接上节介绍如何定制Wireshark个性化显示,前一节介绍了介绍如何定制工具条、主窗口,显示名字解析,怎样为数据包着色,配置时间参数,定义配色规则等内容,这节介绍很重要的首选项及首选项中协议相关的内容。

使用首选项定制显示

通过编辑菜单中的首选项设置,可以控制Wireshark软件的主界面及软件自身的诸多参数,包括数据包的呈现方式、抓包文件的默认保存位置,以及用来抓取数据包的网卡等。熟知这些参数的配置,可帮助我们更好地应对不同的抓包场景。

网络分析 Wireshark首选项定制显示

下面重点介绍常用的数据包列显示、默认抓包设置及默认名称解析等内容。

定制列显示

Wireshark默认显示了如下列内容。

网深科技 NetInside 网络分析 Wireshark首选项

Wireshark默认显示了如下列内容。

网深科技 NetInside 网络分析 Wireshark首选项

通过点击上图中的加号或减号,增加或删除默认显示列,调整为使用者最熟悉和习惯的列显示。

网深科技 NetInside 网络分析 Wireshark定制首选项

定制抓包方式

要想更改默认用来抓取数据包的网卡,请点击Capture,在默认接口中选择对应的网卡,再点OK按钮即可(重启Wireshark软件之后才能生效)。当然,这里更改的只是默认配置,可在每次重新开始抓包之前,更换用来接收数据包的网卡。

网深科技 NetInside 网络分析 Wireshark定制抓包方式

定制默认名称解析

Wireshark基础设置()中,也有默认名称解析设置。这两处设置影响和显示并没有不同。

这里的设置更多的是倾向于默认设置,而前置更侧重于事后分析设置。

选择Name Resolution,勾选需要默认解析的名称项。

网深科技 NetInside 网络分析 Wireshark定制名称解析

使用首选项定制协议内容

Wireshark主要分析和显示协议相关信息,所以,协议的抓取和显示就显得尤为重要,不同的显示方式或格式,可能会对使用者带来意想不到的收获。

展开首选项中的Protocols,就能查看到所有Wireshark支持的协议列表。

在这里,我们介绍常见的最重要的协议IPTCP配置信息。

IPv4选项配置

关于IPv4选择中的配置如下图。

网深科技 NetInside 网络分析 Wireshark IPv4选项配置

TCP选项配置

TCP是协议分析中的重中之重,所以,TCP的配置信息相对也较多。如下图。

网深科技 NetInside 网络分析 Wireshark TCP选项配置

这里挑选重点和常见的配置项,做个说明。

Validate the TCP checksum if possible

有时, Wireshark会抓到超多校验和错误(checksum errors)的数据包,这要归因于在抓包主机的网卡上开启的TCP Checksum offloading(TCP校验和下放)功能。该功能一开,便会导致 Wireshark将抓到的本机生成的数据包显示为“checksum errors”。因此,若 Wireshark抓到了超多校验和错误的数据包,则有必要先取消勾选与Validate the TCP checksum if possible子选项关联的复选框,再去验证是否真的存在校验和问题。

Analyze TCP Sequence numbers

如果要WiresharkTCP数据包做详尽分析,就必须勾选与Analyze TCP Sequence numbers参数相关联的复选框,因为“TCP Sequence numbers(TCP序列号)”TCP最重要的特性之一。

Relative Sequence Numbers

主机在建立TCP连接时,会启用一个随机的序列号,并将其值存入相互交换的第一个报文段的TCP头部的序列号字段。如果勾选了与Relative Sequence Numbers参数相关联的复选框, Wreshark就会把(一个TCP数据流中的)第一个TCP报文段的(TCP头部的)序列号字段值显示为0,后续TCP报文段的序列号字段值将依次递増,从而隐藏了真实的序列号字段值。

在大多数情況下,都应该让Wireshark显示TCP报文段的相对序列号(relative number),以方便网管人员查看。

Calculate conversations timestamps

与该参数相关联的复选框一旦勾选,在抓包主窗口的数据包结构区域中,只要是TCP数据包,就会在 transmission control protocol树下多出一个Timestamps结构,点击其前面的“+”,就能看到Wireshark记录的该TCP数据包在本TCP数据流中的相关时间戳(Timestamps)参数。让Wireshark显示

TCP数据包的Timestamps信息,将有助于排查当时间敏感型TCP应用程序故障。

以上通过Wireshark首选项对日常数据包分析中最常见的IP协议和TCP协议显示定制做了简单介绍,详细的介绍内容,在今后实际分析案例中遇到,再详细讲述。