1 概述
本章會討論如何嫻熟地將Wireshark作為網(wǎng)絡(luò)排障工具來使用,先講如何配置用戶界面�,再談如何配置全局和協(xié)議參數(shù),接下來將討論Wireshark文件夾���、配置文件��、文件夾和插件[3]���。
本章還會講解Wireshark的配色規(guī)則及配置方法,同時會介紹新添加進Wireshark版本2的智能滾動條功能,該功能對識別流量模式和協(xié)議的運作方式非常有幫助�。
最后,會以對Wireshark模板(profile)及其使用方法的介紹來結(jié)束本章�����。所謂模板��,是指為了加快排障時間���,降低排障難度�����,事先在Wireshark中針對不同的網(wǎng)絡(luò)環(huán)境�����、網(wǎng)絡(luò)故障或網(wǎng)絡(luò)協(xié)議����,分別定義并保存的用戶界面�、協(xié)議參數(shù)、顯示/抓包過濾器以及配色規(guī)則�。本章會細述Wireshark模板����,本書還會提供一些對讀者有幫助的模板�。
2 配置用戶界面及全局、協(xié)議參數(shù)
通過Edit菜單中的Preferences菜單項以及Preferences窗口中的Protocol配置選項���,不但能控制Wireshark軟件的顯示界面,而且還能改變該軟件對常規(guī)協(xié)議數(shù)據(jù)包的抓取和呈現(xiàn)方式���。本節(jié)將介紹如何在Preferences窗口的Protocol配置界面中配置最常見的協(xié)議��。
2.1 準備工作
點擊Edit菜單中的Preferences菜單項���,Preferences窗口會立刻彈出,如圖2.1所示�����。
圖2.1
由圖2.1可知����,在Preferences窗口中,只要選擇了窗口左邊的配置選項�����,窗口的右邊便會出現(xiàn)相應(yīng)的配置參數(shù)。
2.2 配置方法
本節(jié)會介紹如何配置Preferences窗口中的Appearance(外觀)配置選項��,以及如何針對最常用的協(xié)議����,配置Preferences窗口中的Protocol選項。Preferences窗口所含其余配置選項的配置方法請見本書后面的相關(guān)章節(jié)�����。
注意
由于本書旨在向讀者傳授Wireshark的使用訣竅����,以及如何嫻熟地將其作為排障工具來使用,因此不可能細述Wireshark的所有功能���。Wireshark的簡單功能請參閱其官網(wǎng)的用戶手冊���,作者會重點講解可以提高用戶使用嫻熟度的重要和特殊的功能。
先把目光放在Preferences窗口所含配置選項的設(shè)置上���,看看這些配置選項能否對用戶有所幫助����。
1.常規(guī)的外觀設(shè)置
圖2.2所示為Wireshark Preferences窗口的Appearance(外觀)配置選項,可以對該選項的內(nèi)容進行配置��,來提高使用體驗�����。
圖2.2
Preferences窗口的Appearance配置選項可供配置的內(nèi)容有:
顯示過濾器和最新抓包文件的緩沖區(qū)的大?�?���;
用戶界面的語言(以后的版本將支持更多國家的語言)�����;
主工具條的顯示風(fēng)格——圖標��、文本或圖標加文本���。
2.抓包主窗口的布局設(shè)置
在Preferences窗口的Appearance(外觀)配置選項中�,有一個Layout子配置選項���,用來設(shè)置數(shù)據(jù)包列表(Packet List)����、數(shù)據(jù)包結(jié)構(gòu)(Packet Details)和數(shù)據(jù)包內(nèi)容(Packet Bytes)區(qū)域在Wireshark抓包主窗口里的呈現(xiàn)方式,如圖2.3所示����。
圖2.3
在圖2.3所示的Preferences窗口中,可通過選擇區(qū)域(Pane)的排列樣式���,來設(shè)置上述3個區(qū)域在Wireshark抓包主窗口中的呈現(xiàn)方式�。
3.調(diào)整及添加數(shù)據(jù)包屬性列
在Preferences窗口的Appearance(外觀)配置選項中�����,有一個Columns子配置選項�����,用來添加或刪除抓包主窗口的數(shù)據(jù)包列表區(qū)域里的數(shù)據(jù)包屬性列(欄)����。在默認情況下,出現(xiàn)在抓包主窗口的數(shù)據(jù)包列表區(qū)域里的數(shù)據(jù)包屬性列有No.(編號)��、Time(抓取時間)、Source(源地址)�、Destination(目的地址)、Protocol(協(xié)議類型)����、Length(長度)以及Info(信息),如圖2.4所示�����。
要給數(shù)據(jù)包列表區(qū)域添加一個新列�,可通過以下兩個途徑。
