熟练使用Wireshark排除网络故障的方法

• 配置用户界面
• 和配置协议参数；
• 数据文件的导入和导出；
• 定义配色规则；
• 配置时间参数和汇总信息；
• 构建排障模板。

1　概述

本章会讨论如何娴熟地将Wireshark作为网络排障工具来使用，先讲如何配置用户界面，再谈如何配置全局和协议参数，接下来将讨论Wireshark文件夹、配置文件、文件夹和插件[3]。

本章还会讲解Wireshark的配色规则及配置方法，同时会介绍新添加进Wireshark版本2的智能滚动条功能，该功能对识别流量模式和协议的运作方式非常有帮助。

最后，会以对Wireshark模板（profile）及其使用方法的介绍来结束本章。所谓模板，是指为了加快排障时间，降低排障难度，事先在Wireshark中针对不同的网络环境、网络故障或网络协议，分别定义并保存的用户界面、协议参数、显示/抓包过滤器以及配色规则。本章会细述Wireshark模板，本书还会提供一些对读者有帮助的模板。

2　配置用户界面及全局、协议参数

通过Edit菜单中的Preferences菜单项以及Preferences窗口中的Protocol配置选项，不但能控制Wireshark软件的显示界面，而且还能改变该软件对常规协议数据包的抓取和呈现方式。本节将介绍如何在Preferences窗口的Protocol配置界面中配置最常见的协议。

2.1　准备工作

点击Edit菜单中的Preferences菜单项，Preferences窗口会立刻弹出，如图2.1所示。

图2.1

由图2.1可知，在Preferences窗口中，只要选择了窗口左边的配置选项，窗口的右边便会出现相应的配置参数。

2.2　配置方法

本节会介绍如何配置Preferences窗口中的Appearance（外观）配置选项，以及如何针对最常用的协议，配置Preferences窗口中的Protocol选项。Preferences窗口所含其余配置选项的配置方法请见本书后面的相关章节。

　注意

由于本书旨在向读者传授Wireshark的使用诀窍，以及如何娴熟地将其作为排障工具来使用，因此不可能细述Wireshark的所有功能。Wireshark的简单功能请参阅其官网的用户手册，作者会重点讲解可以提高用户使用娴熟度的重要和特殊的功能。

先把目光放在Preferences窗口所含配置选项的设置上，看看这些配置选项能否对用户有所帮助。

1．常规的外观设置

图2.2所示为Wireshark Preferences窗口的Appearance（外观）配置选项，可以对该选项的内容进行配置，来提高使用体验。

图2.2

Preferences窗口的Appearance配置选项可供配置的内容有：

• 显示过滤器和最新抓包文件的缓冲区的大小；
• 用户界面的语言（以后的版本将支持更多国家的语言）；
• 主工具条的显示风格——图标、文本或图标加文本。

2．抓包主窗口的布局设置

在Preferences窗口的Appearance（外观）配置选项中，有一个Layout子配置选项，用来设置数据包列表（Packet List）、数据包结构（Packet Details）和数据包内容（Packet Bytes）区域在Wireshark抓包主窗口里的呈现方式，如图2.3所示。

图2.3

在图2.3所示的Preferences窗口中，可通过选择区域（Pane）的排列样式，来设置上述3个区域在Wireshark抓包主窗口中的呈现方式。

3．调整及添加数据包属性列

在Preferences窗口的Appearance（外观）配置选项中，有一个Columns子配置选项，用来添加或删除抓包主窗口的数据包列表区域里的数据包属性列（栏）。在默认情况下，出现在抓包主窗口的数据包列表区域里的数据包属性列有No.（编号）、Time（抓取时间）、Source（源地址）、Destination（目的地址）、Protocol（协议类型）、Length（长度）以及Info（信息），如图2.4所示。

要给数据包列表区域添加一个新列，可通过以下两个途径。

• 点击图2.4中的“+”号按钮，先在Type一栏里选择预定义的参数（比如，IP DSCP value、src port和dest port等）作为新的属性列，再在Title一栏里给它起个名字，最后单击OK按钮。
• 点击图2.4中的“+”号按钮，先在Type一栏里选择Custom（定制），再在Fields Name一栏里输入可在显示过滤器中露面的任一参数，然后在Title一栏里给它起个名字，最后点击OK按钮。下面举几个以定制方式在抓包主窗口中添加的数据包属性列的例子。
• 要想在抓包主窗口中新增一列，以便观看TCP数据包的TCP窗口大小，需在Fields Name一栏内输入显示过滤器参数tcp.window_size。
• 要想在抓包主窗口中新增一列，以便观看每个IP数据包包头中的TTL字段值，需在Fields Name一栏内输入显示过滤器参数ip.ttl。
• 要想在抓包主窗口中新增一列，以便观看每个RTP数据包中marker位置1的实例，需在Fields Name一栏内输入显示过滤器参数rtp.marker。

图2.4

　注意

还有一种添加新的数据包属性列的办法，那就是在抓包主窗口的数据包结构区域里选择数据包的某个字段，单击鼠标右键，在弹出的菜单中点击Apply as Column菜单项。这么一点，那个字段就会成为数据包列表区域里新的数据包属性列。

在分析网络故障时，酌情以定制方式添加数据包属性列，可加快定位故障的原因。与此有关的内容本书后文再叙。

4．设置字体和配色

在Preferences窗口的Appearance（外观）配置选项中，有一个Font and Colors子配置选项，用来更改字体大小、形状及颜色。可按图2.5所示来修改抓包主窗口的字体。

