在 Wireshark 中创建并应用着色规则

简介

在本实验中，你将学习如何在功能强大的网络协议分析器 Wireshark 中创建和应用着色规则。这些规则使你能够根据特定条件直观地分辨不同类型的网络流量，从而更轻松地识别和分析你所关注的网络活动。

完成本实验后，你将更好地掌握如何利用 Wireshark 的着色功能。这将增强你的网络分析技能，并为你的网络安全调查提供支持。

探索并导出着色规则

在这一步中，我们将首先探索 Wireshark 中现有的着色规则。Wireshark 中的着色规则用于根据特定条件高亮显示不同类型的网络数据包。这有助于快速识别和分析捕获的网络流量中的重要信息。你还将学习如何查看这些规则并将其导出以备后用。

1. 首先，你需要在 Linux 机器上打开 Wireshark。为此，请打开终端并运行以下命令。该命令将启动 Wireshark 应用程序，你将使用它来处理着色规则。

   wireshark
   

2. Wireshark 打开后，你需要访问着色规则。前往 Wireshark 窗口顶部的 View 菜单，然后选择 Coloring Rules...。这将打开 Wireshark Coloring Rules Default 对话框。你可以在此对话框中管理 Wireshark 中的所有着色规则。

   

3. 在 Wireshark Coloring Rules Default 对话框中，你将看到现有着色规则的列表。每条规则都有特定的条件和对应的颜色。这些规则会按照它们在列表中出现的顺序应用于捕获的数据包。花点时间浏览一下这些规则并阅读它们的描述。理解这些规则将让你了解 Wireshark 如何帮助你更有效地分析网络流量。

   

4. 你可能希望在不删除规则的情况下暂时关闭或开启某条规则。你可以通过在列表中选中该规则并点击其旁边的 checkbox 来实现。如果复选框被勾选，则规则启用；如果未勾选，则规则禁用。当你想要测试特定规则对数据包着色的影响时，这非常有用。

5. 现在，假设你想要保存当前的着色规则集以供日后使用或与他人共享。要导出这些规则，请点击 Wireshark Coloring Rules Default 对话框中的 Export... 按钮。

6. 点击 Export... 按钮后，会出现一个文件对话框。你需要选择一个位置来保存着色规则文件。导航到 /home/labex/project 目录。建议给文件起一个描述性的名称，例如 colorizing_rules.txt，这样你以后可以轻松识别它。

   

   

7. 选择好位置并命名文件后，点击 OK 关闭 Wireshark Coloring Rules Default 对话框。现在你已经成功导出了着色规则。

创建新的着色规则

在这一步中，我们将学习如何在 Wireshark 中创建新的着色规则。着色规则是一项强大的功能，允许你高亮显示特定的网络流量，从而更容易发现和分析重要的数据包。通过创建自定义规则，你可以快速识别你最关心的网络流量类型。

1. 首先，打开 Wireshark Coloring Rules Default 对话框。在 Wireshark 中，前往 View > Coloring Rules...。你可以在此对话框中管理所有的着色规则，包括创建、编辑和删除它们。

2. 要创建新的着色规则，请点击 + 按钮。此操作会将一个空白规则条目添加到现有规则列表中。

   

3. 添加新规则后，Coloring Rules 对话框顶部会出现一个名为 New coloring rule 的新条目。双击该条目以编辑规则名称。例如，如果你想高亮显示 HTTP 流量，可以将规则命名为 HTTP Traffic。在 Filter 字段中，你需要输入过滤表达式。该表达式告诉 Wireshark 哪些数据包应被此规则高亮显示。对于 HTTP 流量，你可以输入 http。

   

4. 现在，让我们谈谈着色选项。这里有两个重要的按钮：foreground（前景）和 background（背景）按钮。

   foreground 按钮用于选择高亮显示匹配规则的数据包文本时所使用的颜色。例如，如果你希望 HTTP 数据包的文本显示为红色，可以使用此按钮选择红色。

   

   background 按钮允许你选择高亮显示数据包的背景颜色。你可以利用它让数据包更加醒目。例如，你可以将背景颜色设置为黄色。

   

5. 你还可以选择调整规则的优先级。Wireshark 中的规则是根据它们在列表中的顺序来应用的。高优先级规则优先于低优先级规则。要更改优先级，只需在列表中 拖动 规则向上或向下即可。

6. 设置好规则后，你需要启用它。点击规则旁边的 checkbox 以启用刚创建的着色规则。然后，点击 OK 保存新规则。这将把该规则应用到你的数据包捕获中。

   

7. 当你在 Wireshark 中打开捕获文件或开始实时捕获时，你应该能看到符合过滤表达式的网络数据包以你为该规则选择的颜色显示。这使得识别和分析你感兴趣的特定流量变得容易得多。

提示：如果你想生成一些 HTTP 流量来测试你的规则，可以启动浏览器。点击左下角的 Applications 按钮，选择 Run Program... 并输入 Firefox。