點擊圖2.4中的“+”號按鈕�,先在Type一欄里選擇預(yù)定義的參數(shù)(比如,IP DSCP value��、src port和dest port等)作為新的屬性列����,再在Title一欄里給它起個名字�����,最后單擊OK按鈕����。
點擊圖2.4中的“+”號按鈕����,先在Type一欄里選擇Custom(定制)�����,再在Fields Name一欄里輸入可在顯示過濾器中露面的任一參數(shù)���,然后在Title一欄里給它起個名字�,最后點擊OK按鈕��。下面舉幾個以定制方式在抓包主窗口中添加的數(shù)據(jù)包屬性列的例子��。
要想在抓包主窗口中新增一列�,以便觀看TCP數(shù)據(jù)包的TCP窗口大小,需在Fields Name一欄內(nèi)輸入顯示過濾器參數(shù)tcp.window_size���。
要想在抓包主窗口中新增一列���,以便觀看每個IP數(shù)據(jù)包包頭中的TTL字段值,需在Fields Name一欄內(nèi)輸入顯示過濾器參數(shù)ip.ttl。
要想在抓包主窗口中新增一列�����,以便觀看每個RTP數(shù)據(jù)包中marker位置1的實例�,需在Fields Name一欄內(nèi)輸入顯示過濾器參數(shù)rtp.marker。
圖2.4
注意
還有一種添加新的數(shù)據(jù)包屬性列的辦法�,那就是在抓包主窗口的數(shù)據(jù)包結(jié)構(gòu)區(qū)域里選擇數(shù)據(jù)包的某個字段,單擊鼠標右鍵��,在彈出的菜單中點擊Apply as Column菜單項�。這么一點,那個字段就會成為數(shù)據(jù)包列表區(qū)域里新的數(shù)據(jù)包屬性列���。
在分析網(wǎng)絡(luò)故障時��,酌情以定制方式添加數(shù)據(jù)包屬性列�,可加快定位故障的原因���。與此有關(guān)的內(nèi)容本書后文再敘。
4.設(shè)置字體和配色
在Preferences窗口的Appearance(外觀)配置選項中����,有一個Font and Colors子配置選項,用來更改字體大小、形狀及顏色�����?�?砂磮D2.5所示來修改抓包主窗口的字體�。
圖2.5
注意
若不知如何將抓包主窗口的字體恢復(fù)為默認設(shè)置,請按圖2.5所示將Font選為Consolas����,將Size選為11.0,將Font style選為Normal����。
5.抓包設(shè)置
可通過Preferences窗口中的Capture設(shè)置選項,將主機或筆記本電腦的常用網(wǎng)卡設(shè)置為Wireshark默認抓包網(wǎng)卡�。
在圖2.6中,作者將自己筆記本電腦上名為Wireless Network Connection 2的無線網(wǎng)卡設(shè)置為Wireshark默認抓包網(wǎng)卡�����。Capture設(shè)置選項的其余配置參數(shù)保持原樣��。
圖2.6
6.配置顯示過濾表達式首選項
可通過Preferences窗口中的Filter Expressions設(shè)置選項���,來定義出現(xiàn)在抓包主窗口的顯示過濾器工具條右邊的顯示過濾器表達式�����。
要定義這樣的顯示過濾器表達式��,請按以下步驟行事���。
1.在Preferences窗口中點擊Filter Expressions設(shè)置選項�,如圖2.7所示����。
圖2.7
2.點擊“+”號按鈕,先在Filter Expression一欄里輸入顯示過濾器表達式����,再在Button Label一欄里為它起個名字,最后點擊OK按鈕��。
3.點擊OK按鈕之后�����,之前輸入的顯示過濾器表達式將會以按鈕的形式�����,出現(xiàn)在顯示過濾器工具條的右側(cè)����。
4.由圖2.8可知,圖2.7中定義的那兩個名為TCP-Z-WIN和TCP-RETR的濾器表達式以按鈕的形式�,出現(xiàn)在了抓包主窗口的顯示過濾器工具條的右側(cè)。
圖2.8
注意
如本章最后一節(jié)所述�����,在Wireshark中�����,可為每個模板分別配置不同的顯示過濾器首選項�����。這樣一來�����,就可以配置出各種模板��,分別用來排除TCP、IP電話(IPT)等各種故障���,或分別用來診斷各種網(wǎng)絡(luò)協(xié)議故障�����。
如第4章所述��,在Filter Expressions設(shè)置選項中�,應(yīng)按照Wireshark顯示過濾器的格式來配置顯示過濾表達式���。
7.調(diào)整名稱解析
Wireshark支持以下3個層級的名稱解析����。
:Wireshark可把數(shù)據(jù)包的MAC地址的前半部分解析并顯示為網(wǎng)卡芯片制造商的名稱或ID�����。比方說�����,可把一個MAC地址的前3個字節(jié)14:da:e9解析并顯示為AsusTeckC(ASUSTeK Computer Inc�����,華碩計算機公司)。
