1.简介
上一篇宏哥将Wireshark的界面大致进行了讲解和说明,你如果想了解更加详细的可以去官网查找文档或者是在网上查找资料。今天宏哥就给小伙伴或者童鞋们讲解和分享一下Wireshark的一些基本操作。当然了这些都是我们日常工作中可能会用到的或者说是用到比较多的,其他的宏哥就不做讲解了。
接下来,就跟随宏哥的脚步一起学习一下Wireshark常用的基础操作。
2.显示界面操作
2.1调整界面大小
有时候我们会遇到主界面的数据太小,看起来非常吃力或者费眼睛,尤其是对于近视或者年龄大一点的人来说特别地痛苦。我们使用调整界面的大小,就可以轻松解决这一问题。
方法:1.在菜单工具栏中的三个「放大镜」图标,从左到右依次是:放大、缩小、还原默认大小。可以调整主界面数据的大小。如下图所示:
2.2设置显示列
数据包列表是工作中最常用的模块之一,列表中有一些默认显示的列,我们可以添加、删除、修改显示的列。
2.2.1默认显示列
默认显示列就是在没有列在设置之前的显示,概括起来就是一句话:什么时候?谁发给谁?用了什么协议?发了什么内容?发了多少数据?如下图所示:
2.2.2添加显示列
如果你想要在数据列表中显示某一个字段,这样就可以清楚地看到这个字段,而不是去别的地方费劲的找这个字段。那你就可以在数据列表中将这个数据字段添加至显示列中。
方法一:1.左键选中想要添加为列的字段,右键选择「应用为列」。例如:宏哥想要显示TCP中的Source Port在数据列中,如下图所示:
方法二:1.使用快捷键。选中字段,按 Ctrl + Shift + I ,也可以实现同样的效果。
添加为列的字段会在数据列表中显示。如下图所示:
2.2.3修改显示列
你确定如果是需要修改列的名字,可以从显示列中修改。
方法:1.右键需要修改的列,点击下方的「Edit Column」 。如下图所示:
2.2.4隐藏显示列
如果有些列对你无用,你暂时不想查看的列,可以暂时隐藏起来。
方法:1.在显示列的任意位置右键,取消列名的「勾选」,即可隐藏显示列。如下图所示:
2.2.5删除显示列
你确定如果是不需要查看的字段,可以从显示列中删除。
方法:1.右键需要删除的列,点击最下方的「Remove this Column」 。如下图所示:
注意:隐藏字段时,在列名栏的任意位置右键即可;而删除字段时,需要在指定的列名位置右键,以防误删。
2.3设置时间
Wireshark是一个广泛使用的网络协议分析工具,它能够捕获并分析通过网络传输的各种数据包。在进行网络分析时,时间信息是非常关键的,它能够帮助我们了解数据包的流动和事件发生的顺序。Wireshark提供了多种配置选项,以便用户能够更好地理解和分析数据包的时间信息。今天,我们将详细介绍如何在Wireshark中设置时间相关的选项,包括时间格式、时间参考和时间平移。
2.3.1设置时间格式
Wireshark 默认情况下显示数据包的捕获时间。为了使数据包的时间信息更加易于理解,我们可以自定义时间的显示格式。数据包列表栏的时间这一列,默认显示格式看起来很不方便,尤其是对于初学者的小白,根本不明白这个是时间的具体意思,以及时间的衡量单位。我们可以调整时间的显示格式。设置步骤如下:
方法:1.点击工具栏的「视图」,选择「时间显示格式」,设置你喜欢的格式。如下图所示:
2.你将看到几个不同的时间格式选项,可以根据需要选择合适的格式。下面跟随宏哥一起来看一下详细的时间格式设置。
2.3.1.1时间格式
Wireshark提供多种时间格式,用于定义时间列的显示方式。以下是每种格式的含义:
日期和时间 (1970-01-01 01:02:03.123456)
以完整的日期和时间格式显示数据包的时间戳,包括年月日和时分秒,精确到微秒。
年、年积日、时间 (1970/001 01:02:03.123456)
使用“年积日”的格式显示时间戳,例如“1970/001”表示1970年的第1天(1月1日)。这对需要按年积日记录数据的场景有帮助。
时间 (01:02:03.123456)
仅显示时分秒部分,不显示日期。适用于不关注日期的短时间分析场景。
自1970-01-01经过的秒数
显示从Unix时间(1970年1月1日00:00:00 UTC)到捕获数据包时的总秒数。常用于计算机内部时间戳或调试。
Seconds Since First Captured Packet
显示从第一个捕获的数据包到当前数据包之间经过的秒数。适用于分析数据包之间的时间差。
自上一个捕获分组经过的秒数
显示从上一个数据包到当前数据包的时间间隔,适用于研究数据包之间的延迟。
自上一个显示分组经过的秒数
类似于上一个选项,但只计算显示在过滤结果中的数据包之间的时间差。如果你应用了过滤器,这个选项会非常有用。
UTC 日期和时间 (1970-01-01 01:02:03.123456)
