這期內(nèi)容當(dāng)中小編將會(huì)給大家?guī)?lái)有關(guān)Wireshark中怎么排除網(wǎng)絡(luò)故障，文章內(nèi)容豐富且以專(zhuān)業(yè)的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

創(chuàng)新互聯(lián)公司是一家專(zhuān)業(yè)提供敦煌企業(yè)網(wǎng)站建設(shè),專(zhuān)注與網(wǎng)站制作、成都網(wǎng)站建設(shè)、HTML5、小程序制作等業(yè)務(wù)。10年已為敦煌眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專(zhuān)業(yè)網(wǎng)絡(luò)公司優(yōu)惠進(jìn)行中。

配置用戶界面及全局、協(xié)議參數(shù)

通過(guò)Edit菜單中的Preferences菜單項(xiàng)以及Preferences窗口中的Protocol配置選項(xiàng)，不但能控制Wireshark軟件的顯示界面，而且還能改變?cè)撥浖?duì)常規(guī)協(xié)議數(shù)據(jù)包的抓取和呈現(xiàn)方式。本節(jié)將介紹如何在Preferences窗口的Protocol配置界面中配置最常見(jiàn)的協(xié)議。

2.1　準(zhǔn)備工作

點(diǎn)擊Edit菜單中的Preferences菜單項(xiàng)，Preferences窗口會(huì)立刻彈出，如圖2.1所示。

圖2.1

由圖2.1可知，在Preferences窗口中，只要選擇了窗口左邊的配置選項(xiàng)，窗口的右邊便會(huì)出現(xiàn)相應(yīng)的配置參數(shù)。

2.2　配置方法

本節(jié)會(huì)介紹如何配置Preferences窗口中的Appearance(外觀)配置選項(xiàng)，以及如何針對(duì)最常用的協(xié)議，配置Preferences窗口中的Protocol選項(xiàng)。Preferences窗口所含其余配置選項(xiàng)的配置方法請(qǐng)見(jiàn)本書(shū)后面的相關(guān)章節(jié)。

注意

由于本書(shū)旨在向讀者傳授Wireshark的使用訣竅，以及如何嫻熟地將其作為排障工具來(lái)使用，因此不可能細(xì)述Wireshark的所有功能。Wireshark的簡(jiǎn)單功能請(qǐng)參閱其官網(wǎng)的用戶手冊(cè)，作者會(huì)重點(diǎn)講解可以提高用戶使用嫻熟度的重要和特殊的功能。

先把目光放在Preferences窗口所含配置選項(xiàng)的設(shè)置上，看看這些配置選項(xiàng)能否對(duì)用戶有所幫助。

1.常規(guī)的外觀設(shè)置

圖2.2所示為Wireshark Preferences窗口的Appearance(外觀)配置選項(xiàng)，可以對(duì)該選項(xiàng)的內(nèi)容進(jìn)行配置，來(lái)提高使用體驗(yàn)。

圖2.2

Preferences窗口的Appearance配置選項(xiàng)可供配置的內(nèi)容有：

• 顯示過(guò)濾器和***抓包文件的緩沖區(qū)的大小;

• 用戶界面的語(yǔ)言(以后的版本將支持更多國(guó)家的語(yǔ)言);

• 主工具條的顯示風(fēng)格——圖標(biāo)、文本或圖標(biāo)加文本。

2.抓包主窗口的布局設(shè)置

在Preferences窗口的Appearance(外觀)配置選項(xiàng)中，有一個(gè)Layout子配置選項(xiàng)，用來(lái)設(shè)置數(shù)據(jù)包列表(Packet  List)、數(shù)據(jù)包結(jié)構(gòu)(Packet Details)和數(shù)據(jù)包內(nèi)容(Packet  Bytes)區(qū)域在Wireshark抓包主窗口里的呈現(xiàn)方式，如圖2.3所示。

圖2.3

在圖2.3所示的Preferences窗口中，可通過(guò)選擇區(qū)域(Pane)的排列樣式，來(lái)設(shè)置上述3個(gè)區(qū)域在Wireshark抓包主窗口中的呈現(xiàn)方式。

3.調(diào)整及添加數(shù)據(jù)包屬性列

在Preferences窗口的Appearance(外觀)配置選項(xiàng)中，有一個(gè)Columns子配置選項(xiàng)，用來(lái)添加或刪除抓包主窗口的數(shù)據(jù)包列表區(qū)域里的數(shù)據(jù)包屬性列(欄)。在默認(rèn)情況下，出現(xiàn)在抓包主窗口的數(shù)據(jù)包列表區(qū)域里的數(shù)據(jù)包屬性列有No.(編號(hào))、Time(抓取時(shí)間)、Source(源地址)、Destination(目的地址)、Protocol(協(xié)議類(lèi)型)、Length(長(zhǎng)度)以及Info(信息)，如圖2.4所示。

要給數(shù)據(jù)包列表區(qū)域添加一個(gè)新列，可通過(guò)以下兩個(gè)途徑。

• 點(diǎn)擊圖2.4中的“+”號(hào)按鈕，先在Type一欄里選擇預(yù)定義的參數(shù)(比如，IP DSCP value、src port和dest  port等)作為新的屬性列，再在Title一欄里給它起個(gè)名字，***單擊OK按鈕。

• 點(diǎn)擊圖2.4中的“+”號(hào)按鈕，先在Type一欄里選擇Custom(定制)，再在Fields  Name一欄里輸入可在顯示過(guò)濾器中露面的任一參數(shù)，然后在Title一欄里給它起個(gè)名字，***點(diǎn)擊OK按鈕。下面舉幾個(gè)以定制方式在抓包主窗口中添加的數(shù)據(jù)包屬性列的例子。