:Wireshark可把數(shù)據(jù)包的IP地址解析并顯示為DNS名稱��。比方說��,可把157.166.226.46這一IP地址���,解析并顯示為CNN網(wǎng)站的Edition頁面。
:Wireshark可把TCP/UDP端口號解析并顯示為應(yīng)用程序(服務(wù))名稱�。比方說,可把TCP 80端口解析并顯示為HTTP���,把UDP 53端口解析并顯示為DNS��。
圖2.9所示為在Preferences窗口中點擊過左側(cè)的Name Resolution配置選項之后�,在窗口右側(cè)出現(xiàn)的配置內(nèi)容�����。
圖2.9
在圖2.9所示的Preferences窗口中��,可從上到下配置下述內(nèi)容�����。
第2層、第3層和第4層名稱解析�����。
執(zhí)行名稱解析的方法(通過DNS和/或hosts文件)����,以及并發(fā)的DNS請求數(shù)量的上限(旨在確保Wireshark軟件的運行速度不受影響)。
簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)的對象標識符���、ID以及是否要將它們轉(zhuǎn)換為對象名稱���。
GeoIP以及是否啟用它。有關(guān)詳細信息����,請參閱本書第10章[4]
。
注意
對一個TCP/UDP數(shù)據(jù)包的源�、目端口號而言,只有把目的端口號轉(zhuǎn)換為應(yīng)用程序名稱才有意義�。源端口號一般都是隨機生成(高于1024),將其轉(zhuǎn)換為應(yīng)用程序名稱沒有任何意義。
8.調(diào)整Protocol配置選項里的IPv4配置參數(shù)
借助于Preferences窗口中的Protocols配置選項���,可調(diào)整Wireshark對相關(guān)協(xié)議流量的抓取和呈現(xiàn)方式����。點擊配置選項Protocols左邊的箭頭��,會出現(xiàn)多種協(xié)議配置子選項�。圖2.10所示為選擇IPv4或IPv6協(xié)議配置子選項時,出現(xiàn)在Preferences窗口右側(cè)的配置參數(shù)�。
圖2.10
下面是對IPv4配置子選項名下的某些配置參數(shù)的解釋。
:制定IPv4協(xié)議標準之初����,為了能在IPv4網(wǎng)絡(luò)中保證服務(wù)質(zhì)量�����,在IPv4包頭中設(shè)立了一個叫做服務(wù)類型(ToS)的字段����。后來�,IETF又制定了一套IPv4服務(wù)質(zhì)量的新標準(區(qū)分服務(wù),DiffServ)��,打的也是IPv4包頭中原ToS字段的主意����,只是對其中各個位的置位方式有了新的定義。若未勾選該復(fù)選框�,Wireshark便會按老的IPv4服務(wù)質(zhì)量標準,來解析所抓IPv4數(shù)據(jù)包包頭中的ToS字段��。
: GeoIP是一個數(shù)據(jù)庫�,Wireshark可根據(jù)該數(shù)據(jù)庫里的內(nèi)容來呈現(xiàn)(其所抓數(shù)據(jù)包IP包頭中源和目的)IP地址所歸屬的地理位置。若勾選該復(fù)選框�,Wireshark便會針對所抓IPv4和IPv6數(shù)據(jù)包的IP地址來呈現(xiàn)其所歸屬的地理位置。該子選項功能涉及名稱解析,一旦開啟����,會拖慢Wireshark實時抓包速率。第10章會介紹如何配置GeoIP���。
9.調(diào)整Protocol配置選項里的TCP和UDP配置參數(shù)
UDP是一種非常簡單的協(xié)議����,與Wireshark版本1相比�,Wireshark版本2的Protocols配置選項里的UDP協(xié)議配置子選項幾乎沒有變化,可供配置的參數(shù)也不多����,一般無需調(diào)整�;而TCP協(xié)議則很是復(fù)雜,Protocols配置選項里TCP協(xié)議配置子選項中可供配置的參數(shù)較多���,如圖2.11所示�����。
圖2.11
調(diào)整TCP協(xié)議配置子選項名下的參數(shù)���,其實也就是調(diào)整Wireshark對TCP報文段的解析方式�,以下是對其中某些參數(shù)的解釋�����。
:Wireshark有時會抓到超多校驗和錯誤(checksum errors)的數(shù)據(jù)包���,這要歸因于在抓包主機的網(wǎng)卡上開啟的TCP Checksum offloading(TCP校驗和下放)功能�����。該功能一開�����,便會導(dǎo)致Wireshark將抓到的本機生成的數(shù)據(jù)包顯示為checksum errors(具體原因后文再表)���。因此,若Wireshark抓到了超多校驗和錯誤的數(shù)據(jù)包����,則有必要先取消勾選該復(fù)選框,再去驗證是否真的存在校驗和問題��。
:要讓W(xué)ireshark對TCP數(shù)據(jù)包做詳盡分析,就必須勾選該復(fù)選框���,因為TCP sequence numbers(TCP序列號)是TCP最重要的特性之一�����。
