降低排障难度,事先在Wireshark中针对不同的网络环境、网络故障或网络协议,分别定义并保存的用户界面、协议参数、显示/抓包过滤器以及配色规则。本章会细述Wireshark模板,本书还会提供一些对读者有帮助的模板。

2 配置用户界面及全局、协议参数

通过Edit菜单中的Preferences菜单项以及Preferences窗口中的Protocol配置选项,不但能控制Wireshark软件的显示界面,而且还能改变该软件对常规协议新用户注册送47元彩金包的抓取和呈现方式。本节将介绍如何在Preferences窗口的Protocol配置界面中配置最常见的协议。

2.1 准备工作

点击Edit菜单中的Preferences菜单项,Preferences窗口会立刻弹出,如图2.1所示。

熟练使用Wireshark排除网络故障的方法

图2.1

由图2.1可知,在Preferences窗口中,只要选择了窗口左边的配置选项,窗口的右边便会出现相应的配置参数。

2.2 配置方法

本节会介绍如何配置Preferences窗口中的Appearance(外观)配置选项,以及如何针对最常用的协议,配置Preferences窗口中的Protocol选项。Preferences窗口所含其余配置选项的配置方法请见本书后面的相关章节。

注意

由于本书旨在向读者传授Wireshark的使用诀窍,以及如何娴熟地将其作为排障工具来使用,因此不可能细述Wireshark的所有功能。Wireshark的简单功能请参阅其官网的用户手册,作者会重点讲解可以提高用户使用娴熟度的重要和特殊的功能。

先把目光放在Preferences窗口所含配置选项的设置上,看看这些配置选项能否对用户有所帮助。

1.常规的外观设置

图2.2所示为Wireshark Preferences窗口的Appearance(外观)配置选项,可以对该选项的内容进行配置,来提高使用体验。

熟练使用Wireshark排除网络故障的方法

图2.2

Preferences窗口的Appearance配置选项可供配置的内容有:

  • 显示过滤器和最新抓包文件的缓冲区的大小;
  • 用户界面的语言(以后的版本将支持更多国家的语言);
  • 主工具条的显示风格——图标、文本或图标加文本。

2.抓包主窗口的布局设置

在Preferences窗口的Appearance(外观)配置选项中,有一个Layout子配置选项,用来设置新用户注册送47元彩金包列表(Packet List)、新用户注册送47元彩金包结构(Packet Details)和新用户注册送47元彩金包内容(Packet Bytes)区域在Wireshark抓包主窗口里的呈现方式,如图2.3所示。

熟练使用Wireshark排除网络故障的方法

图2.3

在图2.3所示的Preferences窗口中,可通过选择区域(Pane)的排列样式,来设置上述3个区域在Wireshark抓包主窗口中的呈现方式。

3.调整及添加新用户注册送47元彩金包属性列

在Preferences窗口的Appearance(外观)配置选项中,有一个Columns子配置选项,用来添加或删除抓包主窗口的新用户注册送47元彩金包列表区域里的新用户注册送47元彩金包属性列(栏)。在默认情况下,出现在抓包主窗口的新用户注册送47元彩金包列表区域里的新用户注册送47元彩金包属性列有No.(编号)、Time(抓取时间)、Source(源地址)、Destination(目的地址)、Protocol(协议类型)、Length(长度)以及Info(信息),如图2.4所示。

要给新用户注册送47元彩金包列表区域添加一个新列,可通过以下两个途径。

  • 点击图2.4中的“+”号按钮,先在Type一栏里选择预定义的参数(比如,IP DSCP value、src port和dest port等)作为新的属性列,再在Title一栏里给它起个名字,最后单击OK按钮。
  • 点击图2.4中的“+”号按钮,先在Type一栏里选择Custom(定制),再在Fields Name一栏里输入可在显示过滤器中露面的任一参数,然后在Title一栏里给它起个名字,最后点击OK按钮。下面举几个以定制方式在抓包主窗口中添加的新用户注册送47元彩金包属性列的例子。
  • 要想在抓包主窗口中新增一列,以便观看TCP新用户注册送47元彩金包的TCP窗口大小,需在Fields Name一栏内输入显示过滤器参数tcp.window_size。
  • 要想在抓包主窗口中新增一列,以便观看每个IP新用户注册送47元彩金包包头中的TTL字段值,需在Fields Name一栏内输入显示过滤器参数ip.ttl。
  • 要想在抓包主窗口中新增一列,以便观看每个RTP新用户注册送47元彩金包中marker位置1的实例,需在Fields Name一栏内输入显示过滤器参数rtp.marker。
熟练使用Wireshark排除网络故障的方法

