设置Wireshark显示的特定数据类型Wireshark网络分析实例集锦大学霸

设置Wireshark显示的特定数据类型Wireshark网络分析实例集锦大学霸

Wireshark提供了首选项设置，用户可以根据需要进行设置，如设置用户接口、名称解析、过滤器表达式。但是只设置首选项中的配置，仍然有些数据包不能显示。如果想更详细的了解一个数据包，可以设置Wireshark特定的数据类型。设置Wireshark显示的特定数据类型Wireshark网络分析实例集锦大学霸

1.用户接口设置

在Wireshark的工具栏中依次选择Edit|Preference，将显示如图2.24所示。

图2.24  首选项设置

该界面显示了三部分设置，分别是User Interface、Protocols和Statistics。在该界面的右侧框中，就可以对用户接口进行设置了。

2.开启名称解析

在Wireshark工具栏中依次选择Edit|Preferences|Name Resolution，将显示如图2.25所示的界面。用户也可以通过在View|Name Resolution的下拉菜单中开启相应的名称解析，但这个设置是临时的。如果想永久生效，需要在首选项中设置。设置后，该信息将被保存在当前配置文件中。

图2.25  名称解析设置

从该界面可以看到有三种类型的名字解析可用。这三种名字解析含义如下所示：

MAC地址解析（Resolve MAC address）：这种类型的名字解析使用ARP协议，试图将数据链路层MAC地址（如00:09:5B:01:02:03）转换为网络层地址（如10.100.12.1）。如果这种转换尝试失败，Wireshark会使用程序目录中的ethers文件尝试进行转换。Wireshark最后的方法就是将MAC地址的前三个字节转换到设备的IEEE指定制造商名称，例如Netgear_01:02:03。设置Wireshark显示的特定数据类型Wireshark网络分析实例集锦大学霸

传输名称解析（Resolve transport names）：这种类型的名称解析尝试将一个端口转换成一个与其相关的名称。例如，可以将端口80显示为http。

网络地址解析（Resolve network(IP)address）：这种类型的名称解析试图将一个网络层地址（如192.168.1.50这个IP地址），转换为一个易读的DNS名称（如MarketingPC1.domain.com）。

如果要开启名称解析，只需要将相应名字解析前的复选框勾上即可。

3.过滤器表达式设置Wireshark显示的特定数据类型Wireshark网络分析实例集锦大学霸

在Wireshark工具栏中依次选择Edit|Preferences|Filter Expressions命令，将显示如图2.26所示的界面。

图2.26  设置过滤器表达式

在该界面可以通过单击Add、Remove按钮，来添加、删除过滤器。添加用户最想使用的显示过滤器，这样在捕获文件中可以很好的应用。

【实例2-2】设置Wireshark首选项。具体操作步骤如下所示：

（1）打开http.pcapng文件。

（2）在Wireshark工具栏中单击 （编辑首选项）图标，将显示如图如图2.27所示的界面。图2.27  编辑首选项

（3）在该界面修改Maximum recent filters和Maximum recent files的默认设置，修改为30。修改这两个设置后，用户能够快速的调用更多最近使用过的过滤器和文件。

（4）单击OK按钮，将返回Wireshark主界面。

4.设置协议和应用程序

用户可以在首选项设置中，查看Wireshark包含的所有可编辑设置的协议和应用程序。在首选项设置中，单击Protocols前面的加号（+），即可查看所有的应用程序和协议。对于定义协议，最快的方法就是右键单击Packaget Details面板中的数据进行设置。设置Wireshark显示的特定数据类型Wireshark网络分析实例集锦大学霸

【实例2-3】在Wireshark主界面可以使用单击右键的方法，检查和修改IP、UDP、TCP设置。下面介绍禁用IP、UDP和TCP校验验证。具体操作步骤如下所示：

（1）这里选择在Packet List面板中的19帧，右键单击Packet Details面板中的Internet Protocol，将显示如图2.28所示的界面。图2.28  Internet Protocol菜单

（2）将鼠标停留在在该界面Internet Protocol菜单的Protocol Preference选项上，将出现该选项的子菜单。在该子菜单中Validate the IPv4 checksum if possible是启用的，则单击该选项将其禁用。

（3）再次选择19帧右键单击Packet Details面板中的User Datagram Protocol，在弹出的菜单中依次选择Protocol Preference|Validate the UDP checksum if possible命令，将该选项禁用。

（4）在Packet List面板中选择59帧。右键单击Packet Details面板中的Transmission Control Protocol会话，在弹出的菜单中依次选择|Protocol Preference|Validate the TCP checksum if possible命令，将该选项禁用。此外，还需要设置额外的几个选项。如下所示：

禁用Allow subdissector to reassemble TCP streams选项启用Track number of bytes in flight选项启用Calculate conversation timestamps选项

以上三个协议的含义如下所示：

Allow subdissector to reassemble TCP streams：该选项默认设置是启用的。但是当分析HTTP数据时，它可能带来一定的困扰。例如，一个HTTP服务使用响应码（如200 OK）响应客户端请求，并且它包括一些请求的文件包。这时，Wireshark就不能显示响应码。相反，Wireshark将显示[TCP Segment of a Reassembled PDU]（协议数据单元）。启用该选项和不启用该选项，显示的结果如图2.29和2.30所示。图2.29  启用TCP重组  图2.30  禁用TCP重组

Track number of bytes in flight：该选项用来设置通过TCP连接发送数据字节数，但还是被认为“未确认的字节”。用户可以配置Wireshark，查看目前在TCP通信中有多少未确认的数据。当启用该选项后，在Packet Details面板中一个新的会话将被附加到TCP头部。在TCP建立连接之前，这个新字段将不会显示。 Calculate coversation timestamps：该选项用来在单个TCP会话内，设置TCP时间戳。这使用户可以获得基于单个TCP会话中的第一帧或单独TCP会话前一帧的时间戳。当启用该选项后，在Packet Details面板中一个新的会话将被附加到TCP头部，如图2.31所示。

图2.31  添加的时间戳设置Wireshark显示的特定数据类型Wireshark网络分析实例集锦大学霸

（7）根据以上要求设置完后，包显示的信息将发生改变。这里单击108帧，展开在Packet Details面板的中的Transmission Control Protocol Line、SEQ/ACK analysis和Timestamps会话，将显示如图2.32所示的界面。

图2.32  改变的TCP设置设置Wireshark显示的特定数据类型Wireshark网络分析实例集锦大学霸