:主機在建立TCP連接時�����,會隨機選擇一個序列號���,并將其值存入相互交換的第一個報文段的TCP頭部的序列號字段。只要勾選了該復(fù)選框�,Wireshark就會把一股TCP數(shù)據(jù)流中第一個TCP報文段的(TCP頭部的)序列號字段值顯示為0,后續(xù)TCP報文段的序列號字段值將依次遞增�����,從而隱藏了真實的序列號字段值�����。在大多數(shù)情況下�����,都應(yīng)該讓W(xué)ireshark顯示TCP報文段的相對序列號(relative number)�����,以方便網(wǎng)管人員查看���。
:該復(fù)選框一經(jīng)勾選���,在抓包主窗口的數(shù)據(jù)包結(jié)構(gòu)區(qū)域中,只要是TCP數(shù)據(jù)包����,就會在transmission control protocol樹下多出一個timestamps結(jié)構(gòu),點擊其前面的箭頭��,就能看到Wireshark記錄的該TCP數(shù)據(jù)包在本股TCP數(shù)據(jù)流中的時間烙?��。╰imestamp)����。讓W(xué)ireshark顯示每個TCP數(shù)據(jù)包的時間烙印���,將有助于排查時間敏感型TCP應(yīng)用程序的故障�。
2.2.3 幕后原理
通過修改Preferences窗口中Protocols選項下相關(guān)協(xié)議子配置選項的參數(shù),便能開啟或禁用Wireshark軟件對相應(yīng)協(xié)議流量的某些分析功能��。需要注意的是��,為了保證Wireshark軟件的運行速度����,應(yīng)盡量禁用不必要的分析功能
對TOS和DiffServ的介紹,詳見本書第10章����。
SNMP是一種用來行使網(wǎng)絡(luò)管理功能的協(xié)議。SNMP對象標識符(OID)的作用是標識對象及其在管理信息庫(MIB)中的位置��。所謂對象�����,既可以是一個計數(shù)器����,對流入接口的數(shù)據(jù)包進行計數(shù)��;也可以是路由器接口的IP地址、設(shè)備的名稱及安裝位置�����、CPU負載或任何其他可呈現(xiàn)或可測量的實體��。
SNMP MIB按樹形結(jié)構(gòu)來構(gòu)建�,如圖2.12所示。頂層MIB對象ID分屬不同的標準組織�。每家網(wǎng)絡(luò)廠商都會為自己的網(wǎng)絡(luò)產(chǎn)品定義私有分枝(包括受管理的對象)。
圖2.12
Wireshark在解析SNMP MIB時�,不但會顯示對象ID,還會顯示其名稱��,這有助于排障人員識別受監(jiān)控的數(shù)據(jù)�����。
3 抓包文件的導(dǎo)入和導(dǎo)出
將抓包文件分享給其他的運維團隊或設(shè)備廠商的支持人員�����,以期查明網(wǎng)絡(luò)故障的根本原因是常有的事兒�。這樣的抓包文件會包含很多數(shù)據(jù)包,而排障人員感興趣的或許僅限于若干數(shù)據(jù)流或部分數(shù)據(jù)包����。Wireshark不但支持將所抓數(shù)據(jù)有選擇地導(dǎo)出至新的文件��,甚至還能修改其格式����,以便傳輸����。本節(jié)將探討Wireshark支持的各種抓包文件導(dǎo)入和導(dǎo)出功能。
3.1 準備工作
運行Wireshark軟件����,點擊主工具條上的Capture按鈕,開始抓包(或打開一個已保存的抓包文件)�。
3.2 配置方法
在Wireshark主抓包窗口內(nèi),既可以把抓來的所有數(shù)據(jù)都保存進一個文件����,也能以不同的格式或文件類型導(dǎo)出自己所需要的數(shù)據(jù)。
現(xiàn)在來講解如何執(zhí)行這些操作���。
1.完整或部分導(dǎo)出抓包文件
既能把抓來的所有數(shù)據(jù)包(或抓包文件中的所有數(shù)據(jù)包)完整保存進一個文件���,也能以各種文件格式和文件類型導(dǎo)出特定的數(shù)據(jù)。
要把抓來的所有數(shù)據(jù)包完整保存進一個文件(或?qū)F(xiàn)有的抓包文件完整另存為一個新的文件)���,請按以下步驟行事���。
若要保存抓包文件(或已抓數(shù)據(jù)包)中的部分數(shù)據(jù)(比如���,經(jīng)過顯示過濾器過濾的數(shù)據(jù))���,請按以下步驟行事。
圖2.13
可在Export Specified Packets窗口的左下角區(qū)域,點擊相應(yīng)的單選按鈕�,來選擇文件的導(dǎo)出方式。
要把抓包文件中的所有數(shù)據(jù)包或所有已抓數(shù)據(jù)包作為一個文件導(dǎo)出,請同時選擇All packets和Captured單選按鈕�,再點Save按鈕。
要把抓包文件(或已抓數(shù)據(jù)包)中經(jīng)過顯示過濾器過濾的數(shù)據(jù)包作為一個文件導(dǎo)出���,請同時選擇All packets和Displayed單選按鈕�,再點Save按鈕��。