图2.4

注意

还有一种添加新的新用户注册送47元彩金包属性列的办法,那就是在抓包主窗口的新用户注册送47元彩金包结构区域里选择新用户注册送47元彩金包的某个字段,单击鼠标右键,在弹出的菜单中点击Apply as Column菜单项。这么一点,那个字段就会成为新用户注册送47元彩金包列表区域里新的新用户注册送47元彩金包属性列。

在分析网络故障时,酌情以定制方式添加新用户注册送47元彩金包属性列,可加快定位故障的原因。与此有关的内容本书后文再叙。

4.设置字体和配色

在Preferences窗口的Appearance(外观)配置选项中,有一个Font and Colors子配置选项,用来更改字体大小、形状及颜色。可按图2.5所示来修改抓包主窗口的字体。

熟练使用Wireshark排除网络故障的方法

图2.5

注意

若不知如何将抓包主窗口的字体恢复为默认设置,请按图2.5所示将Font选为Consolas,将Size选为11.0,将Font style选为Normal。

5.抓包设置

可通过Preferences窗口中的Capture设置选项,将主机或笔记本电脑的常用网卡设置为Wireshark默认抓包网卡。

在图2.6中,作者将自己笔记本电脑上名为Wireless Network Connection 2的无线网卡设置为Wireshark默认抓包网卡。Capture设置选项的其余配置参数保持原样。

熟练使用Wireshark排除网络故障的方法

图2.6

6.配置显示过滤表达式首选项

可通过Preferences窗口中的Filter Expressions设置选项,来定义出现在抓包主窗口的显示过滤器工具条右边的显示过滤器表达式。

要定义这样的显示过滤器表达式,请按以下步骤行事。

1.在Preferences窗口中点击Filter Expressions设置选项,如图2.7所示。

熟练使用Wireshark排除网络故障的方法

图2.7

2.点击“+”号按钮,先在Filter Expression一栏里输入显示过滤器表达式,再在Button Label一栏里为它起个名字,最后点击OK按钮。

3.点击OK按钮之后,之前输入的显示过滤器表达式将会以按钮的形式,出现在显示过滤器工具条的右侧。

4.由图2.8可知,图2.7中定义的那两个名为TCP-Z-WIN和TCP-RETR的滤器表达式以按钮的形式,出现在了抓包主窗口的显示过滤器工具条的右侧。

熟练使用Wireshark排除网络故障的方法

图2.8

注意

如本章最后一节所述,在Wireshark中,可为每个模板分别配置不同的显示过滤器首选项。这样一来,就可以配置出各种模板,分别用来排除TCP、IP电话(IPT)等各种故障,或分别用来诊断各种网络协议故障。

如第4章所述,在Filter Expressions设置选项中,应按照Wireshark显示过滤器的格式来配置显示过滤表达式。

7.调整名称解析

Wireshark支持以下3个层级的名称解析。

  • 第二层(L2)

:Wireshark可把新用户注册送47元彩金包的MAC地址的前半部分解析并显示为网卡芯片制造商的名称或ID。比方说,可把一个MAC地址的前3个字节14:da:e9解析并显示为AsusTeckC(ASUSTeK Computer Inc,华硕计算机公司)。

  • 第三层(L3)

:Wireshark可把新用户注册送47元彩金包的IP地址解析并显示为DNS名称。比方说,可把157.166.226.46这一IP地址,解析并显示为CNN网站的Edition页面。

  • 第四层(L4)

:Wireshark可把TCP/UDP端口号解析并显示为应用程序(服务)名称。比方说,可把TCP 80端口解析并显示为HTTP,把UDP 53端口解析并显示为DNS。

图2.9所示为在Preferences窗口中点击过左侧的Name Resolution配置选项之后,在窗口右侧出现的配置内容。

熟练使用Wireshark排除网络故障的方法

图2.9

在图2.9所示的Preferences窗口中,可从上到下配置下述内容。

  • 第2层、第3层和第4层名称解析。
  • 执行名称解析的方法(通过DNS和/或hosts文件),以及并发的DNS请求数量的上限(旨在确保Wireshark软件的运行速度不受影响)。
  • 简单网络管理协议(SNMP)的对象标识符、ID以及是否要将它们转换为对象名称。
  • GeoIP以及是否启用它。有关详细信息,请参阅本书第10章[4]。

