Wireshark 着色规则精通

CybersecurityCybersecurityBeginner
立即练习

💡 本教程由 AI 辅助翻译自英文原版。如需查看原文,您可以 切换至英文原版

简介

在本实验中,你将学习如何在 Wireshark 中创建和应用着色规则。Wireshark 是一款功能强大的网络协议分析工具。着色规则允许你根据特定条件直观地区分不同类型的网络流量,从而更容易识别和分析感兴趣的网络活动。通过本实验,你将更好地理解如何利用 Wireshark 的着色功能来增强网络分析和网络安全调查的能力。


Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL cybersecurity(("`Cybersecurity`")) -.-> cybersecurity/WiresharkGroup(["`Wireshark`"]) cybersecurity/WiresharkGroup -.-> cybersecurity/ws_colorizing_rules("`Wireshark Colorizing Rules`") subgraph Lab Skills cybersecurity/ws_colorizing_rules -.-> lab-415941{{"`Wireshark 着色规则精通`"}} end

探索并导出着色规则

在本步骤中,你将探索 Wireshark 中现有的着色规则,并学习如何查看和导出这些规则。

  1. 在 Linux 终端中运行以下命令以打开 Wireshark:

    wireshark
  2. 打开 Wireshark 后,导航到 View > Coloring Rules...,以打开 Wireshark Coloring Rules Default 对话框。

    Coloring Rules
  3. Wireshark Coloring Rules Default 对话框中,你将看到现有的着色规则列表。这些规则根据其在列表中的顺序被应用。花点时间查看这些规则及其描述。

    Coloring Rules Dialog
  4. 你可以通过选择规则并点击 checkbox禁用启用 规则的可见性。这使你能够临时启用或禁用特定规则,而无需删除它们。

  5. 要导出当前的着色规则集,请点击 Export... 按钮。

  6. Wireshark Coloring Rules Default 对话框中,点击 Export... 以将着色规则保存到文件中。

    Coloring Rules

    导航到 /home/labex/project 目录,并将文件保存为描述性名称,例如 colorizing_rules.txt

    Coloring Rules
  7. 点击 OK 关闭 Wireshark Coloring Rules Default 对话框。

创建新的着色规则

在本步骤中,你将学习如何创建新的着色规则以高亮显示特定的网络流量。

  1. 在 Wireshark 中,导航到 View > Coloring Rules...,再次打开 Wireshark Coloring Rules Default 对话框。

  2. 点击 + 按钮以创建新的着色规则。

    Coloring Rules
  3. 在着色规则对话框的顶部,将出现一个名为 New coloring rule 的新规则条目。双击 New coloring rule 条目以编辑规则名称。例如,HTTP Traffic。在 Filter 字段中,输入用于此规则的过滤表达式。例如,要高亮显示 HTTP 流量,请输入 http

    Coloring Rules
  4. 关于着色选项:

    foreground 按钮允许你选择用于高亮显示匹配规则的数据包的颜色。

    Coloring Rules

    background 按钮允许你选择高亮显示数据包的背景颜色。

    Coloring Rules
  5. 可选地,你可以通过 拖动 规则在列表中的位置来调整规则的优先级。规则根据其在列表中的顺序被应用,优先级较高的规则优先于优先级较低的规则。

  6. 点击 checkbox 以启用新创建的着色规则,然后点击 OK 保存新的着色规则。

    Coloring Rules
  7. 当你在 Wireshark 中打开捕获文件或开始实时捕获时,你现在应该会看到匹配过滤表达式的网络数据包以你为规则选择的颜色显示。

PS:你可以通过点击左下角 Applications 按钮中的 Run Program... 并输入 Firefox 来启动浏览器。

Coloring Rules

修改现有的着色规则

在本步骤中,你将学习如何修改现有的着色规则以更改其行为。

  1. 在 Wireshark 中,导航到 View > Coloring Rules...,打开 Wireshark Coloring Rules Default 对话框。

  2. 从列表中选择你要修改的着色规则。

  3. 双击 你要修改的规则,你可以修改规则的名称、过滤表达式、颜色。或者通过 拖动 规则在列表中的位置来更改优先级。

  4. 根据需要修改你刚刚创建的规则的名称和过滤表达式。

    规则名称:HTTP Traffic -> Web Traffic
    过滤表达式:http -> http and tcp.port == 80

    Coloring Rules
  5. 完成所需的更改后,点击 OK 保存修改后的规则。

  6. 在 Wireshark 中打开捕获文件或开始实时捕获。你现在应该会看到受修改规则影响的网络数据包以更新后的颜色或过滤表达式显示。

导入着色规则

在本步骤中,你将学习如何将着色规则导入 Wireshark。

  1. 在 Wireshark 中,导航到 View > Coloring Rules...,打开 Wireshark Coloring Rules Default 对话框。

  2. 要导入着色规则,请在 Wireshark Coloring Rules Default 对话框中点击 Import... 按钮。

    Coloring Rules
  3. Wireshark Import Coloring Rules 对话框中,导航到 /home/labex/project 目录,并选择你之前导出的 colorizing_rules.txt 文件。

    Coloring Rules
  4. 点击 Open 以导入着色规则。

  5. 向下滚动鼠标滚轮,你现在应该在着色规则对话框的列表底部找到新导入的着色规则。

总结

在本实验中,你学习了如何在 Wireshark 中创建、修改、导入和导出着色规则。通过利用着色规则,你可以根据特定条件直观地区分不同类型的网络流量,从而更容易识别和分析感兴趣的网络活动。这项技能在网络安全调查、网络故障排除和协议分析任务中非常宝贵。

通过动手实践,你获得了创建新着色规则、修改现有规则以及通过导入和导出规则管理规则集的实践经验。通过掌握这些技术,你可以增强网络分析工作流程,并提高快速识别和优先处理感兴趣的网络流量模式的能力。

您可能感兴趣的其他 Cybersecurity 教程