• 要想在抓包主窗口中新增一列，以便觀看TCP數(shù)據(jù)包的TCP窗口大小，需在Fields  Name一欄內(nèi)輸入顯示過(guò)濾器參數(shù)tcp.window_size。

• 要想在抓包主窗口中新增一列，以便觀看每個(gè)IP數(shù)據(jù)包包頭中的TTL字段值，需在Fields Name一欄內(nèi)輸入顯示過(guò)濾器參數(shù)ip.ttl。

• 要想在抓包主窗口中新增一列，以便觀看每個(gè)RTP數(shù)據(jù)包中marker位置1的實(shí)例，需在Fields  Name一欄內(nèi)輸入顯示過(guò)濾器參數(shù)rtp.marker。

圖2.4

注意

還有一種添加新的數(shù)據(jù)包屬性列的辦法，那就是在抓包主窗口的數(shù)據(jù)包結(jié)構(gòu)區(qū)域里選擇數(shù)據(jù)包的某個(gè)字段，單擊鼠標(biāo)右鍵，在彈出的菜單中點(diǎn)擊Apply as  Column菜單項(xiàng)。這么一點(diǎn)，那個(gè)字段就會(huì)成為數(shù)據(jù)包列表區(qū)域里新的數(shù)據(jù)包屬性列。

在分析網(wǎng)絡(luò)故障時(shí)，酌情以定制方式添加數(shù)據(jù)包屬性列，可加快定位故障的原因。與此有關(guān)的內(nèi)容本書(shū)后文再敘。

4.設(shè)置字體和配色

在Preferences窗口的Appearance(外觀)配置選項(xiàng)中，有一個(gè)Font and  Colors子配置選項(xiàng)，用來(lái)更改字體大小、形狀及顏色?？砂磮D2.5所示來(lái)修改抓包主窗口的字體。

圖2.5

注意

若不知如何將抓包主窗口的字體恢復(fù)為默認(rèn)設(shè)置，請(qǐng)按圖2.5所示將Font選為Consolas，將Size選為11.0，將Font  style選為Normal。

5.抓包設(shè)置

可通過(guò)Preferences窗口中的Capture設(shè)置選項(xiàng)，將主機(jī)或筆記本電腦的常用網(wǎng)卡設(shè)置為Wireshark默認(rèn)抓包網(wǎng)卡。

在圖2.6中，作者將自己筆記本電腦上名為Wireless Network Connection  2的無(wú)線網(wǎng)卡設(shè)置為Wireshark默認(rèn)抓包網(wǎng)卡。Capture設(shè)置選項(xiàng)的其余配置參數(shù)保持原樣。

圖2.6

6.配置顯示過(guò)濾表達(dá)式***項(xiàng)

可通過(guò)Preferences窗口中的Filter Expressions設(shè)置選項(xiàng)，來(lái)定義出現(xiàn)在抓包主窗口的顯示過(guò)濾器工具條右邊的顯示過(guò)濾器表達(dá)式。

要定義這樣的顯示過(guò)濾器表達(dá)式，請(qǐng)按以下步驟行事。

1.在Preferences窗口中點(diǎn)擊Filter Expressions設(shè)置選項(xiàng)，如圖2.7所示。

圖2.7

2.點(diǎn)擊“+”號(hào)按鈕，先在Filter Expression一欄里輸入顯示過(guò)濾器表達(dá)式，再在Button  Label一欄里為它起個(gè)名字，***點(diǎn)擊OK按鈕。

3.點(diǎn)擊OK按鈕之后，之前輸入的顯示過(guò)濾器表達(dá)式將會(huì)以按鈕的形式，出現(xiàn)在顯示過(guò)濾器工具條的右側(cè)。

4.由圖2.8可知，圖2.7中定義的那兩個(gè)名為T(mén)CP-Z-WIN和TCP-RETR的濾器表達(dá)式以按鈕的形式，出現(xiàn)在了抓包主窗口的顯示過(guò)濾器工具條的右側(cè)。

圖2.8

注意

如本章***一節(jié)所述，在Wireshark中，可為每個(gè)模板分別配置不同的顯示過(guò)濾器***項(xiàng)。這樣一來(lái)，就可以配置出各種模板，分別用來(lái)排除TCP、IP電話(IPT)等各種故障，或分別用來(lái)診斷各種網(wǎng)絡(luò)協(xié)議故障。

如第4章所述，在Filter Expressions設(shè)置選項(xiàng)中，應(yīng)按照Wireshark顯示過(guò)濾器的格式來(lái)配置顯示過(guò)濾表達(dá)式。

7.調(diào)整名稱(chēng)解析

Wireshark支持以下3個(gè)層級(jí)的名稱(chēng)解析。

• 第二層(L2)

：Wireshark可把數(shù)據(jù)包的MAC地址的前半部分解析并顯示為網(wǎng)卡芯片制造商的名稱(chēng)或ID。比方說(shuō)，可把一個(gè)MAC地址的前3個(gè)字節(jié)14:da:e9解析并顯示為AsusTeckC(ASUSTeK  Computer Inc，華碩計(jì)算機(jī)公司)。

• 第三層(L3)

：Wireshark可把數(shù)據(jù)包的IP地址解析并顯示為DNS名稱(chēng)。比方說(shuō)，可把157.166.226.46這一IP地址，解析并顯示為CNN網(wǎng)站的Edition頁(yè)面。

• 第四層(L4)

：Wireshark可把TCP/UDP端口號(hào)解析并顯示為應(yīng)用程序(服務(wù))名稱(chēng)。比方說(shuō)，可把TCP 80端口解析并顯示為HTTP，把UDP  53端口解析并顯示為DNS。

圖2.9所示為在Preferences窗口中點(diǎn)擊過(guò)左側(cè)的Name Resolution配置選項(xiàng)之后，在窗口右側(cè)出現(xiàn)的配置內(nèi)容。