注意

对一个TCP/UDP新用户注册送47元彩金包的源、目端口号而言,只有把目的端口号转换为应用程序名称才有意义。源端口号一般都是随机生成(高于1024),将其转换为应用程序名称没有任何意义。

  • Wireshark会默认解析第2层MAC地址和第4层TCP/UDP端口号,并按名称来显示。解析IP地址会拖慢Wireshark的运行速度,因为这会让Wireshark软件本身额外执行大量的DNS查询,所以在开启该功能之前应谨慎考虑。

8.调整Protocol配置选项里的IPv4配置参数

借助于Preferences窗口中的Protocols配置选项,可调整Wireshark对相关协议流量的抓取和呈现方式。点击配置选项Protocols左边的箭头,会出现多种协议配置子选项。图2.10所示为选择IPv4或IPv6协议配置子选项时,出现在Preferences窗口右侧的配置参数。

熟练使用Wireshark排除网络故障的方法

图2.10

下面是对IPv4配置子选项名下的某些配置参数的解释。

  • Decode IPv4 TOS field as DiffServ field

:制定IPv4协议标准之初,为了能在IPv4网络中保证服务质量,在IPv4包头中设立了一个叫做服务类型(ToS)的字段。后来,IETF又制定了一套IPv4服务质量的新标准(区分服务,DiffServ),打的也是IPv4包头中原ToS字段的主意,只是对其中各个位的置位方式有了新的定义。若未勾选该复选框,Wireshark便会按老的IPv4服务质量标准,来解析所抓IPv4新用户注册送47元彩金包包头中的ToS字段。

  • Enable GeoIP lookups

: GeoIP是一个新用户注册送47元彩金库,Wireshark可根据该新用户注册送47元彩金库里的内容来呈现(其所抓新用户注册送47元彩金包IP包头中源和目的)IP地址所归属的地理位置。若勾选该复选框,Wireshark便会针对所抓IPv4和IPv6新用户注册送47元彩金包的IP地址来呈现其所归属的地理位置。该子选项功能涉及名称解析,一旦开启,会拖慢Wireshark实时抓包速率。第10章会介绍如何配置GeoIP。

9.调整Protocol配置选项里的TCP和UDP配置参数

UDP是一种非常简单的协议,与Wireshark版本1相比,Wireshark版本2的Protocols配置选项里的UDP协议配置子选项几乎没有变化,可供配置的参数也不多,一般无需调整;而TCP协议则很是复杂,Protocols配置选项里TCP协议配置子选项中可供配置的参数较多,如图2.11所示。

熟练使用Wireshark排除网络故障的方法

图2.11

调整TCP协议配置子选项名下的参数,其实也就是调整Wireshark对TCP报文段的解析方式,以下是对其中某些参数的解释。

  • Validate the TCP checksum if possible

:Wireshark有时会抓到超多校验和错误(checksum errors)的新用户注册送47元彩金包,这要归因于在抓包主机的网卡上开启的TCP Checksum offloading(TCP校验和下放)功能。该功能一开,便会导致Wireshark将抓到的本机生成的新用户注册送47元彩金包显示为checksum errors(具体原因后文再表)。因此,若Wireshark抓到了超多校验和错误的新用户注册送47元彩金包,则有必要先取消勾选该复选框,再去验证是否真的存在校验和问题。

  • Analyze TCP sequence numbers

:要让Wireshark对TCP新用户注册送47元彩金包做详尽分析,就必须勾选该复选框,因为TCP sequence numbers(TCP序列号)是TCP最重要的特性之一。

  • Relative sequence numbers

:主机在建立TCP连接时,会随机选择一个序列号,并将其值存入相互交换的第一个报文段的TCP头部的序列号字段。只要勾选了该复选框,Wireshark就会把一股TCP新用户注册送47元彩金流中第一个TCP报文段的(TCP头部的)序列号字段值显示为0,后续TCP报文段的序列号字段值将依次递增,从而隐藏了真实的序列号字段值。在大多数情况下,都应该让Wireshark显示TCP报文段的相对序列号(relative number),以方便网管人员查看。

