Wireshark中怎么排除網(wǎng)絡(luò)故障

這期內(nèi)容當(dāng)中小編將會給大家?guī)碛嘘P(guān)Wireshark中怎么排除網(wǎng)絡(luò)故障，文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

創(chuàng)新互聯(lián)公司是一家專業(yè)提供敦煌企業(yè)網(wǎng)站建設(shè),專注與網(wǎng)站制作、成都網(wǎng)站建設(shè)、HTML5、小程序制作等業(yè)務(wù)。10年已為敦煌眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)網(wǎng)絡(luò)公司優(yōu)惠進(jìn)行中。

配置用戶界面及全局、協(xié)議參數(shù)

通過Edit菜單中的Preferences菜單項以及Preferences窗口中的Protocol配置選項，不但能控制Wireshark軟件的顯示界面，而且還能改變該軟件對常規(guī)協(xié)議數(shù)據(jù)包的抓取和呈現(xiàn)方式。本節(jié)將介紹如何在Preferences窗口的Protocol配置界面中配置最常見的協(xié)議。

2.1　準(zhǔn)備工作

點擊Edit菜單中的Preferences菜單項，Preferences窗口會立刻彈出，如圖2.1所示。

圖2.1

由圖2.1可知，在Preferences窗口中，只要選擇了窗口左邊的配置選項，窗口的右邊便會出現(xiàn)相應(yīng)的配置參數(shù)。

2.2　配置方法

本節(jié)會介紹如何配置Preferences窗口中的Appearance(外觀)配置選項，以及如何針對最常用的協(xié)議，配置Preferences窗口中的Protocol選項。Preferences窗口所含其余配置選項的配置方法請見本書后面的相關(guān)章節(jié)。

注意

由于本書旨在向讀者傳授Wireshark的使用訣竅，以及如何嫻熟地將其作為排障工具來使用，因此不可能細(xì)述Wireshark的所有功能。Wireshark的簡單功能請參閱其官網(wǎng)的用戶手冊，作者會重點講解可以提高用戶使用嫻熟度的重要和特殊的功能。

先把目光放在Preferences窗口所含配置選項的設(shè)置上，看看這些配置選項能否對用戶有所幫助。

1.常規(guī)的外觀設(shè)置

圖2.2所示為Wireshark Preferences窗口的Appearance(外觀)配置選項，可以對該選項的內(nèi)容進(jìn)行配置，來提高使用體驗。

圖2.2

Preferences窗口的Appearance配置選項可供配置的內(nèi)容有：

• 顯示過濾器和***抓包文件的緩沖區(qū)的大小;

• 用戶界面的語言(以后的版本將支持更多國家的語言);

• 主工具條的顯示風(fēng)格——圖標(biāo)、文本或圖標(biāo)加文本。

2.抓包主窗口的布局設(shè)置

在Preferences窗口的Appearance(外觀)配置選項中，有一個Layout子配置選項，用來設(shè)置數(shù)據(jù)包列表(Packet  List)、數(shù)據(jù)包結(jié)構(gòu)(Packet Details)和數(shù)據(jù)包內(nèi)容(Packet  Bytes)區(qū)域在Wireshark抓包主窗口里的呈現(xiàn)方式，如圖2.3所示。

圖2.3

在圖2.3所示的Preferences窗口中，可通過選擇區(qū)域(Pane)的排列樣式，來設(shè)置上述3個區(qū)域在Wireshark抓包主窗口中的呈現(xiàn)方式。

3.調(diào)整及添加數(shù)據(jù)包屬性列

在Preferences窗口的Appearance(外觀)配置選項中，有一個Columns子配置選項，用來添加或刪除抓包主窗口的數(shù)據(jù)包列表區(qū)域里的數(shù)據(jù)包屬性列(欄)。在默認(rèn)情況下，出現(xiàn)在抓包主窗口的數(shù)據(jù)包列表區(qū)域里的數(shù)據(jù)包屬性列有No.(編號)、Time(抓取時間)、Source(源地址)、Destination(目的地址)、Protocol(協(xié)議類型)、Length(長度)以及Info(信息)，如圖2.4所示。

要給數(shù)據(jù)包列表區(qū)域添加一個新列，可通過以下兩個途徑。

• 點擊圖2.4中的“+”號按鈕，先在Type一欄里選擇預(yù)定義的參數(shù)(比如，IP DSCP value、src port和dest  port等)作為新的屬性列，再在Title一欄里給它起個名字，***單擊OK按鈕。

• 點擊圖2.4中的“+”號按鈕，先在Type一欄里選擇Custom(定制)，再在Fields  Name一欄里輸入可在顯示過濾器中露面的任一參數(shù)，然后在Title一欄里給它起個名字，***點擊OK按鈕。下面舉幾個以定制方式在抓包主窗口中添加的數(shù)據(jù)包屬性列的例子。

