设置Wireshark视图之设置Packet List面板列Wireshark网络分析实例集锦大学霸<第二更>

设置Wireshark视图之设置Packet List面板列Wireshark网络分析实例集锦大学霸<第二更>

Wireshark数据抓包分析(网络协议篇)

Wireshark数据抓包分析(网络协议篇)

第2章 设置Wireshark视图Wireshark默认界面显示了一些基本的信息。如果用户想查看更详细的信息,可以手动设置Wireshark的视图。例如,在Packet List面板中添加列,设置Packet Details面板的显示信息,设置Profile等。本章将介绍设置Wireshark视图的方法。

2.1  设置Packet List面板列

在Wireshark的Packet List面板中默认包含了几列,如No、Time、Source、Destination等。用户也可以手动的添加、删除、隐藏、编辑显示的列。本节将介绍设置Packet List面板列。

2.1.1  添加列

Wireshark默认包含了几列,这些列中显示了基本信息。如果想集中分析一个特定问题,往往需要使用添加列的方法来实现。添加列可以帮助用户快速的查看到所需要的信息。添加列有两种方法。下面分别进行介绍。

1.第一种方法

第一种添加列的方法展开Packet Details面板中的数据包,在展开的数据包中右键单击某个字段,然后选择Apply as Column命令即可添加该列。在Packet Details面板中,显示了数据帧中包含的字段和值。操作方法如下:设置Wireshark视图之设置Packet List面板列Wireshark网络分析实例集锦大学霸

(1)打开一个捕获文件(名为http.pcapng)。

(2)在Packet Details面板中,右键单击Internet Protocol会话,将显示一个菜单栏。在该菜单栏中,单击Expand All命令显示整个帧中的所有字段。

(3)选择其中一个字段,这里选择Time to live。右键单击该字段,并选择Apply as Column命令,将显示如图2.1所示的界面。

 

图2.1  添加列的方法

从该界面可以看到,在Wireshark的界面增加了一列Time to live。

2.第二种方法

如果包中不包含有用户想要添加的字段时,使用第一种方法将无法实现。这就需要使用第二种方法来实现。在Wireshark的菜单栏中,依次选择Edit|Preferences|Columns命令,将显示如图2.2所示的界面。

图2.2  创建列

从该界面中,可以看到Wireshark已存在的列。此时可以单击Field type区域中的任何字段,通过鼠标拖拽来调整列的顺序,并添加列。在该界面显示的标题也可以重命名,单击鼠标即可修改默认的标题名。如果要添加列,单击Add按钮。

2.1.2  隐藏、删除、重新排序及编辑列

用户可以在首选项窗口对列进行各种操作,如隐藏列、删除列、编辑列等。将鼠标靠近Packet List面板中的列窗口,右键单击某一列,就可以实现编辑列标题、暂时隐藏(或显示)列或删除列。使用鼠标向左向右拖动窗口,可以对这些列重新排序。本节将介绍对列的操作。

1.隐藏列

如果当前不需要分析某一列的信息时,就可以将该列隐藏。例如要隐藏Time to live列,在Wireshark主界面的Packet List面板中单击Time to live列,将显示如图2.3所示的界面。

图2.3  隐藏列

从该界面可以看到显示了该列中所有可用的选项。这里,单击Hide Columns命令。此时Time to live列就隐藏了,如图2.4所示。

图2.4  隐藏Time to live列

从该界面可以看到Time to live列,不存在了。这说明该列已隐藏。当使用该列时,可以单击Displayed Columns命令,选择隐藏的列。

2.删除列

如果不再使用Time to live列时,可以将该列删除。在如图2.3所示的菜单栏中,选择Remove

Column命令,将显示如图2.5所示的界面。

图2.5  删除Time to live列

从该界面可以看到Time to live列已经被删除。这里可以看到该界面与图2.4的界面一样。但是实则上是不同的,因为删除该列后,在Displayed Columns中将不会存在。如果想再查看该列时,需要重新创建才可以。

3.排序列内容

通过排序列可以使用户更快的分析数据。这里以http.pcapng文件为例,对Time to live列内容进行排序。打开该文件后,使用鼠标单击Time to live列标题就可以了。对该列排序后,该列的数据将从底到高排序,如图2.6所示。如果再次单击该列,将从高到底排序。

图2.6  排序Time to live列的内容

从该界面可以看到Time to live列,是从低到高排序。此时将鼠标滚动到Wireshark的顶部,可以看到此时捕获文件中最低的TTL值是47。

4.编辑列

在图2.3的菜单栏中选择Edit Column Details命令,将显示如图2.7所示的界面。

图2.7  编辑列页面

这里将标题Time to live修改为live,然后单击OK按钮,将显示如图2.8所示的界面。

图2.8  编辑列

从该界面可以看到原来的标题列Time to live已经变成live。

5.输出列数据

如果要想使用其它工具分析Wireshark捕获的数据,可以将Wireshark的列数据输出。用户添加列到包列表窗口,然后输出列数据。

例如,如果想要输出Time to live列的内容,可以选择File|Export Packet Dissections|as “CSV”(Comma Separated Values packet summary)file…命令,如图2.9所示。然后,将这些数据保存到本地磁盘的一个文件中。

图2.9  输出列数据

保存的文件中,显示了所有列中的数据。这些列之间使用逗号分隔,此时打开这个CSV文件将可以进一步操作数据。例如,使用Microsoft Excel打开CSV文件,将显示如图2.10所示的界面。

图2.10  CSV文件

从该界面可以看到,在Wireshark中的每列信息。

【实例2-1】下面演示添加HTTP协议的Host字段作为一列。具体操作步骤如下所示:

(1)在Wireshark的工具栏中单击 (打开一个捕获的文件)按钮,打开http.pcapng文件。

(2)在包列表窗口中,向下滚动鼠标选择59帧。

(3)在包详细窗口中显示了59帧中的详细内容。在包详细窗口中单击Hypertext Transfer Protocol前面的加号(+),展开59帧的会话,如图2.11所示。

图2.11  59帧中的详细内容

(4)在该界面右键单击Host行(包含www.baidu.com\r\n),并选择Apply as Column命令,Host列将被添加到Info列的左边,如图2.12所示。此时可以通过单击并拖动列,将列的边缘扩大。 设置Wireshark视图之设置Packet List面板列Wireshark网络分析实例集锦大学霸

图2.12  添加的Host列

(5)从该界面可以看到Host列被成功添加。此时,可以单击Host列进行排序。如果想要查看所有主机客户端发送的请求,可以单击工具栏中的 (跳转到第一个包)按钮,将显示如图2.13所示的界面。 图2.13  所有发送请求的客户端

(6)该界面显示所有发送HTTP请求的客户端,这样就不用滚动鼠标一个个查找发送HTTP请求的客户端。如果想将Host列隐藏的话,右键单击Host列并选择Hide Column即可实现。当再次查看时,单击右键Host列并选择Displayed Columns |Host(http.host)命令,Host列将再次被添加到Wireshark的窗口列表中。设置Wireshark视图之设置Packet List面板列Wireshark网络分析实例集锦大学霸

Comments are closed.