  • Calculate conversation timestamps

:该复选框一经勾选,在抓包主窗口的新用户注册送47元彩金包结构区域中,只要是TCP新用户注册送47元彩金包,就会在transmission control protocol树下多出一个timestamps结构,点击其前面的箭头,就能看到Wireshark记录的该TCP新用户注册送47元彩金包在本股TCP新用户注册送47元彩金流中的时间烙印(timestamp)。让Wireshark显示每个TCP新用户注册送47元彩金包的时间烙印,将有助于排查时间敏感型TCP应用程序的故障。

2.2.3 幕后原理

通过修改Preferences窗口中Protocols选项下相关协议子配置选项的参数,便能开启或禁用Wireshark软件对相应协议流量的某些分析功能。需要注意的是,为了保证Wireshark软件的运行速度,应尽量禁用不必要的分析功能

对TOS和DiffServ的介绍,详见本书第10章。

SNMP是一种用来行使网络管理功能的协议。SNMP对象标识符(OID)的作用是标识对象及其在管理信息库(MIB)中的位置。所谓对象,既可以是一个计数器,对流入接口的新用户注册送47元彩金包进行计数;也可以是路由器接口的IP地址、设备的名称及安装位置、CPU负载或任何其他可呈现或可测量的实体。

SNMP MIB按树形结构来构建,如图2.12所示。顶层MIB对象ID分属不同的标准组织。每家网络厂商都会为自己的网络产品定义私有分枝(包括受管理的对象)。

熟练使用Wireshark排除网络故障的方法

图2.12

Wireshark在解析SNMP MIB时,不但会显示对象ID,还会显示其名称,这有助于排障人员识别受监控的新用户注册送47元彩金。

3 抓包文件的导入和导出

将抓包文件分享给其他的运维团队或设备厂商的支持人员,以期查明网络故障的根本原因是常有的事儿。这样的抓包文件会包含很多新用户注册送47元彩金包,而排障人员感兴趣的或许仅限于若干新用户注册送47元彩金流或部分新用户注册送47元彩金包。Wireshark不但支持将所抓新用户注册送47元彩金有选择地导出至新的文件,甚至还能修改其格式,以便传输。本节将探讨Wireshark支持的各种抓包文件导入和导出功能。

3.1 准备工作

运行Wireshark软件,点击主工具条上的Capture按钮,开始抓包(或打开一个已保存的抓包文件)。

3.2 配置方法

在Wireshark主抓包窗口内,既可以把抓来的所有新用户注册送47元彩金都保存进一个文件,也能以不同的格式或文件类型导出自己所需要的新用户注册送47元彩金。

现在来讲解如何执行这些操作。

1.完整或部分导出抓包文件

既能把抓来的所有新用户注册送47元彩金包(或抓包文件中的所有新用户注册送47元彩金包)完整保存进一个文件,也能以各种文件格式和文件类型导出特定的新用户注册送47元彩金。

要把抓来的所有新用户注册送47元彩金包完整保存进一个文件(或将现有的抓包文件完整另存为一个新的文件),请按以下步骤行事。

  • 点击File菜单里的Save菜单项(或按Ctrl+S键),在弹出窗口的“文件名”输入栏内输入有待保存的抓包文件的名称。
  • 点击File菜单里的Save as菜单项(或按Shift +Ctrl +S键),在弹出窗口的“文件名”输入栏内输入有待保存的抓包文件的新名称。

若要保存抓包文件(或已抓新用户注册送47元彩金包)中的部分新用户注册送47元彩金(比如,经过显示过滤器过滤的新用户注册送47元彩金),请按以下步骤行事。

  • 点击File菜单里的Export Specified Packets菜单项,Export Specified Packets窗口会立刻弹出,如图2.13所示。
熟练使用Wireshark排除网络故障的方法