• 要想在抓包主窗口中新增一列，以便觀看TCP數(shù)據(jù)包的TCP窗口大小，需在Fields  Name一欄內(nèi)輸入顯示過濾器參數(shù)tcp.window_size。

• 要想在抓包主窗口中新增一列，以便觀看每個IP數(shù)據(jù)包包頭中的TTL字段值，需在Fields Name一欄內(nèi)輸入顯示過濾器參數(shù)ip.ttl。

• 要想在抓包主窗口中新增一列，以便觀看每個RTP數(shù)據(jù)包中marker位置1的實例，需在Fields  Name一欄內(nèi)輸入顯示過濾器參數(shù)rtp.marker。

圖2.4

注意

還有一種添加新的數(shù)據(jù)包屬性列的辦法，那就是在抓包主窗口的數(shù)據(jù)包結(jié)構(gòu)區(qū)域里選擇數(shù)據(jù)包的某個字段，單擊鼠標(biāo)右鍵，在彈出的菜單中點擊Apply as  Column菜單項。這么一點，那個字段就會成為數(shù)據(jù)包列表區(qū)域里新的數(shù)據(jù)包屬性列。

在分析網(wǎng)絡(luò)故障時，酌情以定制方式添加數(shù)據(jù)包屬性列，可加快定位故障的原因。與此有關(guān)的內(nèi)容本書后文再敘。

4.設(shè)置字體和配色

在Preferences窗口的Appearance(外觀)配置選項中，有一個Font and  Colors子配置選項，用來更改字體大小、形狀及顏色?？砂磮D2.5所示來修改抓包主窗口的字體。

圖2.5

注意

若不知如何將抓包主窗口的字體恢復(fù)為默認(rèn)設(shè)置，請按圖2.5所示將Font選為Consolas，將Size選為11.0，將Font  style選為Normal。

5.抓包設(shè)置

可通過Preferences窗口中的Capture設(shè)置選項，將主機(jī)或筆記本電腦的常用網(wǎng)卡設(shè)置為Wireshark默認(rèn)抓包網(wǎng)卡。

在圖2.6中，作者將自己筆記本電腦上名為Wireless Network Connection  2的無線網(wǎng)卡設(shè)置為Wireshark默認(rèn)抓包網(wǎng)卡。Capture設(shè)置選項的其余配置參數(shù)保持原樣。

圖2.6

6.配置顯示過濾表達(dá)式***項

可通過Preferences窗口中的Filter Expressions設(shè)置選項，來定義出現(xiàn)在抓包主窗口的顯示過濾器工具條右邊的顯示過濾器表達(dá)式。

要定義這樣的顯示過濾器表達(dá)式，請按以下步驟行事。

1.在Preferences窗口中點擊Filter Expressions設(shè)置選項，如圖2.7所示。

圖2.7

2.點擊“+”號按鈕，先在Filter Expression一欄里輸入顯示過濾器表達(dá)式，再在Button  Label一欄里為它起個名字，***點擊OK按鈕。

3.點擊OK按鈕之后，之前輸入的顯示過濾器表達(dá)式將會以按鈕的形式，出現(xiàn)在顯示過濾器工具條的右側(cè)。

4.由圖2.8可知，圖2.7中定義的那兩個名為TCP-Z-WIN和TCP-RETR的濾器表達(dá)式以按鈕的形式，出現(xiàn)在了抓包主窗口的顯示過濾器工具條的右側(cè)。

圖2.8

注意

如本章***一節(jié)所述，在Wireshark中，可為每個模板分別配置不同的顯示過濾器***項。這樣一來，就可以配置出各種模板，分別用來排除TCP、IP電話(IPT)等各種故障，或分別用來診斷各種網(wǎng)絡(luò)協(xié)議故障。

如第4章所述，在Filter Expressions設(shè)置選項中，應(yīng)按照Wireshark顯示過濾器的格式來配置顯示過濾表達(dá)式。

7.調(diào)整名稱解析

Wireshark支持以下3個層級的名稱解析。

• 第二層(L2)

：Wireshark可把數(shù)據(jù)包的MAC地址的前半部分解析并顯示為網(wǎng)卡芯片制造商的名稱或ID。比方說，可把一個MAC地址的前3個字節(jié)14:da:e9解析并顯示為AsusTeckC(ASUSTeK  Computer Inc，華碩計算機(jī)公司)。

• 第三層(L3)

：Wireshark可把數(shù)據(jù)包的IP地址解析并顯示為DNS名稱。比方說，可把157.166.226.46這一IP地址，解析并顯示為CNN網(wǎng)站的Edition頁面。

• 第四層(L4)

：Wireshark可把TCP/UDP端口號解析并顯示為應(yīng)用程序(服務(wù))名稱。比方說，可把TCP 80端口解析并顯示為HTTP，把UDP  53端口解析并顯示為DNS。