使用协调世界时(UTC)显示完整日期和时间,适合需要同步时区的场景。
UTC 年、年积日、时间 (1970/001 01:02:03.123456)
以UTC显示年积日格式的时间。
UTC 时间 (01:02:03.123456)
仅以UTC显示时分秒部分,不包含日期。
2.3.1.2时间单位
这部分选项定义了时间显示的精度。可以根据需要选择更高或更低的精度:
秒
只显示整数秒。
十分之一秒
时间显示到小数点后一位。
百分之一秒
时间显示到小数点后两位。
毫秒
时间显示到千分之一秒(小数点后三位)。
Tenths of a millisecond
时间显示到千分之一秒的十分之一(小数点后四位)。
Hundredths of a millisecond
时间显示到千分之一秒的百分之一(小数点后五位)。
微秒
时间显示到百万分之一秒(小数点后六位)。
Tenths of a microsecond
时间显示到百万分之一秒的十分之一(小数点后七位)。
Hundredths of a microsecond
时间显示到百万分之一秒的百分之一(小数点后八位)。
纳秒
时间显示到十亿分之一秒(小数点后九位),适合高精度网络数据分析。
2.3.2设置参考时间
在某些情况下,我们可能希望将某个特定的数据包作为“参考时间”,以便计算其他数据包与该参考点的时间差。这对于捕获期间出现时间同步问题或与其他系统时钟对比时非常有用。
选择某个数据包时间为基准时间0,后面数据包时间相对于此报文进行偏移。设置步骤如下:
方法:1.选择报文右击,选择设置时间参考。选中需要为基准时间的数据包,右键选择最上面的「设置/取消设置」。如下图所示:
当你设置了时间参考后,Wireshark会在数据包列表的时间列中显示时间差,即每个数据包的时间与参考时间的偏差。这使得你能够轻松查看相对于某个事件的时间延迟。
经过测试发现:
当时间格式设置为:
时间参考才有作用,此功能的目的是用来计算差值的。
2.3.3设置时间平移
这个功能主要用于调整捕获数据包的时间戳,以解决时间戳不准确的问题。
时间平移的作用
在一些场景中,捕获的网络数据包时间戳可能存在偏移,例如:
捕获设备的系统时间与实际时间不一致。
数据包的时间需要与其他日志文件时间对齐。
跨多个设备捕获的数据包,需要调整为统一的时间基准。
Wireshark提供 时间平移 功能,可以对所有数据包或部分数据包的时间戳进行调整,以便更精确地进行时间相关的分析。先选定一个数据包,在右键菜单中选择 时间平移。或者使用快捷键 Ctrl + Shift + T 调用出设置界面:
功能选项说明
平移所有分组
允许你对捕获的所有数据包时间进行统一的平移(时间偏移)。
你可以在右侧的输入框中设置偏移的具体时间格式,例如:
-00:00:10:将所有数据包时间向后平移10秒。
01:00:00:将所有数据包时间向前平移1小时。
适合全局时间戳不准确的情况。
设置分组时间
这个选项允许你手动指定某个特定数据包的时间戳,然后Wireshark会根据这个设置自动调整其他数据包的时间,使它们相对的时间差保持一致。
设置步骤:
选择一个数据包(例如编号为1的包),输入一个具体的时间值(格式如YYYY-MM-DD hh:mm:ss.ddd)。
(可选)可以再设置一个数据包(例如编号为4的包)为另一时间值,Wireshark会自动推算所有数据包的时间偏移量。
应用场景
当你知道某些特定数据包的准确时间,并希望通过这些参考时间调整所有数据包的时间戳。
撤销所有平移
如果你已经对时间进行了调整,但希望恢复到原始捕获的时间戳,可以使用此选项。
2.4名字解析
此功能主要是:(1)将MAC地址,IP地址,端口号等转换成名字,方便记忆。默认只开启 MAC 地址的解析。对于端口号,IP地址,MAC地址,有些有默认的名称,可以选择性的开启,这样会显示其名称,比如80端口->http 。但是一般不建议开启解析,这样看上去不直观。(2)IP地址或端口号名字解析,开启可以提升可读性,但解析有可能出错,并且资源消耗大影响解析性能。名字解析包含三方面的内容:①MAC地址解析,②网络名字解析,③传输名字解析。
2.4.1开启名字解析
方法:1.点击菜单栏的「捕获」按钮,点击「选项」。如下图所示:
2.点击「选项」,勾选「Resolve MAC addresses」。如下图所示:
2.4.2手工设置解析
1.可以自定义名字解析,在需要解析的项上右键,「编辑解析的名称」,如下图所示:
2.注意:这个设置不会永久保存,重启软件就没有了。
3.查看 wireshark 已解析的地址(统计->已解析的地址),如下图所示:
3.小结
注意在修改列的名字时候,最好不要修改成中文的,因为修改成中文有时候,会是中文乱码,或者重启Wireshark后,出现中文乱码。