圖2.9

在圖2.9所示的Preferences窗口中，可從上到下配置下述內(nèi)容。

• 第2層、第3層和第4層名稱(chēng)解析。

• 執(zhí)行名稱(chēng)解析的方法(通過(guò)DNS和/或hosts文件)，以及并發(fā)的DNS請(qǐng)求數(shù)量的上限(旨在確保Wireshark軟件的運(yùn)行速度不受影響)。

• 簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)的對(duì)象標(biāo)識(shí)符、ID以及是否要將它們轉(zhuǎn)換為對(duì)象名稱(chēng)。

• GeoIP以及是否啟用它。有關(guān)詳細(xì)信息，請(qǐng)參閱本書(shū)第10章[4]。

注意

對(duì)一個(gè)TCP/UDP數(shù)據(jù)包的源、目端口號(hào)而言，只有把目的端口號(hào)轉(zhuǎn)換為應(yīng)用程序名稱(chēng)才有意義。源端口號(hào)一般都是隨機(jī)生成(高于1024)，將其轉(zhuǎn)換為應(yīng)用程序名稱(chēng)沒(méi)有任何意義。

• Wireshark會(huì)默認(rèn)解析第2層MAC地址和第4層TCP/UDP端口號(hào)，并按名稱(chēng)來(lái)顯示。解析IP地址會(huì)拖慢Wireshark的運(yùn)行速度，因?yàn)檫@會(huì)讓W(xué)ireshark軟件本身額外執(zhí)行大量的DNS查詢(xún)，所以在開(kāi)啟該功能之前應(yīng)謹(jǐn)慎考慮。

8.調(diào)整Protocol配置選項(xiàng)里的IPv4配置參數(shù)

借助于Preferences窗口中的Protocols配置選項(xiàng)，可調(diào)整Wireshark對(duì)相關(guān)協(xié)議流量的抓取和呈現(xiàn)方式。點(diǎn)擊配置選項(xiàng)Protocols左邊的箭頭，會(huì)出現(xiàn)多種協(xié)議配置子選項(xiàng)。圖2.10所示為選擇IPv4或IPv6協(xié)議配置子選項(xiàng)時(shí)，出現(xiàn)在Preferences窗口右側(cè)的配置參數(shù)。

圖2.10

下面是對(duì)IPv4配置子選項(xiàng)名下的某些配置參數(shù)的解釋。

• Decode IPv4 TOS field as DiffServ field

：制定IPv4協(xié)議標(biāo)準(zhǔn)之初，為了能在IPv4網(wǎng)絡(luò)中保證服務(wù)質(zhì)量，在IPv4包頭中設(shè)立了一個(gè)叫做服務(wù)類(lèi)型(ToS)的字段。后來(lái)，IETF又制定了一套IPv4服務(wù)質(zhì)量的新標(biāo)準(zhǔn)(區(qū)分服務(wù)，DiffServ)，打的也是IPv4包頭中原ToS字段的主意，只是對(duì)其中各個(gè)位的置位方式有了新的定義。若未勾選該復(fù)選框，Wireshark便會(huì)按老的IPv4服務(wù)質(zhì)量標(biāo)準(zhǔn)，來(lái)解析所抓IPv4數(shù)據(jù)包包頭中的ToS字段。

• Enable GeoIP lookups

：  GeoIP是一個(gè)數(shù)據(jù)庫(kù)，Wireshark可根據(jù)該數(shù)據(jù)庫(kù)里的內(nèi)容來(lái)呈現(xiàn)(其所抓數(shù)據(jù)包IP包頭中源和目的)IP地址所歸屬的地理位置。若勾選該復(fù)選框，Wireshark便會(huì)針對(duì)所抓IPv4和IPv6數(shù)據(jù)包的IP地址來(lái)呈現(xiàn)其所歸屬的地理位置。該子選項(xiàng)功能涉及名稱(chēng)解析，一旦開(kāi)啟，會(huì)拖慢Wireshark實(shí)時(shí)抓包速率。第10章會(huì)介紹如何配置GeoIP。

9.調(diào)整Protocol配置選項(xiàng)里的TCP和UDP配置參數(shù)

UDP是一種非常簡(jiǎn)單的協(xié)議，與Wireshark版本1相比，Wireshark版本2的Protocols配置選項(xiàng)里的UDP協(xié)議配置子選項(xiàng)幾乎沒(méi)有變化，可供配置的參數(shù)也不多，一般無(wú)需調(diào)整;而TCP協(xié)議則很是復(fù)雜，Protocols配置選項(xiàng)里TCP協(xié)議配置子選項(xiàng)中可供配置的參數(shù)較多，如圖2.11所示。

圖2.11

調(diào)整TCP協(xié)議配置子選項(xiàng)名下的參數(shù)，其實(shí)也就是調(diào)整Wireshark對(duì)TCP報(bào)文段的解析方式，以下是對(duì)其中某些參數(shù)的解釋。

• Validate the TCP checksum if possible

：Wireshark有時(shí)會(huì)抓到超多校驗(yàn)和錯(cuò)誤(checksum errors)的數(shù)據(jù)包，這要?dú)w因于在抓包主機(jī)的網(wǎng)卡上開(kāi)啟的TCP Checksum  offloading(TCP校驗(yàn)和下放)功能。該功能一開(kāi)，便會(huì)導(dǎo)致Wireshark將抓到的本機(jī)生成的數(shù)據(jù)包顯示為checksum  errors(具體原因后文再表)。因此，若Wireshark抓到了超多校驗(yàn)和錯(cuò)誤的數(shù)據(jù)包，則有必要先取消勾選該復(fù)選框，再去驗(yàn)證是否真的存在校驗(yàn)和問(wèn)題。