圖2.9所示為在Preferences窗口中點擊過左側(cè)的Name Resolution配置選項之后，在窗口右側(cè)出現(xiàn)的配置內(nèi)容。

圖2.9

在圖2.9所示的Preferences窗口中，可從上到下配置下述內(nèi)容。

• 第2層、第3層和第4層名稱解析。

• 執(zhí)行名稱解析的方法(通過DNS和/或hosts文件)，以及并發(fā)的DNS請求數(shù)量的上限(旨在確保Wireshark軟件的運(yùn)行速度不受影響)。

• 簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)的對象標(biāo)識符、ID以及是否要將它們轉(zhuǎn)換為對象名稱。

• GeoIP以及是否啟用它。有關(guān)詳細(xì)信息，請參閱本書第10章[4]。

注意

對一個TCP/UDP數(shù)據(jù)包的源、目端口號而言，只有把目的端口號轉(zhuǎn)換為應(yīng)用程序名稱才有意義。源端口號一般都是隨機(jī)生成(高于1024)，將其轉(zhuǎn)換為應(yīng)用程序名稱沒有任何意義。

• Wireshark會默認(rèn)解析第2層MAC地址和第4層TCP/UDP端口號，并按名稱來顯示。解析IP地址會拖慢Wireshark的運(yùn)行速度，因為這會讓W(xué)ireshark軟件本身額外執(zhí)行大量的DNS查詢，所以在開啟該功能之前應(yīng)謹(jǐn)慎考慮。

8.調(diào)整Protocol配置選項里的IPv4配置參數(shù)

借助于Preferences窗口中的Protocols配置選項，可調(diào)整Wireshark對相關(guān)協(xié)議流量的抓取和呈現(xiàn)方式。點擊配置選項Protocols左邊的箭頭，會出現(xiàn)多種協(xié)議配置子選項。圖2.10所示為選擇IPv4或IPv6協(xié)議配置子選項時，出現(xiàn)在Preferences窗口右側(cè)的配置參數(shù)。

圖2.10

下面是對IPv4配置子選項名下的某些配置參數(shù)的解釋。

• Decode IPv4 TOS field as DiffServ field

：制定IPv4協(xié)議標(biāo)準(zhǔn)之初，為了能在IPv4網(wǎng)絡(luò)中保證服務(wù)質(zhì)量，在IPv4包頭中設(shè)立了一個叫做服務(wù)類型(ToS)的字段。后來，IETF又制定了一套IPv4服務(wù)質(zhì)量的新標(biāo)準(zhǔn)(區(qū)分服務(wù)，DiffServ)，打的也是IPv4包頭中原ToS字段的主意，只是對其中各個位的置位方式有了新的定義。若未勾選該復(fù)選框，Wireshark便會按老的IPv4服務(wù)質(zhì)量標(biāo)準(zhǔn)，來解析所抓IPv4數(shù)據(jù)包包頭中的ToS字段。

• Enable GeoIP lookups

：  GeoIP是一個數(shù)據(jù)庫，Wireshark可根據(jù)該數(shù)據(jù)庫里的內(nèi)容來呈現(xiàn)(其所抓數(shù)據(jù)包IP包頭中源和目的)IP地址所歸屬的地理位置。若勾選該復(fù)選框，Wireshark便會針對所抓IPv4和IPv6數(shù)據(jù)包的IP地址來呈現(xiàn)其所歸屬的地理位置。該子選項功能涉及名稱解析，一旦開啟，會拖慢Wireshark實時抓包速率。第10章會介紹如何配置GeoIP。

9.調(diào)整Protocol配置選項里的TCP和UDP配置參數(shù)

UDP是一種非常簡單的協(xié)議，與Wireshark版本1相比，Wireshark版本2的Protocols配置選項里的UDP協(xié)議配置子選項幾乎沒有變化，可供配置的參數(shù)也不多，一般無需調(diào)整;而TCP協(xié)議則很是復(fù)雜，Protocols配置選項里TCP協(xié)議配置子選項中可供配置的參數(shù)較多，如圖2.11所示。

圖2.11

調(diào)整TCP協(xié)議配置子選項名下的參數(shù)，其實也就是調(diào)整Wireshark對TCP報文段的解析方式，以下是對其中某些參數(shù)的解釋。

• Validate the TCP checksum if possible

：Wireshark有時會抓到超多校驗和錯誤(checksum errors)的數(shù)據(jù)包，這要歸因于在抓包主機(jī)的網(wǎng)卡上開啟的TCP Checksum  offloading(TCP校驗和下放)功能。該功能一開，便會導(dǎo)致Wireshark將抓到的本機(jī)生成的數(shù)據(jù)包顯示為checksum  errors(具體原因后文再表)。因此，若Wireshark抓到了超多校驗和錯誤的數(shù)據(jù)包，則有必要先取消勾選該復(fù)選框，再去驗證是否真的存在校驗和問題。