要把已選中的數(shù)據(jù)包(即在數(shù)據(jù)包列表區(qū)域中用鼠標點選的數(shù)據(jù)包)作為一個文件導(dǎo)出����,請選擇Selected packets only單選框,再點Save按鈕����。
要把所有帶標記的數(shù)據(jù)包(給數(shù)據(jù)包打標的方法是,先在“數(shù)據(jù)包列表”區(qū)域選中一個數(shù)據(jù)包����,然后點擊右鍵,在彈出的菜單中選擇Mark/unmark packet 菜單項)作為一個文件導(dǎo)出�����,請選擇Marked packets only單選按鈕�����,再點Save按鈕。
要把“數(shù)據(jù)包列表”區(qū)域中位列兩個帶標記的數(shù)據(jù)包之間的所有數(shù)據(jù)包作為一個文件導(dǎo)出����,請選擇First to last marked單選按鈕�����,再點Save按鈕���。
要把抓包文件中編號(詳見“數(shù)據(jù)包列表”區(qū)域里的“No.”列)連續(xù)的那部分數(shù)據(jù)包作為一個文件導(dǎo)出�,請選擇Range單選按鈕��,并在其后的輸入欄內(nèi)填寫數(shù)據(jù)包的編號范圍��,再點Save按鈕�����。
導(dǎo)出抓包文件時����,要是希望放棄其中的某些數(shù)據(jù)包,請先在“數(shù)據(jù)包列表”區(qū)域里選中那些數(shù)據(jù)包并單擊右鍵,在彈出的菜單中選擇Ignore/Unignore packet tog菜單項���;再然后��,選擇Export Specified Packets窗口中的Remove ignored packets復(fù)選框�,再點Save按鈕���。
要以壓縮的形式保存數(shù)據(jù)包�,請先勾選Export Specified Packets窗口中的Compress with gzip復(fù)選框�,再點Save按鈕。
上述“存盤”操作既可以基于整個抓包文件中的所有數(shù)據(jù)包來進行���,也可以基于抓包文件中經(jīng)過顯示過濾器過濾的數(shù)據(jù)包來進行����。
2.保存數(shù)據(jù)的格式選取
Wireshark支持將抓到的數(shù)據(jù)以不同的格式來保存�,以便用各種其他工具做進一步的分析。
通過點擊File菜單的Export Packet Dissections菜單項里的各個子菜單項��,可將抓包文件保存為以下格式�����。
:保存為純文本ASCII文件格式。
:保存為PostScript文件格式���。
:保存為逗號分割文件格式�����。這種格式的文件可為電子表格程序(比如�,Microsoft Excel)所用��。
:把數(shù)據(jù)包的內(nèi)容以C語言數(shù)組的格式保存����,便于導(dǎo)入C程序���。
:存為PSML文件格式���。PSML是一種基于XML的文件格式,只能保存數(shù)據(jù)包的匯總信息����。
:存為PDML文件格式。PSML也是一種基于XML的文件格式����,但能保存數(shù)據(jù)包的詳細信息��。
3.?dāng)?shù)據(jù)打印
要想打印數(shù)據(jù)�,請點擊File菜單里的Print菜單項���,Print窗口會立刻彈出�����,如圖2.14所示���。
可在Print窗口中做如下選擇。
在窗口的右上角(1)�����,可選擇有待打印的數(shù)據(jù)包的具體內(nèi)容�����。
勾選Summary line復(fù)選框�,會打印出在數(shù)據(jù)包列表(Packet Summary)區(qū)域看到的數(shù)據(jù)包的內(nèi)容。
勾選Details復(fù)選框�,會打印出在數(shù)據(jù)包結(jié)構(gòu)(Packet Details)區(qū)域看到的數(shù)據(jù)包的內(nèi)容���。
勾選Bytes復(fù)選框,會打印出在數(shù)據(jù)包內(nèi)容(Packet Byte)區(qū)域看到的數(shù)據(jù)包的內(nèi)容����。
在窗口的左下區(qū)域,可選擇有待打印的數(shù)據(jù)包(操作方法類似于文件保存�,這在上一節(jié)已經(jīng)提到)。
圖2.14
3.3 幕后原理
Wireshark支持以文本格式或PostScript格式來打印數(shù)據(jù)(以后一種格式打印時����,打印機應(yīng)為PostScript感知的打印機),同時支持將數(shù)據(jù)打印至一個文件����。選妥了Print窗口中的各個選項����,點擊Print按鈕之后,會彈出操作系統(tǒng)自帶的常規(guī)“打印”窗口���,可在其中選擇具體的打印機來打印�。
3.4 拾遺補缺