• Analyze TCP sequence numbers

：要讓W(xué)ireshark對(duì)TCP數(shù)據(jù)包做詳盡分析，就必須勾選該復(fù)選框，因?yàn)門(mén)CP sequence  numbers(TCP序列號(hào))是TCP最重要的特性之一。

• Relative sequence numbers

：主機(jī)在建立TCP連接時(shí)，會(huì)隨機(jī)選擇一個(gè)序列號(hào)，并將其值存入相互交換的***個(gè)報(bào)文段的TCP頭部的序列號(hào)字段。只要勾選了該復(fù)選框，Wireshark就會(huì)把一股TCP數(shù)據(jù)流中***個(gè)TCP報(bào)文段的(TCP頭部的)序列號(hào)字段值顯示為0，后續(xù)TCP報(bào)文段的序列號(hào)字段值將依次遞增，從而隱藏了真實(shí)的序列號(hào)字段值。在大多數(shù)情況下，都應(yīng)該讓W(xué)ireshark顯示TCP報(bào)文段的相對(duì)序列號(hào)(relative  number)，以方便網(wǎng)管人員查看。

• Calculate conversation timestamps

：該復(fù)選框一經(jīng)勾選，在抓包主窗口的數(shù)據(jù)包結(jié)構(gòu)區(qū)域中，只要是TCP數(shù)據(jù)包，就會(huì)在transmission control  protocol樹(shù)下多出一個(gè)timestamps結(jié)構(gòu)，點(diǎn)擊其前面的箭頭，就能看到Wireshark記錄的該TCP數(shù)據(jù)包在本股TCP數(shù)據(jù)流中的時(shí)間烙印(timestamp)。讓W(xué)ireshark顯示每個(gè)TCP數(shù)據(jù)包的時(shí)間烙印，將有助于排查時(shí)間敏感型TCP應(yīng)用程序的故障。

2.2.3　幕后原理

通過(guò)修改Preferences窗口中Protocols選項(xiàng)下相關(guān)協(xié)議子配置選項(xiàng)的參數(shù)，便能開(kāi)啟或禁用Wireshark軟件對(duì)相應(yīng)協(xié)議流量的某些分析功能。需要注意的是，為了保證Wireshark軟件的運(yùn)行速度，應(yīng)盡量禁用不必要的分析功能

對(duì)TOS和DiffServ的介紹，詳見(jiàn)本書(shū)第10章。

SNMP是一種用來(lái)行使網(wǎng)絡(luò)管理功能的協(xié)議。SNMP對(duì)象標(biāo)識(shí)符(OID)的作用是標(biāo)識(shí)對(duì)象及其在管理信息庫(kù)(MIB)中的位置。所謂對(duì)象，既可以是一個(gè)計(jì)數(shù)器，對(duì)流入接口的數(shù)據(jù)包進(jìn)行計(jì)數(shù);也可以是路由器接口的IP地址、設(shè)備的名稱(chēng)及安裝位置、CPU負(fù)載或任何其他可呈現(xiàn)或可測(cè)量的實(shí)體。

SNMP  MIB按樹(shù)形結(jié)構(gòu)來(lái)構(gòu)建，如圖2.12所示。頂層MIB對(duì)象ID分屬不同的標(biāo)準(zhǔn)組織。每家網(wǎng)絡(luò)廠商都會(huì)為自己的網(wǎng)絡(luò)產(chǎn)品定義私有分枝(包括受管理的對(duì)象)。

圖2.12

Wireshark在解析SNMP MIB時(shí)，不但會(huì)顯示對(duì)象ID，還會(huì)顯示其名稱(chēng)，這有助于排障人員識(shí)別受監(jiān)控的數(shù)據(jù)。

3　抓包文件的導(dǎo)入和導(dǎo)出

將抓包文件分享給其他的運(yùn)維團(tuán)隊(duì)或設(shè)備廠商的支持人員，以期查明網(wǎng)絡(luò)故障的根本原因是常有的事兒。這樣的抓包文件會(huì)包含很多數(shù)據(jù)包，而排障人員感興趣的或許僅限于若干數(shù)據(jù)流或部分?jǐn)?shù)據(jù)包。Wireshark不但支持將所抓數(shù)據(jù)有選擇地導(dǎo)出至新的文件，甚至還能修改其格式，以便傳輸。本節(jié)將探討Wireshark支持的各種抓包文件導(dǎo)入和導(dǎo)出功能。

3.1　準(zhǔn)備工作

運(yùn)行Wireshark軟件，點(diǎn)擊主工具條上的Capture按鈕，開(kāi)始抓包(或打開(kāi)一個(gè)已保存的抓包文件)。

3.2　配置方法

在Wireshark主抓包窗口內(nèi)，既可以把抓來(lái)的所有數(shù)據(jù)都保存進(jìn)一個(gè)文件，也能以不同的格式或文件類(lèi)型導(dǎo)出自己所需要的數(shù)據(jù)。

現(xiàn)在來(lái)講解如何執(zhí)行這些操作。

1.完整或部分導(dǎo)出抓包文件

既能把抓來(lái)的所有數(shù)據(jù)包(或抓包文件中的所有數(shù)據(jù)包)完整保存進(jìn)一個(gè)文件，也能以各種文件格式和文件類(lèi)型導(dǎo)出特定的數(shù)據(jù)。

要把抓來(lái)的所有數(shù)據(jù)包完整保存進(jìn)一個(gè)文件(或?qū)F(xiàn)有的抓包文件完整另存為一個(gè)新的文件)，請(qǐng)按以下步驟行事。

