文章介绍了使用Wireshark进行高效数据包分析的方法,包括使用过滤器(显示过滤器和捕获过滤器)来减少分析的数据量,通过颜色标记帮助识别不同类型的包,以及利用协议层次结构来定位问题。此外,还提及了Wireshark的自动完成功能和表达式生成器,以简化复杂的过滤表达式的创建。
数据包分析是一个复杂的话题。如果在没有设置参数的情况下启动Wireshark,就会开始实时捕获或打开一个预先录制的pcap文件。在很短的时间内,可能有成千上万的数据包等待分析。有一种危险,就是被大量的数据困住了。
然而,如果用户想深入分析数据包,没有一个其他产品可以替代Wireshark。但是,有一些方法可以使这项任务变得更加容易。
本文解释了应对挑战和减少数据包分析工作的策略--无论是为了排除故障还是为了评估网络质量。
第一部分也就是本篇讨论的是解释如何使用Wireshark工具进行结构化搜索的技术。这里涵盖了过滤器、颜色标记和协议层次的技术。
第二部分将会在下一期为大家进行介绍,我们该如何使用 Allegro 网络万用表来加快 pcap 分析器的工作。
旗舰级的Wireshark
开源程序Wireshark是一个非常好用的pcap分析器。该项目从前身 "Ethereal "中脱颖而出,自2006年以来一直存在,自其发布以来已将所有商业对比产品挤出市场。Wireshark是一个面向数据包的分析器,用于准确定位问题,并以图形显示数据日志。
大多数繁忙的网络会有许多水平的网络连接,需要准确的数据包分析。例如,只访问一个网站就会产生与许多其他主机的连接。
过滤器的使用
由于需要处理的数据量巨大,Pcap 文件的分析可能是一个挑战。可以使用过滤器来有选择地隐藏不感兴趣的连接。我们的目标是最终获得一组相对容易管理的数据包,作为详细分析的起点。
除了应用BPF语法等外部工具和技术来过滤流量外,Wireshark还有一些板载手段来减少大量的信息,以便更接近相关信息。Wireshark区分了两种类型的过滤器。捕获过滤器定义哪些数据包被记录下来;显示过滤器定义了哪些捕获的数据包被包括在当前的分析中。但是,这两种过滤器使用不同的语法。
在Wireshark中的简单显示过滤器
在Wireshark中最常用的使内容更精简得技术是使用显示过滤
最低0.47元/天 解锁文章
扫一扫
482
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