• Analyze TCP sequence numbers

：要讓W(xué)ireshark對TCP數(shù)據(jù)包做詳盡分析，就必須勾選該復(fù)選框，因為TCP sequence  numbers(TCP序列號)是TCP最重要的特性之一。

• Relative sequence numbers

：主機(jī)在建立TCP連接時，會隨機(jī)選擇一個序列號，并將其值存入相互交換的***個報文段的TCP頭部的序列號字段。只要勾選了該復(fù)選框，Wireshark就會把一股TCP數(shù)據(jù)流中***個TCP報文段的(TCP頭部的)序列號字段值顯示為0，后續(xù)TCP報文段的序列號字段值將依次遞增，從而隱藏了真實的序列號字段值。在大多數(shù)情況下，都應(yīng)該讓W(xué)ireshark顯示TCP報文段的相對序列號(relative  number)，以方便網(wǎng)管人員查看。

• Calculate conversation timestamps

：該復(fù)選框一經(jīng)勾選，在抓包主窗口的數(shù)據(jù)包結(jié)構(gòu)區(qū)域中，只要是TCP數(shù)據(jù)包，就會在transmission control  protocol樹下多出一個timestamps結(jié)構(gòu)，點擊其前面的箭頭，就能看到Wireshark記錄的該TCP數(shù)據(jù)包在本股TCP數(shù)據(jù)流中的時間烙印(timestamp)。讓W(xué)ireshark顯示每個TCP數(shù)據(jù)包的時間烙印，將有助于排查時間敏感型TCP應(yīng)用程序的故障。

2.2.3　幕后原理

通過修改Preferences窗口中Protocols選項下相關(guān)協(xié)議子配置選項的參數(shù)，便能開啟或禁用Wireshark軟件對相應(yīng)協(xié)議流量的某些分析功能。需要注意的是，為了保證Wireshark軟件的運(yùn)行速度，應(yīng)盡量禁用不必要的分析功能

對TOS和DiffServ的介紹，詳見本書第10章。

SNMP是一種用來行使網(wǎng)絡(luò)管理功能的協(xié)議。SNMP對象標(biāo)識符(OID)的作用是標(biāo)識對象及其在管理信息庫(MIB)中的位置。所謂對象，既可以是一個計數(shù)器，對流入接口的數(shù)據(jù)包進(jìn)行計數(shù);也可以是路由器接口的IP地址、設(shè)備的名稱及安裝位置、CPU負(fù)載或任何其他可呈現(xiàn)或可測量的實體。

SNMP  MIB按樹形結(jié)構(gòu)來構(gòu)建，如圖2.12所示。頂層MIB對象ID分屬不同的標(biāo)準(zhǔn)組織。每家網(wǎng)絡(luò)廠商都會為自己的網(wǎng)絡(luò)產(chǎn)品定義私有分枝(包括受管理的對象)。

圖2.12

Wireshark在解析SNMP MIB時，不但會顯示對象ID，還會顯示其名稱，這有助于排障人員識別受監(jiān)控的數(shù)據(jù)。

3　抓包文件的導(dǎo)入和導(dǎo)出

將抓包文件分享給其他的運(yùn)維團(tuán)隊或設(shè)備廠商的支持人員，以期查明網(wǎng)絡(luò)故障的根本原因是常有的事兒。這樣的抓包文件會包含很多數(shù)據(jù)包，而排障人員感興趣的或許僅限于若干數(shù)據(jù)流或部分?jǐn)?shù)據(jù)包。Wireshark不但支持將所抓數(shù)據(jù)有選擇地導(dǎo)出至新的文件，甚至還能修改其格式，以便傳輸。本節(jié)將探討Wireshark支持的各種抓包文件導(dǎo)入和導(dǎo)出功能。

3.1　準(zhǔn)備工作

運(yùn)行Wireshark軟件，點擊主工具條上的Capture按鈕，開始抓包(或打開一個已保存的抓包文件)。

3.2　配置方法

在Wireshark主抓包窗口內(nèi)，既可以把抓來的所有數(shù)據(jù)都保存進(jìn)一個文件，也能以不同的格式或文件類型導(dǎo)出自己所需要的數(shù)據(jù)。

現(xiàn)在來講解如何執(zhí)行這些操作。

1.完整或部分導(dǎo)出抓包文件

既能把抓來的所有數(shù)據(jù)包(或抓包文件中的所有數(shù)據(jù)包)完整保存進(jìn)一個文件，也能以各種文件格式和文件類型導(dǎo)出特定的數(shù)據(jù)。

