深入探索Wireshark:过滤、统计与图形化分析
1. Wireshark过滤功能概述
在网络数据包分析中,过滤是一项关键功能,它能让我们聚焦于感兴趣的数据包。Wireshark提供了两种主要的过滤方式:显示过滤器和捕获过滤器。
- 显示过滤器 :用于隐藏不符合条件的数据包,当清除过滤表达式后,所有数据包将再次可见。
- 捕获过滤器 :会丢弃不符合条件的数据包,这些数据包不会被传递到捕获引擎。捕获过滤器使用BPF语法,这是一种行业标准,也被其他一些协议分析器所采用。
此外,Wireshark的查找工具也很实用,可通过编辑菜单访问,它提供了多种搜索数据包内容的方式。
2. 颜色规则与配置文件
- 颜色规则 :在编辑颜色规则对话框中列出的规则会按从上到下的顺序进行检查。每个数据包都附有颜色规则信息,可在数据包详细信息面板的帧部分查看。
- 创建配置文件 :Wireshark的配置文件就像定制化环境,能在网络审计时节省大量时间。一个配置文件包含捕获过滤器、显示过滤器、时间偏好、列偏好、协议偏好、颜色配置文件等不同组件。创建配置文件的步骤如下:
1. 右键单击状态栏中的配置文件列。
2. 在弹出对话框中点击“新建…”。
3. 选择一个模板配置文件,并输入新配置文件的名称。
4. 点击“确定”。
配置文件中的更改仅影响当前配置文件,不会改变其他保存的配置文件内容。