Wireshark 的默认行为通常会很好地满足您的需求。 然而,当你更熟悉 Wireshark,它可以通过多种方式进行定制,以更好地满足你的需求。
数据包着色
Wireshark 中一个非常有用的机制是数据包着色。可以设置 Wireshark,使其根据显示过滤器对数据包进行着色。这允许强调可能感兴趣的数据包。Wireshark 中有两种类型的着色规则:仅在退出程序之前有效的临时规则,以及保存在首选项文件中以便下次运行 Wireshark 时可用的永久规则。可以通过选择数据包并同时按下 Ctrl 键和数字键之一来添加临时规则。这将根据当前选择的对话创建着色规则。它将首先尝试创建基于 TCP、UDP、IP 和以太网的会话过滤器。也可以通过在数据包详细信息窗格中右键单击时选择 Colorize with Filter › Color X 菜单项来创建临时过滤器。要永久着色数据包,请选择 View › Coloring Rules…. 。 Wireshark 将显示“着色规则”对话框,如下所示:
如果这是第一次使用“着色规则”对话框,并且使用的是默认配置文件,则看到默认规则,如上所示。更具体的规则通常应该列在更通用的规则之前。 例如,如果在 DNS 之前有一个 UDP 着色规则,则可能不会应用 DNS 规则(DNS 通常通过 UDP 传输,UDP 规则将首先匹配)。可以通过单击 [+] 按钮来创建新规则。可以通过单击 [ - ] 按钮删除一个或多个规则。 “复制”按钮将复制规则。可以通过双击其名称或过滤器来编辑规则。 在“着色规则”对话框中,正在编辑规则“校验和错误”的名称。 单击 [ Foreground ] 和 [ Background ] 按钮将分别打开前景(文本)和背景颜色的颜色选择器(颜色选择器)。颜色选择器如下所示。
颜色选择器的外观取决于操作系统。 显示了 macOS 颜色选择器。 为所选数据包选择所需的颜色,然后单击 [确定]。 在 Wireshark 中使用滤色器显示了在 Wireshark 中使用的几种滤色器的示例。
协议剖析
用户可以控制如何解析协议。每个协议都有自己的解析器,因此解析一个完整的数据包通常会涉及多个解析器。 当 Wireshark 尝试为每个数据包找到正确的解析器时,它可能会在特定情况下选择错误的解析器。 例如,Wireshark 不会知道是否在不常见的 TCP 端口上使用了常见的协议,例如在 TCP 端口 800 上使用 HTTP 而不是标准端口 80。有两种方法可以控制协议解析器之间的关系:完全禁用协议解析器或暂时转移 Wireshark 调用解析器的方式。
启用的协议对话框(Enabled Protocols dialog box)
启用协议对话框允许您启用或禁用特定协议。 大多数协议默认启用。 当协议被禁用时,Wireshark 会在遇到该协议时停止处理数据包。禁用协议将阻止显示有关更高层协议的信息。 例如,假设您禁用了 IP 协议并选择了一个包含以太网、IP、TCP 和 HTTP 信息的数据包。 将显示以太网信息,但不会显示 IP、TCP 和 HTTP 信息 - 禁用 IP 将阻止显示它和更高层的协议。要启用或禁用协议,请选择 Analyze › Enabled Protocols…. 。 Wireshark 会弹出“Enabled Protocols”对话框,如下所示。
1. Enable All: 启用列表中的所有协议。
2. Disable All: 禁用列表中的所有协议。
3. Invert: 切换列表中所有协议的状态。
4. OK: 保存并应用更改并关闭对话框。
5. Cancel: 取消更改并关闭对话框。
用户指定方式
“Decode As”功能可让你暂时转移特定的协议剖析。 例如,如果在网络上进行一些不常见的实验,这可能很有用。 通过选择 Analyze › Decode As…. 访问解码为。 Wireshark 会弹出“Decode As”对话框,如下所示。在此对话框中,可以通过左侧的编辑按钮编辑条目。 也可以从数据包列表或数据包详细信息的上下文菜单中弹出此对话框。 然后它将包含基于当前选择的数据包的新行。
| Item of Decode as dialog box | |
|---|---|
| Item | Description |
| + | 为选定的数据包添加新条目 |
| - | 删除所选条目 |
| Copy | 复制所选条目 |
| Clear | 清除用户指定的解码列表 |
| OK | 应用用户指定的解码并关闭对话框 |
| Save | 保存并应用用户指定的解码并关闭对话框 |
| Cancel | 取消更改并关闭对话框 |
首选项设置
可以设置许多首选项。只需选择 Edit › Preferences… Wireshark 将弹出 Preferences 对话框,如首选项对话框所示,默认为“用户界面”页面。 可以在左侧选择要显示的页面。
1. OK: 按钮将应用首选项设置并关闭对话框。
2. Cancel: 按钮会将所有首选项设置恢复到上次保存的状态。
Wireshark 支持相当多的协议,这反映在协议窗格中的长条目列表中。 可以通过展开协议窗格并快速键入协议名称的前几个字母来跳转到特定协议的首选项。 “Adanced”窗格将让你查看和编辑 Wireshark 的所有首选项,类似于 Firefox 和 Chrome 网络浏览器中的 about:config 和 chrome:flags。