• 點(diǎn)擊File菜單里的Save菜單項(xiàng)(或按Ctrl+S鍵)，在彈出窗口的“文件名”輸入欄內(nèi)輸入有待保存的抓包文件的名稱(chēng)。

• 點(diǎn)擊File菜單里的Save as菜單項(xiàng)(或按Shift +Ctrl +S鍵)，在彈出窗口的“文件名”輸入欄內(nèi)輸入有待保存的抓包文件的新名稱(chēng)。

若要保存抓包文件(或已抓數(shù)據(jù)包)中的部分?jǐn)?shù)據(jù)(比如，經(jīng)過(guò)顯示過(guò)濾器過(guò)濾的數(shù)據(jù))，請(qǐng)按以下步驟行事。

• 點(diǎn)擊File菜單里的Export Specified Packets菜單項(xiàng)，Export Specified  Packets窗口會(huì)立刻彈出，如圖2.13所示。

圖2.13

可在Export Specified Packets窗口的左下角區(qū)域，點(diǎn)擊相應(yīng)的單選按鈕，來(lái)選擇文件的導(dǎo)出方式。

• 要把抓包文件中的所有數(shù)據(jù)包或所有已抓數(shù)據(jù)包作為一個(gè)文件導(dǎo)出，請(qǐng)同時(shí)選擇All packets和Captured單選按鈕，再點(diǎn)Save按鈕。

• 要把抓包文件(或已抓數(shù)據(jù)包)中經(jīng)過(guò)顯示過(guò)濾器過(guò)濾的數(shù)據(jù)包作為一個(gè)文件導(dǎo)出，請(qǐng)同時(shí)選擇All  packets和Displayed單選按鈕，再點(diǎn)Save按鈕。

• 要把已選中的數(shù)據(jù)包(即在數(shù)據(jù)包列表區(qū)域中用鼠標(biāo)點(diǎn)選的數(shù)據(jù)包)作為一個(gè)文件導(dǎo)出，請(qǐng)選擇Selected packets  only單選框，再點(diǎn)Save按鈕。

• 要把所有帶標(biāo)記的數(shù)據(jù)包(給數(shù)據(jù)包打標(biāo)的方法是，先在“數(shù)據(jù)包列表”區(qū)域選中一個(gè)數(shù)據(jù)包，然后點(diǎn)擊右鍵，在彈出的菜單中選擇Mark/unmark packet  菜單項(xiàng))作為一個(gè)文件導(dǎo)出，請(qǐng)選擇Marked packets only單選按鈕，再點(diǎn)Save按鈕。

• 要把“數(shù)據(jù)包列表”區(qū)域中位列兩個(gè)帶標(biāo)記的數(shù)據(jù)包之間的所有數(shù)據(jù)包作為一個(gè)文件導(dǎo)出，請(qǐng)選擇First to last  marked單選按鈕，再點(diǎn)Save按鈕。

• 要把抓包文件中編號(hào)(詳見(jiàn)“數(shù)據(jù)包列表”區(qū)域里的“No.”列)連續(xù)的那部分?jǐn)?shù)據(jù)包作為一個(gè)文件導(dǎo)出，請(qǐng)選擇Range單選按鈕，并在其后的輸入欄內(nèi)填寫(xiě)數(shù)據(jù)包的編號(hào)范圍，再點(diǎn)Save按鈕。

• 導(dǎo)出抓包文件時(shí)，要是希望放棄其中的某些數(shù)據(jù)包，請(qǐng)先在“數(shù)據(jù)包列表”區(qū)域里選中那些數(shù)據(jù)包并單擊右鍵，在彈出的菜單中選擇Ignore/Unignore  packet tog菜單項(xiàng);再然后，選擇Export Specified Packets窗口中的Remove ignored  packets復(fù)選框，再點(diǎn)Save按鈕。

• 要以壓縮的形式保存數(shù)據(jù)包，請(qǐng)先勾選Export Specified Packets窗口中的Compress with  gzip復(fù)選框，再點(diǎn)Save按鈕。

• 上述“存盤(pán)”操作既可以基于整個(gè)抓包文件中的所有數(shù)據(jù)包來(lái)進(jìn)行，也可以基于抓包文件中經(jīng)過(guò)顯示過(guò)濾器過(guò)濾的數(shù)據(jù)包來(lái)進(jìn)行。

2.保存數(shù)據(jù)的格式選取

Wireshark支持將抓到的數(shù)據(jù)以不同的格式來(lái)保存，以便用各種其他工具做進(jìn)一步的分析。

通過(guò)點(diǎn)擊File菜單的Export Packet Dissections菜單項(xiàng)里的各個(gè)子菜單項(xiàng)，可將抓包文件保存為以下格式。

• 純文本格式(*.txt)

：保存為純文本ASCII文件格式。

• PostScript(*.pst)

：保存為PostScript文件格式。

• 逗號(hào)分割值格式(Comma Separated Values)(*.csv)

：保存為逗號(hào)分割文件格式。這種格式的文件可為電子表格程序(比如，Microsoft Excel)所用。

• C語(yǔ)言數(shù)組格式(*.c)

：把數(shù)據(jù)包的內(nèi)容以C語(yǔ)言數(shù)組的格式保存，便于導(dǎo)入C程序。

• PSML格式(*.psml)

：存為PSML文件格式。PSML是一種基于XML的文件格式，只能保存數(shù)據(jù)包的匯總信息。

• PDML格式(*.pdml)

：存為PDML文件格式。PSML也是一種基于XML的文件格式，但能保存數(shù)據(jù)包的詳細(xì)信息。

3.數(shù)據(jù)打印

要想打印數(shù)據(jù)，請(qǐng)點(diǎn)擊File菜單里的Print菜單項(xiàng)，Print窗口會(huì)立刻彈出，如圖2.14所示。