要把抓來的所有數(shù)據(jù)包完整保存進(jìn)一個文件(或?qū)F(xiàn)有的抓包文件完整另存為一個新的文件)，請按以下步驟行事。

• 點擊File菜單里的Save菜單項(或按Ctrl+S鍵)，在彈出窗口的“文件名”輸入欄內(nèi)輸入有待保存的抓包文件的名稱。

• 點擊File菜單里的Save as菜單項(或按Shift +Ctrl +S鍵)，在彈出窗口的“文件名”輸入欄內(nèi)輸入有待保存的抓包文件的新名稱。

若要保存抓包文件(或已抓數(shù)據(jù)包)中的部分?jǐn)?shù)據(jù)(比如，經(jīng)過顯示過濾器過濾的數(shù)據(jù))，請按以下步驟行事。

• 點擊File菜單里的Export Specified Packets菜單項，Export Specified  Packets窗口會立刻彈出，如圖2.13所示。

圖2.13

可在Export Specified Packets窗口的左下角區(qū)域，點擊相應(yīng)的單選按鈕，來選擇文件的導(dǎo)出方式。

• 要把抓包文件中的所有數(shù)據(jù)包或所有已抓數(shù)據(jù)包作為一個文件導(dǎo)出，請同時選擇All packets和Captured單選按鈕，再點Save按鈕。

• 要把抓包文件(或已抓數(shù)據(jù)包)中經(jīng)過顯示過濾器過濾的數(shù)據(jù)包作為一個文件導(dǎo)出，請同時選擇All  packets和Displayed單選按鈕，再點Save按鈕。

• 要把已選中的數(shù)據(jù)包(即在數(shù)據(jù)包列表區(qū)域中用鼠標(biāo)點選的數(shù)據(jù)包)作為一個文件導(dǎo)出，請選擇Selected packets  only單選框，再點Save按鈕。

• 要把所有帶標(biāo)記的數(shù)據(jù)包(給數(shù)據(jù)包打標(biāo)的方法是，先在“數(shù)據(jù)包列表”區(qū)域選中一個數(shù)據(jù)包，然后點擊右鍵，在彈出的菜單中選擇Mark/unmark packet  菜單項)作為一個文件導(dǎo)出，請選擇Marked packets only單選按鈕，再點Save按鈕。

• 要把“數(shù)據(jù)包列表”區(qū)域中位列兩個帶標(biāo)記的數(shù)據(jù)包之間的所有數(shù)據(jù)包作為一個文件導(dǎo)出，請選擇First to last  marked單選按鈕，再點Save按鈕。

• 要把抓包文件中編號(詳見“數(shù)據(jù)包列表”區(qū)域里的“No.”列)連續(xù)的那部分?jǐn)?shù)據(jù)包作為一個文件導(dǎo)出，請選擇Range單選按鈕，并在其后的輸入欄內(nèi)填寫數(shù)據(jù)包的編號范圍，再點Save按鈕。

• 導(dǎo)出抓包文件時，要是希望放棄其中的某些數(shù)據(jù)包，請先在“數(shù)據(jù)包列表”區(qū)域里選中那些數(shù)據(jù)包并單擊右鍵，在彈出的菜單中選擇Ignore/Unignore  packet tog菜單項;再然后，選擇Export Specified Packets窗口中的Remove ignored  packets復(fù)選框，再點Save按鈕。

• 要以壓縮的形式保存數(shù)據(jù)包，請先勾選Export Specified Packets窗口中的Compress with  gzip復(fù)選框，再點Save按鈕。

• 上述“存盤”操作既可以基于整個抓包文件中的所有數(shù)據(jù)包來進(jìn)行，也可以基于抓包文件中經(jīng)過顯示過濾器過濾的數(shù)據(jù)包來進(jìn)行。

2.保存數(shù)據(jù)的格式選取

Wireshark支持將抓到的數(shù)據(jù)以不同的格式來保存，以便用各種其他工具做進(jìn)一步的分析。

通過點擊File菜單的Export Packet Dissections菜單項里的各個子菜單項，可將抓包文件保存為以下格式。

• 純文本格式(*.txt)

：保存為純文本ASCII文件格式。

• PostScript(*.pst)

：保存為PostScript文件格式。

• 逗號分割值格式(Comma Separated Values)(*.csv)

：保存為逗號分割文件格式。這種格式的文件可為電子表格程序(比如，Microsoft Excel)所用。

• C語言數(shù)組格式(*.c)

：把數(shù)據(jù)包的內(nèi)容以C語言數(shù)組的格式保存，便于導(dǎo)入C程序。

• PSML格式(*.psml)

：存為PSML文件格式。PSML是一種基于XML的文件格式，只能保存數(shù)據(jù)包的匯總信息。

• PDML格式(*.pdml)

：存為PDML文件格式。PSML也是一種基于XML的文件格式，但能保存數(shù)據(jù)包的詳細(xì)信息。

3.數(shù)據(jù)打印

要想打印數(shù)據(jù)，請點擊File菜單里的Print菜單項，Print窗口會立刻彈出，如圖2.14所示。

可在Print窗口中做如下選擇。

• 在窗口的右上角(1)，可選擇有待打印的數(shù)據(jù)包的具體內(nèi)容。

• 勾選Summary line復(fù)選框，會打印出在數(shù)據(jù)包列表(Packet Summary)區(qū)域看到的數(shù)據(jù)包的內(nèi)容。

