Wireshark入门与进阶系列七之wireshark常见软件设置

0x00 前言

   Wireshark（前称Ethereal）中文版是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

0x01 简介

    在图形界面下，我们可以通过设置wireshark软件来优化用户体验效果，增强我们的捕获和显示的效果，达到优化性能和增强分析效果的目的。其中在工具第一第二栏的很多功能菜单能够很好地帮助我们解决这些问题。

0x02 软件设置

1 文件分段保存

   我们都知道随着时间稍微增加，wireshark的捕获文件*.pcapng文件会变得异常大，加载流量包和显示筛选的速度也会变得非常慢。所以我们要在捕获文件的时候选择分段保存。

操作方式：菜单栏（第一栏）--【捕获】--【选项】--【输出】--如下图

2 取消混杂模式

    因为有时候，我们仅需要捕获自己本地主机的流量包而不需要监听接口其他主机的流量包。这时候，为了避免捕获不必要的流量和提高显示过滤器的效果，我们可以取消勾选接口的【在所有接口上使用混杂模式】

操作方式：菜单栏（第一栏）--【捕获】--【选项】--【输入】--如下图：

3 解析名称

     在一些情况下，我们对捕获的流量包中的主机进行解析名称。以便更直观分析流量的传输情况。

操作方式：菜单栏（第一栏）--【视图】--【解析名称】--如下图：

3 跳转设置

   我们都知道wireshark实时捕获每个帧，并且默认设置为【实时捕获时自动滚动】。每当我们要对某个帧进行分析时，实时更新到最新分组对我们分析某个分组造成困扰，所以我们要取消这个选项。

操作方式1：菜单栏（第一栏）--【跳转】--【实时捕获时自动滚动】--如下图：



操作方式2：菜单栏（第二栏）--如下图：点击红色箭头指向的图标

4 专家信息

    专家信息里面包含【严重程序】、【组】、【协议】、【计数】等统计信息，有助于我们把握整体网络的情况。

操作方式：菜单栏（第一栏）--【统计】--【专家信息】--如下图：

5 作为过滤器应用

     我们可以在流量包列表中点击任何一个流量包，然后再流量详细信息框中，点击任何信息作为显示过滤器表达进行筛选显示

操作方式：在流量包列表中，单击【某个流量包】--在列表下面的流量信息框中，右击任何一个位置，然后在弹框中【作为过滤器应用】--【选中】

操作完成后，即时生效。

准备过滤器：操作与【作为过滤器应用】相同，只是在最后，需要在输入栏【应用表达过滤器】，进行最后确认后，再按回车键，才可以生效。

6 统计http

    我们可以统计http 的分组数据，如http响应、http请求等数据包的数量统计及其统计比例等。又助于我们对网络整体情况把握。例如4xx的比例过大，证明服务器那边出现连接问题；5xx 的比例过大，证明服务器本身出故障。

操作方式1：菜单栏（第一栏）--【统计】--【HTTP】--【分组计数器】，详细如下：



图6.1 http 分组统计

操作方式2：菜单栏（第一栏）--【统计】--【HTTP】--【请求】，详细如下：



图6.2 http 请求

操作方式3：菜单栏（第一栏）--【统计】--【HTTP】--【负载分配】，详细如下：



图6.3 http 负载分配

7 快捷键

操作方式：菜单栏（第一栏）--【帮助】--【关于wireshark】，详细如下：

0x03 参考资料

1 wireshark 主界面的帮助



2 本地wireshark帮助文档

C:\Program Files\Wireshark\user-guide.chm

或者：C:\Program Files (x86)\Wireshark\user-guide.chm

3 wireshark的参考链接：
https://www.wireshark.org/faq.html https://wiki.wireshark.org/ https://www.wireshark.org/docs/wsug_html_chunked/index.html https://www.wireshark.org/faq.html
欢迎大家分享更好的思路，热切期待^^_^^ !