wireshark软件的基本操作(一起学习Wireshark-1.1.1)
wireshark软件的基本操作(一起学习Wireshark-1.1.1)2. 主界面open选项的显示的文件内容。默认为最近打开的文件1. 保持与上次的用户习惯一致,例如窗口的大小、位置等等;2.1 编辑(Edit) 选择第一个介绍编辑,是因为有些小伙伴安装早期英文版本,又不擅长英语的,可以在此功能内切换中文。Wireshark-EditWireshark-Edit-Appearances
之前分享过几篇关于Wireshark处理工作中故障的文章,有小伙伴问有没有wireshark入门的介绍。个人的感觉来看,wireshark仅仅是个工具,对不同工作内容的小伙伴来说,目的和使用功能侧重点也不同。从本次开始,我将会以网络工程师的角度,从安装-工具的功能-各种协议分析和-工作中的案例,来介绍我所了解的wireshark,如果可能,我也会出和文章配套的视频与大家交流。
1 下载安装(下载地址:https://www.wireshark.org/)
wireshark下载界面
目前最新版本为3.4.0,对于使用wireshark的小伙伴来说,通常都是工程师或者从事IT相关工作,下载及安装过程就不做赘述,wireshark3.0以后会根据操作系统语言选择软件的语言,打开软件如下图:
wireshark软件主界面
2 菜单栏介绍。工欲利其事必先利其器,在进行抓包前,先来了解下软件的菜单、工具和常用的设置。
2.1 编辑(Edit) 选择第一个介绍编辑,是因为有些小伙伴安装早期英文版本,又不擅长英语的,可以在此功能内切换中文。
- 首选项(Preferences)点击Edit-Preferences进入单独的菜单页面。
Wireshark-Edit
- 外观(Appearance)
Wireshark-Edit-Appearances
1. 保持与上次的用户习惯一致,例如窗口的大小、位置等等;
2. 主界面open选项的显示的文件内容。默认为最近打开的文件
wireshark最近打开文件
可以修改为保存pcap文件的文件夹,方便快速打开待分析的数据包,例如修改为存放pcap文件夹的目录;
修改Open路径
修改open路径后的主界面
3.抓包主界面显示的最近打开文件数量以及显示的过滤规则数量,默认都是10个,全部修改为1后,对比一下效果:
wireshark主界面展示最近打开文件-修改前
wireshark主界面展示最近打开文件-修改后
wireshark抓包界面过滤规则-修改前
wireshak抓包界面过滤规则-修改后
4 确认保存和补全;
5 抓包分析界面的标题,对实际使用没有太大关系;
6 语言菜单,习惯中文的可以在此切换。
wireshark修改默认语言
· Columns
wireshark抓包界面显示列表内容
在抓包分析界面的数据包列表展示的列,包括常用的:编号(No.)-时间(Tme)-源地址(Source)-目的地址(Destination)-协议(Protocol)-长度(Length)-信息(Info),如下图
wireshark抓包默认界面-列表
有时为了方便,需要特殊的显示信息,例如增加Trunk接口的vlan-id的显示,也可以列表栏右键,修改显示内容及相关参数;
wireshark添加列表项
wireshark添加列表后显示
· Font and Colors,修改默认窗口的字体及标注颜色等
wireshark默认窗口颜色和字体
· 布局(Layout)
wireshark默认布局
1 数据展示布局,默认方式:数据包列表-数据包结构-数据包内容位,可以通过布局修改,比如默认的Phase2
默认布局
Phase2布局
2 数据包类别的格式,可以修改的是显示数据包分割线(show packet separate),方便查看不同行的数据包内容,对比如下
默认界面
添加分割线
- · 捕获,更习惯称为抓包(Capture)
抓包设置项
1 默认接口,例如笔记本经常使用无线网卡抓包,可以将网卡选择为无线网卡,这样在打开wireshark后无需再手动选择网卡,尤其在本机装了虚拟机后,过多网卡选择提升效率;