可在Print窗口中做如下選擇。

• 在窗口的右上角(1)，可選擇有待打印的數(shù)據(jù)包的具體內(nèi)容。

• 勾選Summary line復(fù)選框，會(huì)打印出在數(shù)據(jù)包列表(Packet Summary)區(qū)域看到的數(shù)據(jù)包的內(nèi)容。

• 勾選Details復(fù)選框，會(huì)打印出在數(shù)據(jù)包結(jié)構(gòu)(Packet Details)區(qū)域看到的數(shù)據(jù)包的內(nèi)容。

• 勾選Bytes復(fù)選框，會(huì)打印出在數(shù)據(jù)包內(nèi)容(Packet Byte)區(qū)域看到的數(shù)據(jù)包的內(nèi)容。

• 在窗口的左下區(qū)域，可選擇有待打印的數(shù)據(jù)包(操作方法類(lèi)似于文件保存，這在上一節(jié)已經(jīng)提到)。

圖2.14

3.3　幕后原理

Wireshark支持以文本格式或PostScript格式來(lái)打印數(shù)據(jù)(以后一種格式打印時(shí)，打印機(jī)應(yīng)為PostScript感知的打印機(jī))，同時(shí)支持將數(shù)據(jù)打印至一個(gè)文件。選妥了Print窗口中的各個(gè)選項(xiàng)，點(diǎn)擊Print按鈕之后，會(huì)彈出操作系統(tǒng)自帶的常規(guī)“打印”窗口，可在其中選擇具體的打印機(jī)來(lái)打印。

3.4　拾遺補(bǔ)缺

要查看Wireshark軟件存儲(chǔ)各種文件的系統(tǒng)文件夾，請(qǐng)點(diǎn)擊Help菜單中的About Wireshark菜單項(xiàng)，在彈出的About  Wireshark窗口中選擇Folders選項(xiàng)卡，如圖2.15所示。在About  Wireshark窗口中，可以看到Wireshark軟件存儲(chǔ)各種文件的實(shí)際文件夾，在窗口的最右邊，可以看到存儲(chǔ)在那些文件夾中的文件類(lèi)型。

圖2.15

點(diǎn)擊Location下的鏈接，會(huì)進(jìn)入存儲(chǔ)相應(yīng)文件的文件夾。

4　調(diào)整數(shù)據(jù)包的配色規(guī)則

Wireshark會(huì)根據(jù)事先定義的配色規(guī)則，用不同的顏色來(lái)分門(mén)別類(lèi)地顯示抓包文件中的數(shù)據(jù)。合理地定義配色規(guī)則，讓匹配不同協(xié)議的數(shù)據(jù)包以不同的顏色示人(或讓不同狀態(tài)下的同一種協(xié)議的數(shù)據(jù)包呈現(xiàn)出多種顏色)，能在排除網(wǎng)絡(luò)故障時(shí)幫上大忙。

Wireshark支持基于各種過(guò)濾條件來(lái)配置新的配色規(guī)則。這樣一來(lái)，就能夠針對(duì)不同的場(chǎng)景定制不同的配色方案，同時(shí)還能以不同的模板來(lái)保存。也就是說(shuō)，網(wǎng)管人員可在解決TCP故障時(shí)啟用配色規(guī)則A，在解決SIP和IP語(yǔ)音故障時(shí)啟用配色規(guī)則B。

注意

可通過(guò)定義模板(profile)的方式，來(lái)保存針對(duì)Wireshark軟件自身的配置(比如，事先配置的配色規(guī)則和顯示過(guò)濾器等)。要如此行事，請(qǐng)點(diǎn)擊Edit菜單下的Configuration  Profiles菜單項(xiàng)。

4.1　準(zhǔn)備工作

要定義配色規(guī)則，請(qǐng)按以下步驟行事。

1.選擇View菜單。

2.點(diǎn)擊中下部的Coloring Rules菜單項(xiàng)，Coloring Rules-Default窗口會(huì)立刻彈出，如圖2.16所示。

該窗口顯示的是Wireshark默認(rèn)啟用的配色規(guī)則，包括TCP數(shù)據(jù)包、路由協(xié)議數(shù)據(jù)包以及匹配某些協(xié)議事件的數(shù)據(jù)包的配色規(guī)則。

圖2.16

4.2　操作方法

要調(diào)整配色規(guī)則，請(qǐng)按以下步驟行事。

• 要定義一條新的配色規(guī)則，請(qǐng)點(diǎn)擊“+”按鈕，如圖2.17所示。

圖2.17

• 在Name欄內(nèi)填入本配色規(guī)則的名稱(chēng)。比如，要想專(zhuān)為NTP協(xié)議數(shù)據(jù)包定制配色規(guī)則，那就在該輸入欄內(nèi)填入NTP。

• 在Filter字段內(nèi)填入顯示過(guò)濾表達(dá)式，指明本配色規(guī)則對(duì)哪些數(shù)據(jù)包生效。欲知更多與顯示過(guò)濾器有關(guān)的內(nèi)容，請(qǐng)閱讀第4章。

• 點(diǎn)擊Foreground按鈕，為本配色規(guī)則選擇一款前景色。此款顏色將成為受本配色規(guī)則約束的數(shù)據(jù)包在抓包主窗口的數(shù)據(jù)包列表區(qū)域里的前景色。

• 點(diǎn)擊Background按鈕，為本配色規(guī)則選擇一款背景色。此款顏色將成為受本配色規(guī)則約束的數(shù)據(jù)包在抓包主窗口的數(shù)據(jù)包列表區(qū)域里的背景色。