要查看Wireshark軟件存儲各種文件的系統(tǒng)文件夾���,請點擊Help菜單中的About Wireshark菜單項��,在彈出的About Wireshark窗口中選擇Folders選項卡��,如圖2.15所示�。在About Wireshark窗口中,可以看到Wireshark軟件存儲各種文件的實際文件夾����,在窗口的最右邊,可以看到存儲在那些文件夾中的文件類型�����。
圖2.15
點擊Location下的鏈接����,會進入存儲相應(yīng)文件的文件夾。
4 調(diào)整數(shù)據(jù)包的配色規(guī)則
Wireshark會根據(jù)事先定義的配色規(guī)則���,用不同的顏色來分門別類地顯示抓包文件中的數(shù)據(jù)�����。合理地定義配色規(guī)則��,讓匹配不同協(xié)議的數(shù)據(jù)包以不同的顏色示人(或讓不同狀態(tài)下的同一種協(xié)議的數(shù)據(jù)包呈現(xiàn)出多種顏色)�,能在排除網(wǎng)絡(luò)故障時幫上大忙。
Wireshark支持基于各種過濾條件來配置新的配色規(guī)則���。這樣一來�����,就能夠針對不同的場景定制不同的配色方案����,同時還能以不同的模板來保存��。也就是說�,網(wǎng)管人員可在解決TCP故障時啟用配色規(guī)則A,在解決SIP和IP語音故障時啟用配色規(guī)則B���。
注意
可通過定義模板(profile)的方式,來保存針對Wireshark軟件自身的配置(比如�,事先配置的配色規(guī)則和顯示過濾器等)。要如此行事�����,請點擊Edit菜單下的Configuration Profiles菜單項。
4.1 準備工作
要定義配色規(guī)則�����,請按以下步驟行事��。
1.選擇View菜單��。
2.點擊中下部的Coloring Rules菜單項�����,Coloring Rules-Default窗口會立刻彈出�,如圖2.16所示。
該窗口顯示的是Wireshark默認啟用的配色規(guī)則�����,包括TCP數(shù)據(jù)包���、路由協(xié)議數(shù)據(jù)包以及匹配某些協(xié)議事件的數(shù)據(jù)包的配色規(guī)則�。
圖2.16
4.2 操作方法
要調(diào)整配色規(guī)則�����,請按以下步驟行事。
圖2.17
在Name欄內(nèi)填入本配色規(guī)則的名稱。比如����,要想專為NTP協(xié)議數(shù)據(jù)包定制配色規(guī)則,那就在該輸入欄內(nèi)填入NTP����。
在Filter字段內(nèi)填入顯示過濾表達式,指明本配色規(guī)則對哪些數(shù)據(jù)包生效�。欲知更多與顯示過濾器有關(guān)的內(nèi)容,請閱讀第4章�。
點擊Foreground按鈕,為本配色規(guī)則選擇一款前景色�����。此款顏色將成為受本配色規(guī)則約束的數(shù)據(jù)包在抓包主窗口的數(shù)據(jù)包列表區(qū)域里的前景色�����。
點擊Background按鈕��,為本配色規(guī)則選擇一款背景色�。此款顏色將成為受本配色規(guī)則約束的數(shù)據(jù)包在抓包主窗口的數(shù)據(jù)包列表區(qū)域里的背景色。
要刪除一條配色規(guī)則�����,請點擊“?”按鈕(在“+”按鈕的右側(cè))����。
要修改現(xiàn)有的配色規(guī)則,請雙擊該配色規(guī)則��。
點擊Import按鈕���,可導(dǎo)入現(xiàn)成的配色方案����;點擊Export按鈕���,可導(dǎo)出當(dāng)前的配色方案��。
注意
Coloring Rules窗口中配色規(guī)則的排放次序是有講究的�。請務(wù)必確保配色規(guī)則的排放次序與配色方案的執(zhí)行次序相匹配。比方說���,作用于應(yīng)用層協(xié)議數(shù)據(jù)包的配色規(guī)則應(yīng)置于作用于TCP/UDP數(shù)據(jù)包的配色規(guī)則之前����,只有如此����,方能避免Wireshark為了應(yīng)用層協(xié)議數(shù)據(jù)包而干擾TCP/UDP數(shù)據(jù)包的顏色。
4.3 幕后原理
Wireshark軟件中的許多操作都與顯示過濾器緊密關(guān)聯(lián)�,定義配色規(guī)則也是如此,因為受配色規(guī)則約束的數(shù)據(jù)包都是經(jīng)過預(yù)定義的顯示過濾器過濾的數(shù)據(jù)包�。
4.4 進階閱讀
可從Wireshark官方網(wǎng)站下載到很多經(jīng)典的Wireshark數(shù)據(jù)包配色方案,在Internet上也能搜到許多其他的配色方案示例���。
要想使用某個配色規(guī)則文件���,請先將那些文件下載至本機,再在Wireshark中選擇View菜單���,單擊Coloring Rules菜單項�����,在彈出的Coloring Rules-Default窗口中單擊Import按鈕�����,將文件導(dǎo)入���。
