wireshark使用技巧(wireshark基本操作)

来源:网络技术联盟站 

链接:https://www.wljslmz.cn/20077.html

作为一名网络工程师,每天我们都需要处理很多奇怪的问题,为了帮助工程师找出根本原因,Wireshark 成了工程师日常工作中的得力助手,本文将给您介绍三个我用Wireshark的时候经常干的操作。

1.设置捕获包大小

当开始抓包时,确保只抓你想要的,为了使抓包文件准确和小,你可以改变数据包大小:

点击【捕获】:

wireshark使用技巧(wireshark基本操作)

点击【选项】:

wireshark使用技巧(wireshark基本操作)

在“Input”页签中,我们看到“捕获长度”就是我们想要设置的地方:

wireshark使用技巧(wireshark基本操作)

捕获长度是网络捕获工具实际捕获并存储到 CaptureFile 中的每一帧的数据量。

可以看到帧的默认大小是262144B,为了优化它,我建议将它设置在80-200之间:

wireshark使用技巧(wireshark基本操作)

这样就可以使得帧包括TCP层、网络层和数据链路层数据包更小,便于分析的效率。

2.设置颜色规则

当你完成捕捉后,如何找到你真正想要的是一个问题,要找到这些数据包,用不同颜色突出显示这些数据包是一个不错的选择。

那么怎么设置呢?

点击导航栏的【视图】:

wireshark使用技巧(wireshark基本操作)

选择点击【着色规则】:

wireshark使用技巧(wireshark基本操作)

可以看到,一些预定义的颜色规则已经存在,就如同现在看到的一样:

wireshark使用技巧(wireshark基本操作)
  • 灰色代表:TCP SYN/FIN
  • 红色代表:TCP RST
  • 淡紫色代表:TCP

双击编辑,或者你自己添加,可以看到颜色规则是和滤镜相关的。

wireshark使用技巧(wireshark基本操作)

如上图,我增加了一个名为“localhost”着色规则,过滤器为“ip.addr == 192.168.3.29”,这是我本地的私网ip地址,也就是说当包涉及到我本地地址的时候就会着色显示,我们来试一下:

wireshark使用技巧(wireshark基本操作)

可以清晰的看到我们设置的着色规则生效了!

3.设置过滤器

Wireshark 有很多过滤器,但我们记不住所有的过滤器,虽然 wireshark 在 www.wireshark.org/docs/dfref/ 中提供了它,你可以通过这个站点查看它:

wireshark使用技巧(wireshark基本操作)

但是你也看到了,从进度条的大小来看,这个规则是真的多,想要全部学习,不太现实。

我们就简单的介绍一下平时我是怎么用的。

一般情况下,你在Wireshark界面上看到的数据基本上已经足够你分析了,那么大多数情况下,基于界面的数据进行过滤可以这样做:

比如看下面的截图:

wireshark使用技巧(wireshark基本操作)

在source这一列有很多ip,这个时候你想过滤出源ip为111.230.120.127的包,只需要鼠标悬浮在source列任意一个111.230.120.127地址上,右击,选择“作为过滤器应用”,选择“选中”:

wireshark使用技巧(wireshark基本操作)

然后你会看到过滤器编辑框中自动加上了ip.src == 111.230.120.127,并且过滤出所有以111.230.120.127为源ip的包:

wireshark使用技巧(wireshark基本操作)

就是那么简单,你不需要记“源ip过滤”怎么写规则。

再比如说当我们想过滤出帧生效时间是0.193381的包,也可以通过同样的办法来过滤:

wireshark使用技巧(wireshark基本操作)

过滤的结果:

wireshark使用技巧(wireshark基本操作)

是不是简单便捷。

好了,今天就给大家分享这三个小妙招,可能会的朋友早已在用了,不怎么熟悉的朋友可以试试哦。后面想起其他小妙招再给各位小伙伴分享。

原创文章,作者:网络技术联盟站,如若转载,请注明出处:https://www.sudun.com/ask/34637.html

(0)
网络技术联盟站's avatar网络技术联盟站
上一篇 2024年4月10日 下午2:30
下一篇 2024年4月10日 下午2:32

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注