• 要?jiǎng)h除一條配色規(guī)則，請(qǐng)點(diǎn)擊“−”按鈕(在“+”按鈕的右側(cè))。

• 要修改現(xiàn)有的配色規(guī)則，請(qǐng)雙擊該配色規(guī)則。

• 點(diǎn)擊Import按鈕，可導(dǎo)入現(xiàn)成的配色方案;點(diǎn)擊Export按鈕，可導(dǎo)出當(dāng)前的配色方案。

注意

Coloring  Rules窗口中配色規(guī)則的排放次序是有講究的。請(qǐng)務(wù)必確保配色規(guī)則的排放次序與配色方案的執(zhí)行次序相匹配。比方說(shuō)，作用于應(yīng)用層協(xié)議數(shù)據(jù)包的配色規(guī)則應(yīng)置于作用于TCP/UDP數(shù)據(jù)包的配色規(guī)則之前，只有如此，方能避免Wireshark為了應(yīng)用層協(xié)議數(shù)據(jù)包而干擾TCP/UDP數(shù)據(jù)包的顏色。

4.3　幕后原理

Wireshark軟件中的許多操作都與顯示過(guò)濾器緊密關(guān)聯(lián)，定義配色規(guī)則也是如此，因?yàn)槭芘渖?guī)則約束的數(shù)據(jù)包都是經(jīng)過(guò)預(yù)定義的顯示過(guò)濾器過(guò)濾的數(shù)據(jù)包。

4.4　進(jìn)階閱讀

可從Wireshark官方網(wǎng)站下載到很多經(jīng)典的Wireshark數(shù)據(jù)包配色方案，在Internet上也能搜到許多其他的配色方案示例。

要想使用某個(gè)配色規(guī)則文件，請(qǐng)先將那些文件下載至本機(jī)，再在Wireshark中選擇View菜單，單擊Coloring  Rules菜單項(xiàng)，在彈出的Coloring Rules-Default窗口中單擊Import按鈕，將文件導(dǎo)入。

5　配置時(shí)間參數(shù)

對(duì)時(shí)間顯示格式的調(diào)整，會(huì)在Wireshark抓包主窗口數(shù)據(jù)包列表區(qū)域的Time列(默認(rèn)為左邊第2列)的內(nèi)容里反映出來(lái)。在某些情況下，有必要讓W(xué)ireshark以多種時(shí)間格式來(lái)顯示數(shù)據(jù)包。比方說(shuō)，在觀察隸屬同一連接的所有TCP數(shù)據(jù)包時(shí)，每個(gè)數(shù)據(jù)包的發(fā)送間隔時(shí)間是應(yīng)該關(guān)注的重點(diǎn);當(dāng)所要觀察的數(shù)據(jù)包抓取自多個(gè)來(lái)源時(shí)，則最應(yīng)關(guān)注每個(gè)數(shù)據(jù)包的確切抓取時(shí)間。

5.1　準(zhǔn)備工作

要配置Wireshark抓包主窗口數(shù)據(jù)包列表區(qū)域中數(shù)據(jù)包的時(shí)間顯示格式，請(qǐng)進(jìn)入View菜單，選擇Time Display  Format菜單項(xiàng)，其右邊會(huì)出現(xiàn)如圖2.18所示的子菜單。

圖2.18

5.2　配置方法

圖2.18所示的Time Display Format菜單項(xiàng)的上半部分子菜單包含以下子菜單項(xiàng)。

• Date and Time of Day

：當(dāng)通過(guò)Wireshark抓包來(lái)幫助排除網(wǎng)絡(luò)故障，且故障發(fā)生的時(shí)間也是定位故障的重要依據(jù)時(shí)(比如，已獲悉了故障發(fā)生的精確時(shí)間，且還想知道相同時(shí)間網(wǎng)絡(luò)內(nèi)發(fā)生的其他事件時(shí))，就應(yīng)該根據(jù)具體情況，選擇該子菜單項(xiàng)。

• Seconds Since 1970-01-01(自1970年1月1日以來(lái)的秒數(shù))

：Epoch是指通用協(xié)調(diào)時(shí)間(格林威治標(biāo)準(zhǔn)時(shí)間的前稱(chēng))的1970年1月1日早晨0點(diǎn)。這也是UNIX系統(tǒng)問(wèn)世的大致時(shí)間。

• Seconds Since Beginning of Capture(自開(kāi)始抓包以來(lái)的秒數(shù))

：此乃Wireshark默認(rèn)選項(xiàng)。

• Seconds Since Previous Captured Packet(自抓到上一個(gè)數(shù)據(jù)包以來(lái)的秒數(shù))

：這也是一個(gè)常用選項(xiàng)，此菜單項(xiàng)一經(jīng)點(diǎn)選，數(shù)據(jù)包列表區(qū)域的Time列將顯示每個(gè)數(shù)據(jù)包的抓取時(shí)間差。當(dāng)監(jiān)控時(shí)間敏感型數(shù)據(jù)包(比如，TCP流量、實(shí)時(shí)視頻流量、VoIP語(yǔ)音流量)時(shí)，就應(yīng)該點(diǎn)選該子菜單項(xiàng)，因?yàn)榇祟?lèi)數(shù)據(jù)包的發(fā)送時(shí)間間隔對(duì)用戶體驗(yàn)有至關(guān)重要的影響。

• Seconds Since Previous Displayed Packet

：在應(yīng)用過(guò)顯示過(guò)濾器，讓W(xué)ireshark只顯示抓包文件中部分?jǐn)?shù)據(jù)的情況下(比如，在只顯示隸屬于某條TCP流的所有數(shù)據(jù)包的情況下)，通常都應(yīng)該點(diǎn)選該子菜單項(xiàng)。此時(shí)，網(wǎng)管人員更關(guān)心的應(yīng)該是隸屬于某條TCP數(shù)據(jù)流的各個(gè)數(shù)據(jù)包之間的抓取時(shí)間差。