图2.13

可在Export Specified Packets窗口的左下角区域,点击相应的单选按钮,来选择文件的导出方式。

  • 要把抓包文件中的所有新用户注册送47元彩金包或所有已抓新用户注册送47元彩金包作为一个文件导出,请同时选择All packets和Captured单选按钮,再点Save按钮。
  • 要把抓包文件(或已抓新用户注册送47元彩金包)中经过显示过滤器过滤的新用户注册送47元彩金包作为一个文件导出,请同时选择All packets和Displayed单选按钮,再点Save按钮。
  • 要把已选中的新用户注册送47元彩金包(即在新用户注册送47元彩金包列表区域中用鼠标点选的新用户注册送47元彩金包)作为一个文件导出,请选择Selected packets only单选框,再点Save按钮。
  • 要把所有带标记的新用户注册送47元彩金包(给新用户注册送47元彩金包打标的方法是,先在“新用户注册送47元彩金包列表”区域选中一个新用户注册送47元彩金包,然后点击右键,在弹出的菜单中选择Mark/unmark packet 菜单项)作为一个文件导出,请选择Marked packets only单选按钮,再点Save按钮。
  • 要把“新用户注册送47元彩金包列表”区域中位列两个带标记的新用户注册送47元彩金包之间的所有新用户注册送47元彩金包作为一个文件导出,请选择First to last marked单选按钮,再点Save按钮。
  • 要把抓包文件中编号(详见“新用户注册送47元彩金包列表”区域里的“No.”列)连续的那部分新用户注册送47元彩金包作为一个文件导出,请选择Range单选按钮,并在其后的输入栏内填写新用户注册送47元彩金包的编号范围,再点Save按钮。
  • 导出抓包文件时,要是希望放弃其中的某些新用户注册送47元彩金包,请先在“新用户注册送47元彩金包列表”区域里选中那些新用户注册送47元彩金包并单击右键,在弹出的菜单中选择Ignore/Unignore packet tog菜单项;再然后,选择Export Specified Packets窗口中的Remove ignored packets复选框,再点Save按钮。
  • 要以压缩的形式保存新用户注册送47元彩金包,请先勾选Export Specified Packets窗口中的Compress with gzip复选框,再点Save按钮。
  • 上述“存盘”操作既可以基于整个抓包文件中的所有新用户注册送47元彩金包来进行,也可以基于抓包文件中经过显示过滤器过滤的新用户注册送47元彩金包来进行。

2.保存新用户注册送47元彩金的格式选取

Wireshark支持将抓到的新用户注册送47元彩金以不同的格式来保存,以便用各种其他工具做进一步的分析。

通过点击File菜单的Export Packet Dissections菜单项里的各个子菜单项,可将抓包文件保存为以下格式。

  • 纯文本格式(*.txt)

:保存为纯文本ASCII文件格式。

  • PostScript(*.pst)

:保存为PostScript文件格式。

  • 逗号分割值格式(Comma Separated Values)(*.csv)

:保存为逗号分割文件格式。这种格式的文件可为电子表格程序(比如,Microsoft Excel)所用。

  • C语言数组格式(*.c)

:把新用户注册送47元彩金包的内容以C语言数组的格式保存,便于导入C程序。

  • PSML格式(*.psml)

:存为PSML文件格式。PSML是一种基于XML的文件格式,只能保存新用户注册送47元彩金包的汇总信息。

  • PDML格式(*.pdml)

:存为PDML文件格式。PSML也是一种基于XML的文件格式,但能保存新用户注册送47元彩金包的详细信息。

3.新用户注册送47元彩金打印

要想打印新用户注册送47元彩金,请点击File菜单里的Print菜单项,Print窗口会立刻弹出,如图2.14所示。

可在Print窗口中做如下选择。

  • 在窗口的右上角(1),可选择有待打印的新用户注册送47元彩金包的具体内容。
  • 勾选Summary line复选框,会打印出在新用户注册送47元彩金包列表(Packet Summary)区域看到的新用户注册送47元彩金包的内容。
  • 勾选Details复选框,会打印出在新用户注册送47元彩金包结构(Packet Details)区域看到的新用户注册送47元彩金包的内容。
  • 勾选Bytes复选框,会打印出在新用户注册送47元彩金包内容(Packet Byte)区域看到的新用户注册送47元彩金包的内容。
  • 在窗口的左下区域,可选择有待打印的新用户注册送47元彩金包(操作方法类似于文件保存,这在上一节已经提到)。
熟练使用Wireshark排除网络故障的方法

图2.14

3.3 幕后原理

Wireshark支持以文本格式或PostScript格式来打印新用户注册送47元彩金(以后一种格式打印时,打印机应为PostScript感知的打印机),同时支持将新用户注册送47元彩金打印至一个文件。选妥了Print窗口中的各个选项,点击Print按钮之后,会弹出操作系统自带的常规“打印”窗口,可在其中选择具体的打印机来打印。

