本次介绍wireshark工具栏的分析(Analyze)功能,分析功能主要是针对抓包数据进行过滤、合并追踪和专家信息统计,协助工程师快速判断和定位问题,功能如下:
wireshark分析界面
1.1 显示过滤规则。过滤规则在之前的Edit选项已经涉及,我们这里主要看过滤宏。
点击Analyze-display filter macros-"+"新增一条,例如我们要过滤针对某个地址的DNS查询流量,语法为把原有的过滤规则改为$对应的变量,例如:test1 ip.addr == $1 && udp.port == $2(过滤目的地址为$1的$2的udp流量) 如下图
wireshark过滤宏
而后在抓包主界面的的过滤规则中调用,调用语法为:${宏名称:变量1;变量2},例如本次例子里:${test1:10.2.33.206;53}(过滤目的地址为10.2.33.206的DNS流量),如下图
使用过滤宏
适当的配置工作中常用的宏命令,会节约更多的工作量,后面实际使用过程中,我们在详细介绍。
1.2 使用某些参数作为过滤条件,在抓取的数据包右键可以选取参数。
1.2.1在数据包列表右键packet list的No.1行,会在过滤规则生成过滤规则,如下图:
过滤规则
过滤规则2
1.2.2 在详情右键选取更更相信的参数右键,例如在tcp的目的端口右键,添加过滤:
过滤规则3
1.3 支持的协议和编码方式,可以选择禁用不必要的协议给软件瘦身:如下图
wireshark支持的协议设置
1.4 追踪流(Follow),传输层的协议(TCP/UDP/SCTP)是基于SEQ编号的多个数据包传输,只看单独的数据包不利于整体查看数据流。通过在其中一个数据包-右键-追踪TCP/UDP/HTTP等数据流可以产看完整的传输过程。例如telnet是不安全的登录设备方式,可以通过抓取传输过程并且展示数据流产看用户名密码,如下图:
wireshark追踪流
显示如下信息,包含了用户名/密码和回传的信息:
追踪telnet流
1.5 专家信息(Expert Information),会将抓到的数据包基于wireshark自带的库进行对比,并将可能有问题的数据包通过erro/warning/note/chat进行标记,并且可以点开查看具体的数据包。以便快速的分析和定位故障,具体的故障分析我们会在后续文章继续分享,如下图:
wireshark专家信息
关于分析,Analyza的基本操作就介绍到这里,后面我们会继续介绍最后的一个功能菜单:统计(statistics),如果需要了解其他功能菜单,可以查看之前的文章(Edit、File/View、Capture)。
