熟练使用Wireshark排除网络故障的方法

该窗口显示的是Wireshark默认启用的配色规则，包括TCP数据包、路由协议数据包以及匹配某些协议事件的数据包的配色规则。

图2.16

4.2　操作方法

要调整配色规则，请按以下步骤行事。

• 要定义一条新的配色规则，请点击“+”按钮，如图2.17所示。

图2.17

• 在Name栏内填入本配色规则的名称。比如，要想专为NTP协议数据包定制配色规则，那就在该输入栏内填入NTP。
• 在Filter字段内填入显示过滤表达式，指明本配色规则对哪些数据包生效。欲知更多与显示过滤器有关的内容，请阅读第4章。
• 点击Foreground按钮，为本配色规则选择一款前景色。此款颜色将成为受本配色规则约束的数据包在抓包主窗口的数据包列表区域里的前景色。
• 点击Background按钮，为本配色规则选择一款背景色。此款颜色将成为受本配色规则约束的数据包在抓包主窗口的数据包列表区域里的背景色。
• 要删除一条配色规则，请点击“−”按钮(在“+”按钮的右侧)。
• 要修改现有的配色规则，请双击该配色规则。
• 点击Import按钮，可导入现成的配色方案;点击Export按钮，可导出当前的配色方案。

注意

Coloring Rules窗口中配色规则的排放次序是有讲究的。请务必确保配色规则的排放次序与配色方案的执行次序相匹配。比方说，作用于应用层协议数据包的配色规则应置于作用于TCP/UDP数据包的配色规则之前，只有如此，方能避免Wireshark为了应用层协议数据包而干扰TCP/UDP数据包的颜色。

4.3　幕后原理

Wireshark软件中的许多操作都与显示过滤器紧密关联，定义配色规则也是如此，因为受配色规则约束的数据包都是经过预定义的显示过滤器过滤的数据包。

4.4　进阶阅读

可从Wireshark官方网站下载到很多经典的Wireshark数据包配色方案，在Internet上也能搜到许多其他的配色方案示例。

要想使用某个配色规则文件，请先将那些文件下载至本机，再在Wireshark中选择View菜单，单击Coloring Rules菜单项，在弹出的Coloring Rules-Default窗口中单击Import按钮，将文件导入。

5　配置时间参数

对时间显示格式的调整，会在Wireshark抓包主窗口数据包列表区域的Time列(默认为左边第2列)的内容里反映出来。在某些情况下，有必要让Wireshark以多种时间格式来显示数据包。比方说，在观察隶属同一连接的所有TCP数据包时，每个数据包的发送间隔时间是应该关注的重点;当所要观察的数据包抓取自多个来源时，则最应关注每个数据包的确切抓取时间。

5.1　准备工作

要配置Wireshark抓包主窗口数据包列表区域中数据包的时间显示格式，请进入View菜单，选择Time Display Format菜单项，其右边会出现如图2.18所示的子菜单。

图2.18

5.2　配置方法

图2.18所示的Time Display Format菜单项的上半部分子菜单包含以下子菜单项。

• Date and Time of Day

：当通过Wireshark抓包来帮助排除网络故障，且故障发生的时间也是定位故障的重要依据时(比如，已获悉了故障发生的精确时间，且还想知道相同时间网络内发生的其他事件时)，就应该根据具体情况，选择该子菜单项。

• Seconds Since 1970-01-01(自1970年1月1日以来的秒数)

：Epoch是指通用协调时间(格林威治标准时间的前称)的1970年1月1日早晨0点。这也是UNIX系统问世的大致时间。

• Seconds Since Beginning of Capture(自开始抓包以来的秒数)

：此乃Wireshark默认选项。

• Seconds Since Previous Captured Packet(自抓到上一个数据包以来的秒数)

：这也是一个常用选项，此菜单项一经点选，数据包列表区域的Time列将显示每个数据包的抓取时间差。当监控时间敏感型数据包(比如，TCP流量、实时视频流量、VoIP语音流量)时，就应该点选该子菜单项，因为此类数据包的发送时间间隔对用户体验有至关重要的影响。

• Seconds Since Previous Displayed Packet

：在应用过显示过滤器，让Wireshark只显示抓包文件中部分数据的情况下(比如，在只显示隶属于某条TCP流的所有数据包的情况下)，通常都应该点选该子菜单项。此时，网管人员更关心的应该是隶属于某条TCP数据流的各个数据包之间的抓取时间差。

• UTC Date and Time of Day

：提供UTC时间。

Time Display Format菜单项的下半部分子菜单项涉及对时间精度的调整。只有对时间精度要求很高的情况下，才建议更改默认设置。

可使用Ctrl+Alt+任意数字键来调整上述时间格式选项。

5.3　幕后原理

为抓到的数据包留下时间烙印时，Wireshark依据的是操作系统的时间。在默认情况下，生效的是Seconds Since Beginning of Capture子菜单项功能。

6　构建排障使用的配置模板

可定义Wireshark配置模板，来保存针对Wireshark软件自身的各种配置(比如，外观、预定义的配色规则、抓包及显示过滤器等)。要如此行事，请进入Edit菜单，选择Configuration Profile菜单项。

Wireshark配置模板会保存下列信息。

• 对Edit菜单中Preferences菜单项包含的各配置选项的定义，包括：对Appearance和Protocols功能项的定义(比如，对Wireshark抓包主窗口的字体、属性列的列宽的定义)。
• 抓包过滤器。
• 显示过滤器和显示过滤器宏(详见第4章)。
• 配色规则。
• 定制的HTTP、IMF和LDAP头部(详见第12章)。
• 用户定义的解码方式，比如，作为某种功能的解码方式，用户可利用该功能临时性地改变Wireshark对特殊协议的解析方式。

所有配置模板文件都会保存在Wireshark软件Personal Configuration目录的 profiles目录下。

6.1　准备工作

运行Wireshark软件，点击主工具条上的Capture按钮，开始抓包(或打开一个已保存的抓包文件)。

6.2　操作方法

要打开现有的配置模板文件，请执行如下操作。

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!