3.4 拾遗补缺

要查看Wireshark软件存储各种文件的系统文件夹,请点击Help菜单中的About Wireshark菜单项,在弹出的About Wireshark窗口中选择Folders选项卡,如图2.15所示。在About Wireshark窗口中,可以看到Wireshark软件存储各种文件的实际文件夹,在窗口的最右边,可以看到存储在那些文件夹中的文件类型。

熟练使用Wireshark排除网络故障的方法

图2.15

点击Location下的链接,会进入存储相应文件的文件夹。

4 调整新用户注册送47元彩金包的配色规则

Wireshark会根据事先定义的配色规则,用不同的颜色来分门别类地显示抓包文件中的新用户注册送47元彩金。合理地定义配色规则,让匹配不同协议的新用户注册送47元彩金包以不同的颜色示人(或让不同状态下的同一种协议的新用户注册送47元彩金包呈现出多种颜色),能在排除网络故障时帮上大忙。

Wireshark支持基于各种过滤条件来配置新的配色规则。这样一来,就能够针对不同的场景定制不同的配色方案,同时还能以不同的模板来保存。也就是说,网管人员可在解决TCP故障时启用配色规则A,在解决SIP和IP语音故障时启用配色规则B。

注意

可通过定义模板(profile)的方式,来保存针对Wireshark软件自身的配置(比如,事先配置的配色规则和显示过滤器等)。要如此行事,请点击Edit菜单下的Configuration Profiles菜单项。

4.1 准备工作

要定义配色规则,请按以下步骤行事。

1.选择View菜单。

2.点击中下部的Coloring Rules菜单项,Coloring Rules-Default窗口会立刻弹出,如图2.16所示。

该窗口显示的是Wireshark默认启用的配色规则,包括TCP新用户注册送47元彩金包、路由协议新用户注册送47元彩金包以及匹配某些协议事件的新用户注册送47元彩金包的配色规则。

熟练使用Wireshark排除网络故障的方法

图2.16

4.2 操作方法

要调整配色规则,请按以下步骤行事。

  • 要定义一条新的配色规则,请点击“+”按钮,如图2.17所示。
熟练使用Wireshark排除网络故障的方法

图2.17

  • 在Name栏内填入本配色规则的名称。比如,要想专为NTP协议新用户注册送47元彩金包定制配色规则,那就在该输入栏内填入NTP。
  • 在Filter字段内填入显示过滤表达式,指明本配色规则对哪些新用户注册送47元彩金包生效。欲知更多与显示过滤器有关的内容,请阅读第4章。
  • 点击Foreground按钮,为本配色规则选择一款前景色。此款颜色将成为受本配色规则约束的新用户注册送47元彩金包在抓包主窗口的新用户注册送47元彩金包列表区域里的前景色。
  • 点击Background按钮,为本配色规则选择一款背景色。此款颜色将成为受本配色规则约束的新用户注册送47元彩金包在抓包主窗口的新用户注册送47元彩金包列表区域里的背景色。
  • 要删除一条配色规则,请点击“−”按钮(在“+”按钮的右侧)。
  • 要修改现有的配色规则,请双击该配色规则。
  • 点击Import按钮,可导入现成的配色方案;点击Export按钮,可导出当前的配色方案。

注意

Coloring Rules窗口中配色规则的排放次序是有讲究的。请务必确保配色规则的排放次序与配色方案的执行次序相匹配。比方说,作用于应用层协议新用户注册送47元彩金包的配色规则应置于作用于TCP/UDP新用户注册送47元彩金包的配色规则之前,只有如此,方能避免Wireshark为了应用层协议新用户注册送47元彩金包而干扰TCP/UDP新用户注册送47元彩金包的颜色。

4.3 幕后原理

Wireshark软件中的许多操作都与显示过滤器紧密关联,定义配色规则也是如此,因为受配色规则约束的新用户注册送47元彩金包都是经过预定义的显示过滤器过滤的新用户注册送47元彩金包。

4.4 进阶阅读

可从Wireshark官方网站下载到很多经典的Wireshark新用户注册送47元彩金包配色方案,在Internet上也能搜到许多其他的配色方案示例。

要想使用某个配色规则文件,请先将那些文件下载至本机,再在Wireshark中选择View菜单,单击Coloring Rules菜单项,在弹出的Coloring Rules-Default窗口中单击Import按钮,将文件导入。