• 勾選Details復(fù)選框，會打印出在數(shù)據(jù)包結(jié)構(gòu)(Packet Details)區(qū)域看到的數(shù)據(jù)包的內(nèi)容。

• 勾選Bytes復(fù)選框，會打印出在數(shù)據(jù)包內(nèi)容(Packet Byte)區(qū)域看到的數(shù)據(jù)包的內(nèi)容。

• 在窗口的左下區(qū)域，可選擇有待打印的數(shù)據(jù)包(操作方法類似于文件保存，這在上一節(jié)已經(jīng)提到)。

圖2.14

3.3　幕后原理

Wireshark支持以文本格式或PostScript格式來打印數(shù)據(jù)(以后一種格式打印時，打印機(jī)應(yīng)為PostScript感知的打印機(jī))，同時支持將數(shù)據(jù)打印至一個文件。選妥了Print窗口中的各個選項，點擊Print按鈕之后，會彈出操作系統(tǒng)自帶的常規(guī)“打印”窗口，可在其中選擇具體的打印機(jī)來打印。

3.4　拾遺補(bǔ)缺

要查看Wireshark軟件存儲各種文件的系統(tǒng)文件夾，請點擊Help菜單中的About Wireshark菜單項，在彈出的About  Wireshark窗口中選擇Folders選項卡，如圖2.15所示。在About  Wireshark窗口中，可以看到Wireshark軟件存儲各種文件的實際文件夾，在窗口的最右邊，可以看到存儲在那些文件夾中的文件類型。

圖2.15

點擊Location下的鏈接，會進(jìn)入存儲相應(yīng)文件的文件夾。

4　調(diào)整數(shù)據(jù)包的配色規(guī)則

Wireshark會根據(jù)事先定義的配色規(guī)則，用不同的顏色來分門別類地顯示抓包文件中的數(shù)據(jù)。合理地定義配色規(guī)則，讓匹配不同協(xié)議的數(shù)據(jù)包以不同的顏色示人(或讓不同狀態(tài)下的同一種協(xié)議的數(shù)據(jù)包呈現(xiàn)出多種顏色)，能在排除網(wǎng)絡(luò)故障時幫上大忙。

Wireshark支持基于各種過濾條件來配置新的配色規(guī)則。這樣一來，就能夠針對不同的場景定制不同的配色方案，同時還能以不同的模板來保存。也就是說，網(wǎng)管人員可在解決TCP故障時啟用配色規(guī)則A，在解決SIP和IP語音故障時啟用配色規(guī)則B。

注意

可通過定義模板(profile)的方式，來保存針對Wireshark軟件自身的配置(比如，事先配置的配色規(guī)則和顯示過濾器等)。要如此行事，請點擊Edit菜單下的Configuration  Profiles菜單項。

4.1　準(zhǔn)備工作

要定義配色規(guī)則，請按以下步驟行事。

1.選擇View菜單。

2.點擊中下部的Coloring Rules菜單項，Coloring Rules-Default窗口會立刻彈出，如圖2.16所示。

該窗口顯示的是Wireshark默認(rèn)啟用的配色規(guī)則，包括TCP數(shù)據(jù)包、路由協(xié)議數(shù)據(jù)包以及匹配某些協(xié)議事件的數(shù)據(jù)包的配色規(guī)則。

圖2.16

4.2　操作方法

要調(diào)整配色規(guī)則，請按以下步驟行事。

• 要定義一條新的配色規(guī)則，請點擊“+”按鈕，如圖2.17所示。

圖2.17

• 在Name欄內(nèi)填入本配色規(guī)則的名稱。比如，要想專為NTP協(xié)議數(shù)據(jù)包定制配色規(guī)則，那就在該輸入欄內(nèi)填入NTP。

• 在Filter字段內(nèi)填入顯示過濾表達(dá)式，指明本配色規(guī)則對哪些數(shù)據(jù)包生效。欲知更多與顯示過濾器有關(guān)的內(nèi)容，請閱讀第4章。

• 點擊Foreground按鈕，為本配色規(guī)則選擇一款前景色。此款顏色將成為受本配色規(guī)則約束的數(shù)據(jù)包在抓包主窗口的數(shù)據(jù)包列表區(qū)域里的前景色。

• 點擊Background按鈕，為本配色規(guī)則選擇一款背景色。此款顏色將成為受本配色規(guī)則約束的數(shù)據(jù)包在抓包主窗口的數(shù)據(jù)包列表區(qū)域里的背景色。