图2.5

　注意

若不知如何将抓包主窗口的字体恢复为默认设置，请按图2.5所示将Font选为Consolas，将Size选为11.0，将Font style选为Normal。

5．抓包设置

可通过Preferences窗口中的Capture设置选项，将主机或笔记本电脑的常用网卡设置为Wireshark默认抓包网卡。

在图2.6中，作者将自己笔记本电脑上名为Wireless Network Connection 2的无线网卡设置为Wireshark默认抓包网卡。Capture设置选项的其余配置参数保持原样。

图2.6

6．配置显示过滤表达式首选项

可通过Preferences窗口中的Filter Expressions设置选项，来定义出现在抓包主窗口的显示过滤器工具条右边的显示过滤器表达式。

要定义这样的显示过滤器表达式，请按以下步骤行事。

1．在Preferences窗口中点击Filter Expressions设置选项，如图2.7所示。

图2.7

2．点击“+”号按钮，先在Filter Expression一栏里输入显示过滤器表达式，再在Button Label一栏里为它起个名字，最后点击OK按钮。

3．点击OK按钮之后，之前输入的显示过滤器表达式将会以按钮的形式，出现在显示过滤器工具条的右侧。

4．由图2.8可知，图2.7中定义的那两个名为TCP-Z-WIN和TCP-RETR的滤器表达式以按钮的形式，出现在了抓包主窗口的显示过滤器工具条的右侧。

图2.8

　注意

如本章最后一节所述，在Wireshark中，可为每个模板分别配置不同的显示过滤器首选项。这样一来，就可以配置出各种模板，分别用来排除TCP、IP电话（IPT）等各种故障，或分别用来诊断各种网络协议故障。

如第4章所述，在Filter Expressions设置选项中，应按照Wireshark显示过滤器的格式来配置显示过滤表达式。

7．调整名称解析

Wireshark支持以下3个层级的名称解析。

• 第二层（L2）

：Wireshark可把数据包的MAC地址的前半部分解析并显示为网卡芯片制造商的名称或ID。比方说，可把一个MAC地址的前3个字节14:da:e9解析并显示为AsusTeckC（ASUSTeK Computer Inc，华硕计算机公司）。

• 第三层（L3）

：Wireshark可把数据包的IP地址解析并显示为DNS名称。比方说，可把157.166.226.46这一IP地址，解析并显示为CNN网站的Edition页面。

• 第四层（L4）

：Wireshark可把TCP/UDP端口号解析并显示为应用程序（服务）名称。比方说，可把TCP 80端口解析并显示为HTTP，把UDP 53端口解析并显示为DNS。

图2.9所示为在Preferences窗口中点击过左侧的Name Resolution配置选项之后，在窗口右侧出现的配置内容。

图2.9

在图2.9所示的Preferences窗口中，可从上到下配置下述内容。

• 第2层、第3层和第4层名称解析。
• 执行名称解析的方法（通过DNS和/或hosts文件），以及并发的DNS请求数量的上限（旨在确保Wireshark软件的运行速度不受影响）。
• 简单网络管理协议（SNMP）的对象标识符、ID以及是否要将它们转换为对象名称。
• GeoIP以及是否启用它。有关详细信息，请参阅本书第10章[4]

。

　注意

对一个TCP/UDP数据包的源、目端口号而言，只有把目的端口号转换为应用程序名称才有意义。源端口号一般都是随机生成（高于1024），将其转换为应用程序名称没有任何意义。

• Wireshark会默认解析第2层MAC地址和第4层TCP/UDP端口号，并按名称来显示。解析IP地址会拖慢Wireshark的运行速度，因为这会让Wireshark软件本身额外执行大量的DNS查询，所以在开启该功能之前应谨慎考虑。

8．调整Protocol配置选项里的IPv4配置参数

借助于Preferences窗口中的Protocols配置选项，可调整Wireshark对相关协议流量的抓取和呈现方式。点击配置选项Protocols左边的箭头，会出现多种协议配置子选项。图2.10所示为选择IPv4或IPv6协议配置子选项时，出现在Preferences窗口右侧的配置参数。

图2.10

下面是对IPv4配置子选项名下的某些配置参数的解释。

• Decode IPv4 TOS field as DiffServ field

：制定IPv4协议标准之初，为了能在IPv4网络中保证服务质量，在IPv4包头中设立了一个叫做服务类型（ToS）的字段。后来，IETF又制定了一套IPv4服务质量的新标准（区分服务，DiffServ），打的也是IPv4包头中原ToS字段的主意，只是对其中各个位的置位方式有了新的定义。若未勾选该复选框，Wireshark便会按老的IPv4服务质量标准，来解析所抓IPv4数据包包头中的ToS字段。

• Enable GeoIP lookups

： GeoIP是一个数据库，Wireshark可根据该数据库里的内容来呈现（其所抓数据包IP包头中源和目的）IP地址所归属的地理位置。若勾选该复选框，Wireshark便会针对所抓IPv4和IPv6数据包的IP地址来呈现其所归属的地理位置。该子选项功能涉及名称解析，一旦开启，会拖慢Wireshark实时抓包速率。第10章会介绍如何配置GeoIP。

9．调整Protocol配置选项里的TCP和UDP配置参数

UDP是一种非常简单的协议，与Wireshark版本1相比，Wireshark版本2的Protocols配置选项里的UDP协议配置子选项几乎没有变化，可供配置的参数也不多，一般无需调整；而TCP协议则很是复杂，Protocols配置选项里TCP协议配置子选项中可供配置的参数较多，如图2.11所示。

本文出处： https://www.toutiao.com/a6683247620770497038/