5、深入探索Wireshark：过滤、统计与图形化分析

深入探索Wireshark：过滤、统计与图形化分析

1. Wireshark过滤功能概述

在网络数据包分析中，过滤是一项关键功能，它能让我们聚焦于感兴趣的数据包。Wireshark提供了两种主要的过滤方式：显示过滤器和捕获过滤器。
- 显示过滤器 ：用于隐藏不符合条件的数据包，当清除过滤表达式后，所有数据包将再次可见。
- 捕获过滤器 ：会丢弃不符合条件的数据包，这些数据包不会被传递到捕获引擎。捕获过滤器使用BPF语法，这是一种行业标准，也被其他一些协议分析器所采用。

此外，Wireshark的查找工具也很实用，可通过编辑菜单访问，它提供了多种搜索数据包内容的方式。

2. 颜色规则与配置文件

• 颜色规则 ：在编辑颜色规则对话框中列出的规则会按从上到下的顺序进行检查。每个数据包都附有颜色规则信息，可在数据包详细信息面板的帧部分查看。
• 创建配置文件 ：Wireshark的配置文件就像定制化环境，能在网络审计时节省大量时间。一个配置文件包含捕获过滤器、显示过滤器、时间偏好、列偏好、协议偏好、颜色配置文件等不同组件。创建配置文件的步骤如下：
  1. 右键单击状态栏中的配置文件列。
  2. 在弹出对话框中点击“新建…”。
  3. 选择一个模板配置文件，并输入新配置文件的名称。
  4. 点击“确定”。

配置文件中的更改仅影响当前配置文件，不会改变其他保存的配置文件内容。

3.