2 使用混杂模式抓取数据包,类似VMware里设置网卡的模式;
3 使用pcap格式抓取和保存数据包;
4 实时更新数据包,在抓包同时观察异常时,保证数据包的实时更新;
5 实时滚屏,当抓取的数据包list满屏时,实施翻页;
6 启动软件时不加载网卡列表,建议加载;
7 禁用外部抓包接口,建议开启外部抓包接口。当需要抓取外部主机的数据包,并且不方便在远端安装wireshark或无法使用tcpdump时,可以通过使用外部接口抓取数据包,我们在后面介绍抓取接口时,详细介绍。
· 过滤器按钮(Filter Buttons) 可以自定义过滤规则,在抓包过程中快速的过滤,例如要过滤80端口(test2)等,如下图
修改过滤键
在抓包界面添加新定义的过滤规则,然后可以在过滤条的右侧出现,方便快速的过滤数据包,如下图:
添加过滤规则
过滤规则快捷界面
· 名称解析(Name resolution) 将抓到的数据包,解析到相应的名称,建议保留默认,开启过多的解析会影响抓包效率和系统资源的消耗。
wireshark名称解析
1 基于抓取到的MAC地址解析为厂商名称,如下图:
wireshark解析MAC
2 解析传输层协议,例如基于23解析telnet,基于80解析HTTP,如下图:
wireshak解析L4协议
3 通过ip地址解析,例如ping ,开启ip解析后,直接在ip显示,如下图
wireshark解析L3协议
4 我理解为使用抓包机器解析地址
5 使用外部的DNS服务器解析
6 自定义DNS服务器
7 通过和8配合,导入mib库后,在抓到的数据包时同时解析相应的OID,例如在ZABBIX监控设备时,可以通过抓包判断监控的内容。
· 协议(Protocols)是针对各种协议参数的更精细设定,因为工作性质的问题多数协议并未涉及,更多的还是在IP、TCP、UDP、DHCP、DNS等网络协议,下面以IPv4为例看一下相关内容。
wireshark Protocols
· RSA Keys,导入私钥,以便做TSL/SSL的认证,有关TSL/SSL的相关知识可以参考之前写的文章(连接)
· Statistics,主要编辑数据包的大小范围,主要为static里的统计数据进行分类(Statistics-Packet Length),以便判断和处理故障,例如网络中存在大量小包:
Wireshark数据包大小规则
· Advanced,包含协议的bool值,设置的保存方式,颜色的扩展方案等等,本人很少修改。
· 模板(Profile),Edit-Configration Profiles,可以在wireshark主界面的右下角看到当前模板,右键可以进行快速的切换(默认使用Deafult模板),目的是在不同的环境和诊断要求下,快速的切换过滤规则,颜色方案等。
例如之前配置都在Default模板下,我们做过几条测试Filter规则,在新建一个模板,起名test,对一下界面:
wireshark修改模板
不同模板显示对比
· 注释及取消注释(Packet Comments/Delete All Packet Comments),可以对抓取的数据包进行标注,以便在多人共同分析时,能快速获取之前诊断的注释。注释在Statistics-capture File Properties里面查看,如下图添加和查看注释
wireshark注释
wireshark查看注释
· Time Reference(相对时间),通常在一条数据流对其中一个数据包进行标记,而后的相同数据流以该标记的数据包显示相对时间。例如一条TCP流,或者2次ping的时间差,以此来判断数据传输过程中的相对时延,如下图icmp的时间间隔,在默认以及标记了相对时间后的截图:
wireshark默认time显示
wireshark相对时间显示
· Ignore(忽略数据包),选择忽略的数据包,通常和File-Save配合使用,以便过滤掉无需关注的数据包并且保存,方便之后诊断的工程师忽略无关信息。
· Mark(标记),对关键的数据包进行标记,也可以和File-Save进行结合使用,方便后续快速找到关键数据包。
关于Wireshark的Edit菜单就介绍到这里,下一篇我们继续介绍其他工具菜单,如有任何建议请留言。
