歪尔沙克默认的显示方式
歪尔沙克作用有很多,常用场景为应急响应中的数据包流量分析,他能直观的看到数据的传输过程,包括各种http/https、tcp/ip、ftp、ssh等等协议通通支持。当我们不能直观的抓到恶意软件的传输的时候,也许歪尔沙克会有意想不到的结果。而运维成员也会在两地网略出现问题是直接使用歪尔沙克进行流量分析,当然还有在tcp协议传输的客户端测试的时候都需要应用这个神奇的家伙。下图为Wireshark默认的显示方式:
Wireshark中常用的列:
No:捕获的数据帧序号,第一帧始终为 1。
Time:从捕获的第一帧开始的计算的时间(单位为纳秒),第一帧标记为 0.000000。
Source :源地址,通常是 IPv4、IPv6 或者 以太网地址。
Destination :目的地址,通常是 IPv4、IPv6 或者 以太网地址。
Protocol :以太网帧、IP数据包、TCP分片所使用的协议(ARP、DNS、TCP、HTTP等)。
Length :数据帧长度(单位为字节)。
Src port(resolved):源目标的端口
Src port(unresolved):目的地址的端口
info:数据请求的一个详细过程
由于实际场景用到的可能没有这么多,所以为了更直观的显示我们需要的东西,将不需要的列删除,增加我们想要的列表
增/删列
将鼠标移动至列标题栏的位置,而后单击鼠标右键,如下图所示
降不常用的去掉,这样的话目前就只剩下了 时间 、源地址、目的地址、协议以及详细的信息
接下来添加需要的内容,并将英文改成中文,哈哈
老规矩,单击鼠标右键,选中 column preferences
单击左下角小加号,添加新的列
偷个懒,写一半就行了,这两个左边的列为标题显示的名字,右边的则是下拉列表,按照图里面的选择就行了,对应的就是源端口和目标端口
把其余的也改个名字,方便大家看
对了,忘记说,大家可以将新增的列表拖拽至自己想要的位置,想必用这个东西的都不是凡人,也不用给大家演示了,哈哈
如果觉得显示的比较拥挤的话,可以将鼠标移动至对应的列名,然后单击鼠标右键;他们分别对应 左对齐、居中对齐以及右对齐
修改显示的时间
单击最上面的功能栏 “视图” ,而后按照图来就行,就可以将时间戳改成我们能接受的时间格式,更加的直观
更改之后的结果,记住不要选utc哦,否则时间是人家老美的时间
添加HOST列
增加个host地址会更适合我们观察,否则的话都不知道目标是啥
使用显示过滤器 http.request 过滤出所有的HTTP请求数据包,点击一个请求包,在数据包详细信息窗
格中找到Hypertext Transfer Protocol
将鼠标移动至Hypertext Transfer Protocol的位置,单击鼠标右键,选中应用为列。这个参数代表的是http请求的详细内容,包括请求的头信息以及包体等等
这样是不是显示就更加直观了呢?
今天就先写到这,因为笔者也是学到这,哈哈,活到老学到老