5 配置時間參數(shù)
對時間顯示格式的調(diào)整,會在Wireshark抓包主窗口數(shù)據(jù)包列表區(qū)域的Time列(默認為左邊第2列)的內(nèi)容里反映出來�。在某些情況下,有必要讓W(xué)ireshark以多種時間格式來顯示數(shù)據(jù)包�。比方說,在觀察隸屬同一連接的所有TCP數(shù)據(jù)包時�����,每個數(shù)據(jù)包的發(fā)送間隔時間是應(yīng)該關(guān)注的重點����;當(dāng)所要觀察的數(shù)據(jù)包抓取自多個來源時,則最應(yīng)關(guān)注每個數(shù)據(jù)包的確切抓取時間�。
5.1 準備工作
要配置Wireshark抓包主窗口數(shù)據(jù)包列表區(qū)域中數(shù)據(jù)包的時間顯示格式,請進入View菜單���,選擇Time Display Format菜單項�,其右邊會出現(xiàn)如圖2.18所示的子菜單。
圖2.18
5.2 配置方法
圖2.18所示的Time Display Format菜單項的上半部分子菜單包含以下子菜單項�。
:當(dāng)通過Wireshark抓包來幫助排除網(wǎng)絡(luò)故障,且故障發(fā)生的時間也是定位故障的重要依據(jù)時(比如���,已獲悉了故障發(fā)生的精確時間�,且還想知道相同時間網(wǎng)絡(luò)內(nèi)發(fā)生的其他事件時)�,就應(yīng)該根據(jù)具體情況,選擇該子菜單項����。
:Epoch是指通用協(xié)調(diào)時間(格林威治標準時間的前稱)的1970年1月1日早晨0點。這也是UNIX系統(tǒng)問世的大致時間�����。
:此乃Wireshark默認選項���。
:這也是一個常用選項����,此菜單項一經(jīng)點選����,數(shù)據(jù)包列表區(qū)域的Time列將顯示每個數(shù)據(jù)包的抓取時間差�����。當(dāng)監(jiān)控時間敏感型數(shù)據(jù)包(比如����,TCP流量�、實時視頻流量�、VoIP語音流量)時,就應(yīng)該點選該子菜單項�,因為此類數(shù)據(jù)包的發(fā)送時間間隔對用戶體驗有至關(guān)重要的影響。
:在應(yīng)用過顯示過濾器��,讓W(xué)ireshark只顯示抓包文件中部分數(shù)據(jù)的情況下(比如���,在只顯示隸屬于某條TCP流的所有數(shù)據(jù)包的情況下)���,通常都應(yīng)該點選該子菜單項。此時�����,網(wǎng)管人員更關(guān)心的應(yīng)該是隸屬于某條TCP數(shù)據(jù)流的各個數(shù)據(jù)包之間的抓取時間差�。
:提供UTC時間�。
Time Display Format菜單項的下半部分子菜單項涉及對時間精度的調(diào)整�����。只有對時間精度要求很高的情況下��,才建議更改默認設(shè)置��。
可使用Ctrl+Alt+任意數(shù)字鍵來調(diào)整上述時間格式選項�����。
5.3 幕后原理
為抓到的數(shù)據(jù)包留下時間烙印時����,Wireshark依據(jù)的是操作系統(tǒng)的時間。在默認情況下����,生效的是Seconds Since Beginning of Capture子菜單項功能。
6 構(gòu)建排障使用的配置模板
可定義Wireshark配置模板��,來保存針對Wireshark軟件自身的各種配置(比如�,外觀、預(yù)定義的配色規(guī)則���、抓包及顯示過濾器等)�。要如此行事,請進入Edit菜單��,選擇Configuration Profile菜單項����。
Wireshark配置模板會保存下列信息。
對Edit菜單中Preferences菜單項包含的各配置選項的定義��,包括:對Appearance和Protocols功能項的定義(比如�����,對Wireshark抓包主窗口的字體���、屬性列的列寬的定義)。
抓包過濾器����。
顯示過濾器和顯示過濾器宏(詳見第4章)。
配色規(guī)則�。
定制的HTTP、IMF和LDAP頭部(詳見第12章)���。
用戶定義的解碼方式��,比如�,作為某種功能的解碼方式,用戶可利用該功能臨時性地改變Wireshark對特殊協(xié)議的解析方式�����。
所有配置模板文件都會保存在Wireshark軟件Personal Configuration目錄的 profiles目錄下��。
6.1 準備工作
運行Wireshark軟件����,點擊主工具條上的Capture按鈕,開始抓包(或打開一個已保存的抓包文件)���。
6.2 操作方法
要打開現(xiàn)有的配置模板文件��,請執(zhí)行如下操作�。
1.可點擊狀態(tài)欄最后邊的Profile區(qū)域��,選擇準備采用的現(xiàn)有配置模板��,如圖2.19所示。
圖2.19