5 配置时间参数

对时间显示格式的调整,会在Wireshark抓包主窗口新用户注册送47元彩金包列表区域的Time列(默认为左边第2列)的内容里反映出来。在某些情况下,有必要让Wireshark以多种时间格式来显示新用户注册送47元彩金包。比方说,在观察隶属同一连接的所有TCP新用户注册送47元彩金包时,每个新用户注册送47元彩金包的发送间隔时间是应该关注的重点;当所要观察的新用户注册送47元彩金包抓取自多个来源时,则最应关注每个新用户注册送47元彩金包的确切抓取时间。

5.1 准备工作

要配置Wireshark抓包主窗口新用户注册送47元彩金包列表区域中新用户注册送47元彩金包的时间显示格式,请进入View菜单,选择Time Display Format菜单项,其右边会出现如图2.18所示的子菜单。

熟练使用Wireshark排除网络故障的方法

图2.18

5.2 配置方法

图2.18所示的Time Display Format菜单项的上半部分子菜单包含以下子菜单项。

  • Date and Time of Day

:当通过Wireshark抓包来帮助排除网络故障,且故障发生的时间也是定位故障的重要依据时(比如,已获悉了故障发生的精确时间,且还想知道相同时间网络内发生的其他事件时),就应该根据具体情况,选择该子菜单项。

  • Seconds Since 1970-01-01(自1970年1月1日以来的秒数)

:Epoch是指通用协调时间(格林威治标准时间的前称)的1970年1月1日早晨0点。这也是UNIX系统问世的大致时间。

  • Seconds Since Beginning of Capture(自开始抓包以来的秒数)

:此乃Wireshark默认选项。

  • Seconds Since Previous Captured Packet(自抓到上一个新用户注册送47元彩金包以来的秒数)

:这也是一个常用选项,此菜单项一经点选,新用户注册送47元彩金包列表区域的Time列将显示每个新用户注册送47元彩金包的抓取时间差。当监控时间敏感型新用户注册送47元彩金包(比如,TCP流量、实时视频流量、VoIP语音流量)时,就应该点选该子菜单项,因为此类新用户注册送47元彩金包的发送时间间隔对用户体验有至关重要的影响。

  • Seconds Since Previous Displayed Packet

:在应用过显示过滤器,让Wireshark只显示抓包文件中部分新用户注册送47元彩金的情况下(比如,在只显示隶属于某条TCP流的所有新用户注册送47元彩金包的情况下),通常都应该点选该子菜单项。此时,网管人员更关心的应该是隶属于某条TCP新用户注册送47元彩金流的各个新用户注册送47元彩金包之间的抓取时间差。

  • UTC Date and Time of Day

:提供UTC时间。

Time Display Format菜单项的下半部分子菜单项涉及对时间精度的调整。只有对时间精度要求很高的情况下,才建议更改默认设置。

可使用Ctrl+Alt+任意数字键来调整上述时间格式选项。

5.3 幕后原理

为抓到的新用户注册送47元彩金包留下时间烙印时,Wireshark依据的是操作系统的时间。在默认情况下,生效的是Seconds Since Beginning of Capture子菜单项功能。

6 构建排障使用的配置模板

可定义Wireshark配置模板,来保存针对Wireshark软件自身的各种配置(比如,外观、预定义的配色规则、抓包及显示过滤器等)。要如此行事,请进入Edit菜单,选择Configuration Profile菜单项。

Wireshark配置模板会保存下列信息。

  • 对Edit菜单中Preferences菜单项包含的各配置选项的定义,包括:对Appearance和Protocols功能项的定义(比如,对Wireshark抓包主窗口的字体、属性列的列宽的定义)。
  • 抓包过滤器。
  • 显示过滤器和显示过滤器宏(详见第4章)。
  • 配色规则。
  • 定制的HTTP、IMF和LDAP头部(详见第12章)。
  • 用户定义的解码方式,比如,作为某种功能的解码方式,用户可利用该功能临时性地改变Wireshark对特殊协议的解析方式。

所有配置模板文件都会保存在Wireshark软件Personal Configuration目录的 profiles目录下。

6.1 准备工作

运行Wireshark软件,点击主工具条上的Capture按钮,开始抓包(或打开一个已保存的抓包文件)。

6.2 操作方法

要打开现有的配置模板文件,请执行如下操作。

1.可点击状态栏最后边的Profile区域,选择准备采用的现有配置模板,如图2.19所示。

熟练使用Wireshark排除网络故障的方法

图2.19

2.还可以进入Edit菜单,选择Configuration Profiles菜单项,在Configuration Profiles窗口中选择准备采用的现有配置模板,如图2.20所示。