• 要刪除一條配色規(guī)則，請點擊“−”按鈕(在“+”按鈕的右側(cè))。

• 要修改現(xiàn)有的配色規(guī)則，請雙擊該配色規(guī)則。

• 點擊Import按鈕，可導(dǎo)入現(xiàn)成的配色方案;點擊Export按鈕，可導(dǎo)出當(dāng)前的配色方案。

注意

Coloring  Rules窗口中配色規(guī)則的排放次序是有講究的。請務(wù)必確保配色規(guī)則的排放次序與配色方案的執(zhí)行次序相匹配。比方說，作用于應(yīng)用層協(xié)議數(shù)據(jù)包的配色規(guī)則應(yīng)置于作用于TCP/UDP數(shù)據(jù)包的配色規(guī)則之前，只有如此，方能避免Wireshark為了應(yīng)用層協(xié)議數(shù)據(jù)包而干擾TCP/UDP數(shù)據(jù)包的顏色。

4.3　幕后原理

Wireshark軟件中的許多操作都與顯示過濾器緊密關(guān)聯(lián)，定義配色規(guī)則也是如此，因為受配色規(guī)則約束的數(shù)據(jù)包都是經(jīng)過預(yù)定義的顯示過濾器過濾的數(shù)據(jù)包。

4.4　進(jìn)階閱讀

可從Wireshark官方網(wǎng)站下載到很多經(jīng)典的Wireshark數(shù)據(jù)包配色方案，在Internet上也能搜到許多其他的配色方案示例。

要想使用某個配色規(guī)則文件，請先將那些文件下載至本機(jī)，再在Wireshark中選擇View菜單，單擊Coloring  Rules菜單項，在彈出的Coloring Rules-Default窗口中單擊Import按鈕，將文件導(dǎo)入。

5　配置時間參數(shù)

對時間顯示格式的調(diào)整，會在Wireshark抓包主窗口數(shù)據(jù)包列表區(qū)域的Time列(默認(rèn)為左邊第2列)的內(nèi)容里反映出來。在某些情況下，有必要讓W(xué)ireshark以多種時間格式來顯示數(shù)據(jù)包。比方說，在觀察隸屬同一連接的所有TCP數(shù)據(jù)包時，每個數(shù)據(jù)包的發(fā)送間隔時間是應(yīng)該關(guān)注的重點;當(dāng)所要觀察的數(shù)據(jù)包抓取自多個來源時，則最應(yīng)關(guān)注每個數(shù)據(jù)包的確切抓取時間。

5.1　準(zhǔn)備工作

要配置Wireshark抓包主窗口數(shù)據(jù)包列表區(qū)域中數(shù)據(jù)包的時間顯示格式，請進(jìn)入View菜單，選擇Time Display  Format菜單項，其右邊會出現(xiàn)如圖2.18所示的子菜單。

圖2.18

5.2　配置方法

圖2.18所示的Time Display Format菜單項的上半部分子菜單包含以下子菜單項。

• Date and Time of Day

：當(dāng)通過Wireshark抓包來幫助排除網(wǎng)絡(luò)故障，且故障發(fā)生的時間也是定位故障的重要依據(jù)時(比如，已獲悉了故障發(fā)生的精確時間，且還想知道相同時間網(wǎng)絡(luò)內(nèi)發(fā)生的其他事件時)，就應(yīng)該根據(jù)具體情況，選擇該子菜單項。

• Seconds Since 1970-01-01(自1970年1月1日以來的秒數(shù))

：Epoch是指通用協(xié)調(diào)時間(格林威治標(biāo)準(zhǔn)時間的前稱)的1970年1月1日早晨0點。這也是UNIX系統(tǒng)問世的大致時間。

• Seconds Since Beginning of Capture(自開始抓包以來的秒數(shù))

：此乃Wireshark默認(rèn)選項。

• Seconds Since Previous Captured Packet(自抓到上一個數(shù)據(jù)包以來的秒數(shù))

：這也是一個常用選項，此菜單項一經(jīng)點選，數(shù)據(jù)包列表區(qū)域的Time列將顯示每個數(shù)據(jù)包的抓取時間差。當(dāng)監(jiān)控時間敏感型數(shù)據(jù)包(比如，TCP流量、實時視頻流量、VoIP語音流量)時，就應(yīng)該點選該子菜單項，因為此類數(shù)據(jù)包的發(fā)送時間間隔對用戶體驗有至關(guān)重要的影響。

• Seconds Since Previous Displayed Packet

：在應(yīng)用過顯示過濾器，讓W(xué)ireshark只顯示抓包文件中部分?jǐn)?shù)據(jù)的情況下(比如，在只顯示隸屬于某條TCP流的所有數(shù)據(jù)包的情況下)，通常都應(yīng)該點選該子菜單項。此時，網(wǎng)管人員更關(guān)心的應(yīng)該是隸屬于某條TCP數(shù)據(jù)流的各個數(shù)據(jù)包之間的抓取時間差。