2.還可以進入Edit菜單���,選擇Configuration Profiles菜單項��,在Configuration Profiles窗口中選擇準備采用的現(xiàn)有配置模板���,如圖2.20所示。
圖2.20
要創(chuàng)建一個新的配置模板�����,可執(zhí)行如下步驟���。
1.右鍵單擊狀態(tài)欄最后邊的Profile區(qū)域�,在彈出的菜單中選擇New菜單項�,或者在圖2.20所示的窗口中點擊“+”號按鈕���。
2.新的配置模板創(chuàng)建之后��,在profiles目錄下會創(chuàng)建一個新的目錄�����,如圖2.21所示�����。
圖2.21
3.由圖2.21可知�����,在新建的配置模板目錄下(本例為Wireless模板及Wireless目錄)��,可以看到包含抓包過濾器的cfilter文件����、包含配色規(guī)則的colorfilters文件、保存HTTP字段配置的custom_http_header_fields文件�����,以及保存preference菜單項功能配置的preference文件�����。
6.3 幕后原理
創(chuàng)建新的模板時�,Wireshark軟件會在profiles目錄下新建一個同名目錄。此后�,在關(guān)閉Wireshark或加載另一個配置模板時����,一個名為recent的文件會誕生在那個新的模板目錄內(nèi)����。該文件包含了常規(guī)的Wireshark窗口設(shè)置,包括可視工具欄���、時間戳顯示�、字體縮放級別和列寬等配置��。若在創(chuàng)建了新的配置模板之后還創(chuàng)建了抓包過濾器�����、顯示過濾器和配色規(guī)則�,則在那個新的模板目錄內(nèi)還會誕生別的文件(分別為cfilters、dfilters和colorfilters)�����。
6.4 拾遺補缺
如前所述���,保存模板配置參數(shù)的文件都位于profiles目錄下。那么,自然可以在不同的配置模板之間轉(zhuǎn)移配置參數(shù)����,比如,在默認的preference文件中����,包含了以下與啟動窗口中的顯示過濾器工具條有關(guān)的配置參數(shù)[5]
。
####### Filter Expressions ########gui.filter_expressions.label: SIPgui.filter_expressions.enabled: FALSEgui.filter_expressions.expr: sipgui.filter_expressions.label: RTPgui.filter_expressions.enabled: FALSEgui.filter_expressions.expr: rtp
若另一個配置模板也需要這樣的配置參數(shù)�,則只需將這些參數(shù)復(fù)制進該配置模板目錄下的preference文件。
6.5 進階閱讀
在本書隨后的相關(guān)章節(jié)內(nèi)����,會介紹具體的配置模板。第11章會介紹用于排除TCP性能故障的配置模板��,第9章會介紹用于無線LAN分析的配置模板���。
[1] 譯者注:點擊Edit菜單的Preferences菜單項�,會彈出Preferences窗口�。所謂配置用戶界面,就是配置該窗口中Appearance配置選項里的內(nèi)容���。
[2] 譯者注:即配置Preferences窗口中Protocol配置選項里的內(nèi)容��。
[3] 譯者注:原文是“Next, we talk about Wireshark folders, configuration files, and folders and plugins”�����,譯文按原文字面意思直譯���。
[4] 譯者注:本書第10章并沒有GeoIP相關(guān)內(nèi)容�。
[5] 譯者注:原文是“You can of course copy parameters from one profile to another; for example, in the default performance file, you have these filters”�����。
本文摘自《Wireshark網(wǎng)絡(luò)分析實戰(zhàn)》(第2版)
本書擴充了上一版的主題��,涵蓋如何使用Wireshark監(jiān)控TCP性能���、網(wǎng)絡(luò)安全�、無線LAN以及云和虛擬系統(tǒng)����,介紹了在單播/多播網(wǎng)絡(luò)環(huán)境中如何借助Wireshark分析端到端的IPv4/IPv6連通性故障。讀者將了解E-mail協(xié)議的正常運行機制����,學(xué)會如何使用Wireshark來完成基本的故障分析和排除工作。利用Wireshark這款利器�,讀者可以解決企業(yè)網(wǎng)絡(luò)中常用應(yīng)用程序的故障。讀者還將學(xué)習(xí)如何測量網(wǎng)絡(luò)參數(shù)�,如何檢查并修復(fù)因網(wǎng)絡(luò)參數(shù)引起的性能問題。