修改现有着色规则

在这一步中，你将学习如何修改 Wireshark 中的现有着色规则。Wireshark 中的着色规则用于根据特定条件高亮显示网络数据包，这有助于你快速识别和分析不同类型的流量。通过修改这些规则，你可以自定义数据包的显示方式，从而更轻松地专注于网络安全分析所需的信息。

1. 首先，打开 Wireshark。在 Wireshark 中，前往窗口顶部的 View 菜单。然后，从下拉菜单中选择 Coloring Rules...。此操作将打开 Wireshark Coloring Rules Default 对话框。你可以在此对话框中管理 Wireshark 中的所有着色规则。

2. 在 Wireshark Coloring Rules Default 对话框中，你将看到现有着色规则的列表。每条规则都有一个名称、一个过滤表达式以及与之关联的颜色。从列表中选择你想要修改的着色规则。你可以点击该规则将其选中。

3. 选中要修改的规则后，有两种主要方式进行更改。你可以 双击 该规则。执行此操作后，会打开一个新窗口，你可以在其中修改规则名称、决定应用规则的过滤表达式，以及用于高亮显示匹配数据包的颜色。此外，你还可以更改规则的优先级。优先级决定了当多个规则匹配同一个数据包时，哪条规则优先。你可以通过在列表中 拖动 规则向上或向下更改优先级。列表中位置越靠上的规则，优先级越高。

4. 现在，让我们对规则进行一些具体的更改。你需要根据需要修改规则名称和过滤表达式。例如，将规则名称从 HTTP Traffic 改为 Web Traffic。这个新名称更准确地反映了我们感兴趣的流量类型。同时，将过滤表达式从 http 改为 http and tcp.port == 80。原始过滤器 http 会高亮显示所有 HTTP 流量，但通过添加 tcp.port == 80，我们专门针对端口 80 上的 HTTP 流量，这是未加密 Web 流量的标准端口。

   规则名称：HTTP Traffic -> Web Traffic 过滤表达式：http -> http and tcp.port == 80

   

5. 对规则进行所有想要的更改后，点击对话框中的 OK 按钮。这将保存修改后的规则，Wireshark 将开始使用新设置来高亮显示数据包。

6. 要查看修改后规则的效果，你可以在 Wireshark 中打开现有的捕获文件或开始实时捕获。一旦数据包开始显示，你应该能看到符合修改后规则的网络数据包以更新后的颜色或根据新的过滤表达式显示。这样，你就可以轻松发现你感兴趣的端口 80 上的特定 Web 流量。

导入着色规则

在这一步中，我们将学习如何将着色规则导入 Wireshark。Wireshark 中的着色规则是一项强大的功能，可以通过为不同类型的网络流量分配不同的颜色来帮助你快速识别它们。这使得分析和理解你捕获的数据变得更加容易。

1. 首先，打开 Wireshark。打开后，你需要访问着色规则设置。为此，请前往 Wireshark 窗口顶部的 View 菜单。从下拉菜单中选择 Coloring Rules...。这将打开 Wireshark Coloring Rules Default 对话框。你可以在此对话框中管理 Wireshark 中的所有着色规则。

2. 现在 Wireshark Coloring Rules Default 对话框已打开，你将看到几个按钮。要导入着色规则，请找到并点击 Import... 按钮。此按钮允许你从外部文件引入预定义的着色规则。

   

3. 点击 Import... 按钮后，会出现一个名为 Wireshark Import Coloring Rules 的新对话框。在此对话框中，你需要找到包含要导入的着色规则的文件。导航到 /home/labex/project 目录。这是你之前导出的 colorizing_rules.txt 文件存储的位置。进入正确的目录后，选择 colorizing_rules.txt 文件。

   

4. 选中 colorizing_rules.txt 文件后，点击 Open 按钮。这会将着色规则加载到 Wireshark Coloring Rules Default 对话框中。

5. 在关闭对话框之前，点击主 Wireshark Coloring Rules Default 窗口底部的 OK 按钮。此最终确认会将导入的规则保存到 Wireshark 的配置文件中，以便导入的 ARP 规则保持可用以供验证。

6. 点击 OK 后，如果你想确认导入情况，请重新打开 View > Coloring Rules...。滚动到列表底部，你应该能看到新导入的着色规则。这表明导入已成功保存，你现在可以使用这些规则在 Wireshark 中对网络流量进行颜色编码。

总结

在本实验中，你学习了如何在 Wireshark 中创建、修改、导入和导出着色规则。通过使用这些规则，你可以根据特定条件直观地分辨不同类型的网络流量，从而简化了网络活动的识别和分析。这项技能在网络安全调查、网络故障排查和协议分析中非常有用。

通过动手练习，你获得了管理规则集的实践经验。掌握这些技术可以增强你的网络分析工作流程，并提高你快速发现和优先处理感兴趣的网络流量模式的能力。