• UTC Date and Time of Day

：提供UTC時間。

Time Display Format菜單項的下半部分子菜單項涉及對時間精度的調(diào)整。只有對時間精度要求很高的情況下，才建議更改默認(rèn)設(shè)置。

可使用Ctrl+Alt+任意數(shù)字鍵來調(diào)整上述時間格式選項。

5.3　幕后原理

為抓到的數(shù)據(jù)包留下時間烙印時，Wireshark依據(jù)的是操作系統(tǒng)的時間。在默認(rèn)情況下，生效的是Seconds Since Beginning of  Capture子菜單項功能。

6　構(gòu)建排障使用的配置模板

可定義Wireshark配置模板，來保存針對Wireshark軟件自身的各種配置(比如，外觀、預(yù)定義的配色規(guī)則、抓包及顯示過濾器等)。要如此行事，請進(jìn)入Edit菜單，選擇Configuration  Profile菜單項。

Wireshark配置模板會保存下列信息。

• 對Edit菜單中Preferences菜單項包含的各配置選項的定義，包括：對Appearance和Protocols功能項的定義(比如，對Wireshark抓包主窗口的字體、屬性列的列寬的定義)。

• 抓***濾器。

• 顯示過濾器和顯示過濾器宏(詳見第4章)。

• 配色規(guī)則。

• 定制的HTTP、IMF和LDAP頭部(詳見第12章)。

• 用戶定義的解碼方式，比如，作為某種功能的解碼方式，用戶可利用該功能臨時性地改變Wireshark對特殊協(xié)議的解析方式。

所有配置模板文件都會保存在Wireshark軟件Personal Configuration目錄的 profiles目錄下。

6.1　準(zhǔn)備工作

運(yùn)行Wireshark軟件，點擊主工具條上的Capture按鈕，開始抓包(或打開一個已保存的抓包文件)。

6.2　操作方法

要打開現(xiàn)有的配置模板文件，請執(zhí)行如下操作。

1.可點擊狀態(tài)欄***邊的Profile區(qū)域，選擇準(zhǔn)備采用的現(xiàn)有配置模板，如圖2.19所示。

圖2.19

2.還可以進(jìn)入Edit菜單，選擇Configuration Profiles菜單項，在Configuration  Profiles窗口中選擇準(zhǔn)備采用的現(xiàn)有配置模板，如圖2.20所示。

圖2.20

要創(chuàng)建一個新的配置模板，可執(zhí)行如下步驟。

1.右鍵單擊狀態(tài)欄***邊的Profile區(qū)域，在彈出的菜單中選擇New菜單項，或者在圖2.20所示的窗口中點擊“+”號按鈕。

2.新的配置模板創(chuàng)建之后，在profiles目錄下會創(chuàng)建一個新的目錄，如圖2.21所示。

圖2.21

3.由圖2.21可知，在新建的配置模板目錄下(本例為Wireless模板及Wireless目錄)，可以看到包含抓***濾器的cfilter文件、包含配色規(guī)則的colorfilters文件、保存HTTP字段配置的custom_http_header_fields文件，以及保存preference菜單項功能配置的preference文件。

6.3　幕后原理

創(chuàng)建新的模板時，Wireshark軟件會在profiles目錄下新建一個同名目錄。此后，在關(guān)閉Wireshark或加載另一個配置模板時，一個名為recent的文件會誕生在那個新的模板目錄內(nèi)。該文件包含了常規(guī)的Wireshark窗口設(shè)置，包括可視工具欄、時間戳顯示、字體縮放級別和列寬等配置。若在創(chuàng)建了新的配置模板之后還創(chuàng)建了抓***濾器、顯示過濾器和配色規(guī)則，則在那個新的模板目錄內(nèi)還會誕生別的文件(分別為cfilters、dfilters和colorfilters)。

6.4　拾遺補(bǔ)缺

如前所述，保存模板配置參數(shù)的文件都位于profiles目錄下。那么，自然可以在不同的配置模板之間轉(zhuǎn)移配置參數(shù)，比如，在默認(rèn)的preference文件中，包含了以下與啟動窗口中的顯示過濾器工具條有關(guān)的配置參數(shù)[5]。

####### Filter Expressions ######## gui.filter_expressions.label: SIP gui.filter_expressions.enabled: FALSE gui.filter_expressions.expr: sip gui.filter_expressions.label: RTP gui.filter_expressions.enabled: FALSE gui.filter_expressions.expr: rtp

上述就是小編為大家分享的Wireshark中怎么排除網(wǎng)絡(luò)故障了，如果剛好有類似的疑惑，不妨參照上述分析進(jìn)行理解。如果想知道更多相關(guān)知識，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

分享標(biāo)題：Wireshark中怎么排除網(wǎng)絡(luò)故障
URL鏈接：http://bm7419.com/article16/igdjgg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站改版、動態(tài)網(wǎng)站、網(wǎng)站制作、做網(wǎng)站、網(wǎng)站營銷、

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)