在这个实验中,你将学习如何在强大的网络协议分析器 Wireshark 中创建和应用着色规则。这些规则能让你根据特定标准直观地区分各种类型的网络流量,便于识别和分析你所关注的网络活动。
在本实验结束时,你将更好地掌握如何利用 Wireshark 的着色功能。这将提升你的网络分析技能,并有助于你的网络安全调查工作。
在这一步中,我们将首先探索 Wireshark 中现有的着色规则。Wireshark 中的着色规则用于根据特定标准突出显示不同类型的网络数据包。这有助于快速识别和分析捕获的网络流量中的重要信息。你还将学习如何查看这些规则并将其导出以供将来使用。
首先,你需要在你的 Linux 机器上打开 Wireshark。为此,请打开终端并运行以下命令。此命令将启动 Wireshark 应用程序,你将使用它来处理着色规则。
wiresharkWireshark 打开后,你需要访问着色规则。转到 Wireshark 窗口顶部的 View 菜单,然后选择 Coloring Rules...。这将打开 Wireshark Coloring Rules Default 对话框。在此对话框中,你可以管理 Wireshark 中的所有着色规则。
在 Wireshark Coloring Rules Default 对话框中,你将看到一个现有着色规则的列表。每个规则都有一个特定的条件和相应的颜色。这些规则按照它们在列表中出现的顺序应用于捕获的数据包。花点时间浏览这些规则并阅读它们的描述。了解这些规则将让你了解 Wireshark 如何帮助你更有效地分析网络流量。
你可能想在不删除特定规则的情况下暂时启用或禁用它。你可以通过在列表中选择该规则并点击旁边的 checkbox 来实现。如果复选框被选中,则该规则已启用;如果未选中,则该规则已禁用。当你想测试某个特定规则对数据包着色的影响时,这很有用。
现在,假设你想保存当前的着色规则集以供以后使用或与他人共享。要导出这些规则,请在 Wireshark Coloring Rules Default 对话框中点击 Export... 按钮。
点击 Export... 按钮后,将出现一个文件对话框。你需要选择一个位置来保存着色规则文件。导航到 /home/labex/project 目录。给文件起一个描述性的名称,如 colorizing_rules.txt,这是一个好习惯,这样你以后可以轻松识别它。
选择好位置并为文件命名后,点击 OK 关闭 Wireshark Coloring Rules Default 对话框。你现在已成功导出了着色规则。
在这一步中,我们将学习如何在 Wireshark 中创建新的着色规则。着色规则是一项强大的功能,它能让你突出显示特定的网络流量,便于发现和分析重要的数据包。通过创建自定义规则,你可以快速识别对你来说最重要的网络流量类型。
首先,打开 Wireshark Coloring Rules Default 对话框。在 Wireshark 中,转到 View > Coloring Rules...。在此对话框中,你可以管理所有的着色规则,包括创建、编辑和删除它们。
要创建新的着色规则,请点击 + 按钮。此操作会在现有的规则列表中添加一个空白的规则条目。
添加新规则后,一个名为 New coloring rule 的新条目将出现在着色规则对话框的顶部。双击此条目以编辑规则名称。例如,如果你想突出显示 HTTP 流量,可以将规则命名为 HTTP Traffic。在 Filter 字段中,你需要输入一个过滤表达式。该表达式告诉 Wireshark 哪些数据包应该被此规则突出显示。对于 HTTP 流量,你应输入 http。
现在,我们来谈谈着色选项。这里有两个重要的按钮:foreground 和 background 按钮。
foreground 按钮用于选择匹配规则的数据包文本的高亮显示颜色。例如,如果你希望 HTTP 数据包的文本为红色,可以使用此按钮选择红色。
background 按钮允许你为高亮显示的数据包选择背景颜色。你可以利用此功能让数据包更加突出。例如,你可以将背景颜色设置为黄色。
你可以选择调整规则的优先级。Wireshark 中的规则根据其在列表中的顺序应用。优先级较高的规则优先于优先级较低的规则。要更改优先级,只需在列表中 drag 规则向上或向下移动即可。
设置好规则后,你需要启用它。点击规则旁边的 checkbox 以启用新创建的着色规则。然后,点击 OK 保存新的着色规则。这将把规则应用到你的数据包捕获中。
当你在 Wireshark 中打开捕获文件或开始实时捕获时,你现在应该会看到与过滤表达式匹配的网络数据包以你为规则选择的颜色显示。这使得识别和分析你感兴趣的特定流量变得更加容易。
附言:如果你想生成一些 HTTP 流量来测试你的规则,可以启动浏览器。从左下角的 Applications 按钮中点击 Run Program... 并输入 Firefox。
