第一次捕獲數據包
為了能讓Wireshark得到一些數據包,你可以開始你的第一次數據包捕獲實驗了。你可能會想:“當網絡什麼問題都沒有的時候,怎麼能捕獲數據包呢?”
首先,網絡總是有問題的。
其次,做數據包分析並不一定要等到有問題的時候再做。事實上,大多數的數據包分析員在分析沒有問題的網絡流量上花的時間要比解決問題的時候多。為了能高效地解決網絡問題,你也同樣需要得到一個基準來與之對比。舉例來說,如果你想通過分析網絡流量來解決關於DHCP的問題,你至少需要知道DHCP在正常工作時的數據流是什麼樣子的。
更廣泛地講,為了能夠發現日常網絡活動的異常,你必須對日常網絡活動的情況有所瞭解。
下面我們來捕獲數據包。
- 打開Wireshark。
- 從主下拉菜單中選擇Capture,然後是Interface。(捕獲 --> 選項)
- 這時你應該可以看到一個對話框,裡面列出了你可以用來捕獲數據包的各種設備,以及它們的IP地址。
- 選擇你想要使用的設備,如圖所示,單擊Start,或者直接單擊歡迎畫面中Interface List下的某一個設備。隨後數據就會在窗口中顯現出來。
- 等上一分鐘左右,當你打算停止捕獲並查看你的數據時,在Capture的下拉菜單中單擊Stop按鈕即可。(捕獲 --> 停止)
當做完以上步驟,Wireshark的主窗口中應該已經呈現了相應的數據,但此時你可能對這些數據的規模感到頭疼,這也就是為什麼我們把Wireshark一整塊的主窗口進行劃分的原因。
Wireshark主窗口
Wireshark的主窗口如下所示。
Wireshark主窗口的設計包括3個面板:Packet List、Packet Details、Packet Bytes。
主窗口的3個面板想忽悠著來呢西。如果希望在Packet Details面板中查看一個單獨的數據包的具體內容,你必須在Packet List面板中單擊選中那個數據包。在你選中了數據包之後,你可以通過在Packet Details面板中選中數據包的某個字段,從而在Packet Bytes面板中查看相應字段的字節信息。
下面介紹每個面板的內容。
Packet List(數據包列表): 最上面的面板用表格顯示了當前不惑文件中的所有數據包,其中包括了數據包序號、數據包被捕獲的相對時間、數據包的源地址和目的地址、數據包的協議以及在數據包中找到的概況信息等列。
Packet Details(數據包細節): 中間的面板分層地顯示了一個數據包中地內容,並且可以通過展開或是收縮來顯示這個數據包中所捕獲地全部內容。
Packet Bytes(數據包字節): 最下面的面板可能是最令人困惑地,因為它顯示了一個數據包未經處理地原始樣子,也就是其在鏈路上傳播時地樣子。這些原始數據看上去一點都不舒服而且不容易理解。
Wireshark首選項
Wireshark提供了一些首選項設定,可以讓你根據需要進行定時。如果需要設定Wireshark首選項,在主下拉菜單中選擇Edit然後單擊Preferences,然後你便可以看到一個首選項地對話框,裡面有一些可以定製地選項,如圖所示。 (編輯 --> 首選項)
Wireshark首選項分為6個主要部分。
User Interface(用戶接口): 這些選項決定了Wireshark將如何顯示數據。你可以根據你的個人喜好對大多數選項進行調整,比如是否保存窗口位置、3個主要窗口的佈局、滾動條地擺放、Packet List面板中列地擺放,以及顯示捕獲數據的字體、前景色和背景色等。
Capture(捕獲): 這些選項可以讓你對捕獲數據包地方式進行特殊的設定,比如你默認使用的設備、是否默認使用混雜模式、是否實時更新Packet List面板等。
Printing(打印): 這個部分中的選項可以讓你對Wireshark如何打印你的數據進行特殊的設定。
Name Resolutions(名字解析): 通過這些設定,你可以開啟Wireshark將地址(包括MAC、網絡以及傳輸名字解析)解析成更加容易分辨地名字這一功能,並且可以設定可以併發處理名字解析請求的最大數目。
Statistics(統計): 這一部分提供了一些Wireshark中統計功能地設定選項。
Protocols(協議): 這個部分中的選項與捕捉和顯示各種Wireshark能夠解碼地數據包有關。並不是每一個協議都有配置選項,但是一些協議地某些選項則可以進行更改。除非你有特殊的原因去修改這些選項,否則最好保持它們地默認值。
數據包彩色高亮
Wireshark地彩色高亮有助於快速標識協議。
每一個數據包地顏色都是有講究地,這些顏色對應著數據包使用的協議。舉例來說,所有的DNS流量都是藍色的,而HTTP流量都是綠色的。將數據包進行彩色高亮,可以讓你很快地講不通協議的數據包分開,而不需要對每個數據包都查看Packet List面板中地協議列。你會發現這樣在瀏覽較大地不惑文件時,可以極大地節省時間。
如圖所示,Wireshark通過Coloring RUles(著色規則)窗口可以很容易地查看每個協議所對應的顏色。可以在主下拉菜單中選擇View然後單擊Coloring Rules來打開這個窗口。
你可以創建你自己的著色規則,或者修改已有設置。舉例來說,使用下列步驟可以講=將HTTP流量綠色的默認背景改成淡紫色。
- 打開Wireshark,並且打開Coloring Rules窗口(View -> Coloring Rules)。
- 在著色規則地列表中找到HTTP著色規則並單擊選中。
- 單擊Edit按鈕,你會看到一個Edit Color Filter窗口,如下圖所示。
- 這裡的2.2.7版本稍微有一點改動,具體可以看出來。
- 單擊Background Color按鈕。
- 使用顏色滾輪選擇一個你希望使用的顏色,然後單擊OK。
- 再次單擊OK來應用改變,並回到主窗口。主窗口此時應該已經重載,並使用了更改過的顏色樣式。
讓你在網絡上使用Wireshark時,你可能會發現你處理某些協議比其他協議要多。這時彩色高亮地數據包就能讓你工作地更加方便。舉例來說,如果你覺得你的網絡上有一個惡意的DHCP服務器在分發IP,你可以簡單地修改DHCP協議的著色規則,使其呈現黃色(或者其他便於辨認地顏色)。這可以使你能夠更快地找出所有DHCP流量,並讓你地數據包分析工作更有效率。
你還可以通過基於你自己定製地過濾器創建著色規則,來擴展這些著色規則地用途。
閱讀更多 每天一份乾貨 的文章