• UTC Date and Time of Day

：提供UTC時(shí)間。

Time Display Format菜單項(xiàng)的下半部分子菜單項(xiàng)涉及對(duì)時(shí)間精度的調(diào)整。只有對(duì)時(shí)間精度要求很高的情況下，才建議更改默認(rèn)設(shè)置。

可使用Ctrl+Alt+任意數(shù)字鍵來(lái)調(diào)整上述時(shí)間格式選項(xiàng)。

5.3　幕后原理

為抓到的數(shù)據(jù)包留下時(shí)間烙印時(shí)，Wireshark依據(jù)的是操作系統(tǒng)的時(shí)間。在默認(rèn)情況下，生效的是Seconds Since Beginning of  Capture子菜單項(xiàng)功能。

6　構(gòu)建排障使用的配置模板

可定義Wireshark配置模板，來(lái)保存針對(duì)Wireshark軟件自身的各種配置(比如，外觀、預(yù)定義的配色規(guī)則、抓包及顯示過(guò)濾器等)。要如此行事，請(qǐng)進(jìn)入Edit菜單，選擇Configuration  Profile菜單項(xiàng)。

Wireshark配置模板會(huì)保存下列信息。

• 對(duì)Edit菜單中Preferences菜單項(xiàng)包含的各配置選項(xiàng)的定義，包括：對(duì)Appearance和Protocols功能項(xiàng)的定義(比如，對(duì)Wireshark抓包主窗口的字體、屬性列的列寬的定義)。

• 抓***濾器。

• 顯示過(guò)濾器和顯示過(guò)濾器宏(詳見(jiàn)第4章)。

• 配色規(guī)則。

• 定制的HTTP、IMF和LDAP頭部(詳見(jiàn)第12章)。

• 用戶定義的解碼方式，比如，作為某種功能的解碼方式，用戶可利用該功能臨時(shí)性地改變Wireshark對(duì)特殊協(xié)議的解析方式。

所有配置模板文件都會(huì)保存在Wireshark軟件Personal Configuration目錄的 profiles目錄下。

6.1　準(zhǔn)備工作

運(yùn)行Wireshark軟件，點(diǎn)擊主工具條上的Capture按鈕，開(kāi)始抓包(或打開(kāi)一個(gè)已保存的抓包文件)。

6.2　操作方法

要打開(kāi)現(xiàn)有的配置模板文件，請(qǐng)執(zhí)行如下操作。

1.可點(diǎn)擊狀態(tài)欄***邊的Profile區(qū)域，選擇準(zhǔn)備采用的現(xiàn)有配置模板，如圖2.19所示。

圖2.19

2.還可以進(jìn)入Edit菜單，選擇Configuration Profiles菜單項(xiàng)，在Configuration  Profiles窗口中選擇準(zhǔn)備采用的現(xiàn)有配置模板，如圖2.20所示。

圖2.20

要?jiǎng)?chuàng)建一個(gè)新的配置模板，可執(zhí)行如下步驟。

1.右鍵單擊狀態(tài)欄***邊的Profile區(qū)域，在彈出的菜單中選擇New菜單項(xiàng)，或者在圖2.20所示的窗口中點(diǎn)擊“+”號(hào)按鈕。

2.新的配置模板創(chuàng)建之后，在profiles目錄下會(huì)創(chuàng)建一個(gè)新的目錄，如圖2.21所示。

圖2.21

3.由圖2.21可知，在新建的配置模板目錄下(本例為Wireless模板及Wireless目錄)，可以看到包含抓***濾器的cfilter文件、包含配色規(guī)則的colorfilters文件、保存HTTP字段配置的custom_http_header_fields文件，以及保存preference菜單項(xiàng)功能配置的preference文件。

6.3　幕后原理

創(chuàng)建新的模板時(shí)，Wireshark軟件會(huì)在profiles目錄下新建一個(gè)同名目錄。此后，在關(guān)閉Wireshark或加載另一個(gè)配置模板時(shí)，一個(gè)名為recent的文件會(huì)誕生在那個(gè)新的模板目錄內(nèi)。該文件包含了常規(guī)的Wireshark窗口設(shè)置，包括可視工具欄、時(shí)間戳顯示、字體縮放級(jí)別和列寬等配置。若在創(chuàng)建了新的配置模板之后還創(chuàng)建了抓***濾器、顯示過(guò)濾器和配色規(guī)則，則在那個(gè)新的模板目錄內(nèi)還會(huì)誕生別的文件(分別為cfilters、dfilters和colorfilters)。

6.4　拾遺補(bǔ)缺

如前所述，保存模板配置參數(shù)的文件都位于profiles目錄下。那么，自然可以在不同的配置模板之間轉(zhuǎn)移配置參數(shù)，比如，在默認(rèn)的preference文件中，包含了以下與啟動(dòng)窗口中的顯示過(guò)濾器工具條有關(guān)的配置參數(shù)[5]。

####### Filter Expressions ######## gui.filter_expressions.label: SIP gui.filter_expressions.enabled: FALSE gui.filter_expressions.expr: sip gui.filter_expressions.label: RTP gui.filter_expressions.enabled: FALSE gui.filter_expressions.expr: rtp

上述就是小編為大家分享的Wireshark中怎么排除網(wǎng)絡(luò)故障了，如果剛好有類(lèi)似的疑惑，不妨參照上述分析進(jìn)行理解。如果想知道更多相關(guān)知識(shí)，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

分享標(biāo)題：Wireshark中怎么排除網(wǎng)絡(luò)故障
URL鏈接：http://aaarwkj.com/article16/igdjgg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站改版、動(dòng)態(tài)網(wǎng)站、網(wǎng)站制作、做網(wǎng)站、網(wǎng)站營(yíng)銷(xiāo)、

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)