在这一步中,你将学习如何在 Wireshark 中修改现有的着色规则。Wireshark 中的着色规则用于根据特定标准突出显示网络数据包,这有助于你快速识别和分析不同类型的流量。通过修改这些规则,你可以自定义数据包的显示方式,从而更轻松地关注网络安全分析所需的信息。
首先,打开 Wireshark。在 Wireshark 中,转到窗口顶部的 View 菜单。然后,从下拉菜单中选择 Coloring Rules...。此操作将打开 Wireshark Coloring Rules Default 对话框。在此对话框中,你可以管理 Wireshark 中的所有着色规则。
在 Wireshark Coloring Rules Default 对话框中,你将看到一个现有着色规则的列表。每个规则都有一个名称、一个过滤表达式以及与之关联的颜色。从该列表中选择你想要修改的着色规则。你可以点击规则将其高亮显示。
选择要修改的规则后,有两种主要的修改方式。你可以 double-click 该规则。这样做时,会打开一个新窗口,你可以在其中修改规则的名称、确定规则适用数据包的过滤表达式,以及用于突出显示匹配数据包的颜色。此外,你还可以更改规则的优先级。优先级决定了如果多个规则匹配单个数据包时,哪个规则优先应用。你可以通过在列表中 dragging 规则向上或向下移动来更改优先级。列表中位置较高的规则优先级更高。
现在,让我们对规则进行一些具体的修改。你需要根据需要修改规则的名称和过滤表达式。例如,将规则的名称从 HTTP Traffic 更改为 Web Traffic。这个新名称更准确地反映了我们感兴趣的流量类型。此外,将过滤表达式从 http 更改为 http and tcp.port == 80。原始的过滤表达式 http 会突出显示所有 HTTP 流量,但通过添加 tcp.port == 80,我们专门查找端口 80 上的 HTTP 流量,这是未加密 Web 流量的标准端口。
规则名称:HTTP Traffic -> Web Traffic
过滤表达式:http -> http and tcp.port == 80
对规则进行完所有想要的修改后,点击对话框中的 OK 按钮。这将保存修改后的规则,Wireshark 将开始使用新设置来突出显示数据包。
要查看修改后规则的效果,你可以在 Wireshark 中打开现有的捕获文件,或者开始实时捕获。一旦数据包开始显示,你应该会看到与修改后规则匹配的网络数据包以更新后的颜色显示,或者根据新的过滤表达式显示。这样,你就可以轻松地发现你感兴趣的端口 80 上的特定 Web 流量。
在这一步中,我们将学习如何将着色规则导入到 Wireshark 中。Wireshark 中的着色规则是一项强大的功能,它可以通过为不同类型的网络流量分配不同的颜色,帮助你快速识别它们。这使得分析和理解你捕获的数据变得更加容易。
首先,打开 Wireshark。打开后,你需要访问着色规则设置。为此,转到 Wireshark 窗口顶部的 View 菜单。从下拉菜单中选择 Coloring Rules...。这将打开 Wireshark Coloring Rules Default 对话框。在此对话框中,你可以管理 Wireshark 中的所有着色规则。
现在 Wireshark Coloring Rules Default 对话框已打开,你会看到几个按钮。要导入着色规则,请找到并点击 Import... 按钮。此按钮允许你从外部文件导入预定义的着色规则。
点击 Import... 按钮后,会出现一个名为 Wireshark Import Coloring Rules 的新对话框。在这个对话框中,你需要找到包含你要导入的着色规则的文件。导航到 /home/labex/project 目录。这是你之前导出的 colorizing_rules.txt 文件的存储位置。进入正确的目录后,选择 colorizing_rules.txt 文件。
选择 colorizing_rules.txt 文件后,点击 Open 按钮。此操作将把文件中的着色规则导入到 Wireshark 中。
导入完成后,在着色规则对话框中向下滚动鼠标滚轮。你现在应该会在列表底部看到新导入的着色规则。这表明导入成功,你现在可以使用这些规则在 Wireshark 中为网络流量进行颜色编码了。
在本次实验中,你学习了如何在 Wireshark 中创建、修改、导入和导出着色规则。通过使用这些规则,你可以根据特定标准直观地区分各种类型的网络流量,从而简化网络活动的识别和分析。这项技能在网络安全调查、网络故障排除和协议分析中非常有用。
通过实践练习,你获得了管理规则集的实际经验。掌握这些技术可以优化你的网络分析流程,提高你快速发现并确定感兴趣的网络流量模式优先级的能力。