熟练使用Wireshark排除网络故障的方法

图2.20

要创建一个新的配置模板,可执行如下步骤。

1.右键单击状态栏最后边的Profile区域,在弹出的菜单中选择New菜单项,或者在图2.20所示的窗口中点击“+”号按钮。

2.新的配置模板创建之后,在profiles目录下会创建一个新的目录,如图2.21所示。

熟练使用Wireshark排除网络故障的方法

图2.21

3.由图2.21可知,在新建的配置模板目录下(本例为Wireless模板及Wireless目录),可以看到包含抓包过滤器的cfilter文件、包含配色规则的colorfilters文件、保存HTTP字段配置的custom_http_header_fields文件,以及保存preference菜单项功能配置的preference文件。

6.3 幕后原理

创建新的模板时,Wireshark软件会在profiles目录下新建一个同名目录。此后,在关闭Wireshark或加载另一个配置模板时,一个名为recent的文件会诞生在那个新的模板目录内。该文件包含了常规的Wireshark窗口设置,包括可视工具栏、时间戳显示、字体缩放级别和列宽等配置。若在创建了新的配置模板之后还创建了抓包过滤器、显示过滤器和配色规则,则在那个新的模板目录内还会诞生别的文件(分别为cfilters、dfilters和colorfilters)。

6.4 拾遗补缺

如前所述,保存模板配置参数的文件都位于profiles目录下。那么,自然可以在不同的配置模板之间转移配置参数,比如,在默认的preference文件中,包含了以下与启动窗口中的显示过滤器工具条有关的配置参数[5]。

  1. ####### Filter Expressions ######## 
  2. gui.filter_expressions.label: SIP 
  3. gui.filter_expressions.enabled: FALSE 
  4. gui.filter_expressions.expr: sip 
  5. gui.filter_expressions.label: RTP 
  6. gui.filter_expressions.enabled: FALSE 
  7. gui.filter_expressions.expr: rtp 

若另一个配置模板也需要这样的配置参数,则只需将这些参数复制进该配置模板目录下的preference文件。

6.5 进阶阅读

在本书随后的相关章节内,会介绍具体的配置模板。第11章会介绍用于排除TCP性能故障的配置模板,第9章会介绍用于无线LAN分析的配置模板。

[1] 译者注:点击Edit菜单的Preferences菜单项,会弹出Preferences窗口。所谓配置用户界面,就是配置该窗口中Appearance配置选项里的内容。

[2] 译者注:即配置Preferences窗口中Protocol配置选项里的内容。

[3] 译者注:原文是“Next, we talk about Wireshark folders, configuration files, and folders and plugins”,译文按原文字面意思直译。

[4] 译者注:本书第10章并没有GeoIP相关内容。

[5] 译者注:原文是“You can of course copy parameters from one profile to another; for example, in the default performance file, you have these filters”。

【编辑推荐】

  1. 今年不可错过的网络安全盛会 NSC 2019免费票限量抢
  2. 网络安全无小事,且看漏洞扫描
  3. 虚假、仿冒开户注册送38体验金应用成网络诈骗新渠道
  4. 从攻守日志看网络江湖的快意恩仇
  5. 这些预警暗示网络威胁正在潜伏
【责任编辑:武晓燕 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

我的运维日志系统构建之路

我的运维日志系统构建之路

新用户注册送47元彩金驱动运维
共18章 | 我叫于小炳

85人订阅学习

CentOS文件服务的最佳实战

CentOS文件服务的最佳实战

涨薪跳槽必备技能
共15章 | 追风蚂蚁

82人订阅学习

小白网工宝典

小白网工宝典

一次搞定思科华为
共15章 | 思科小牛

313人订阅学习

读 书 +更多

新用户注册送47元彩金挖掘:概念与技术

本书第1版曾被KDnuggets的读者评选为最受欢迎的新用户注册送47元彩金挖掘专著,是一本可读性极佳的教材。它从新用户注册送47元彩金库角度全面系统地介绍了新用户注册送47元彩金挖掘的基本概念...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO播客

博聚网