自定义 Wireshark 列显示

介绍

在这个挑战（Challenge）中，你将学习自定义 Wireshark 列显示，以便快速识别潜在威胁。具体来说，你将配置 Wireshark 以在“数据包列表窗格（Packet List Pane）”中添加一个“源 IP（Source IP）”列，显示 ip.src 字段，以便在潜在的 HTTP 攻击期间立即进行威胁评估。

该过程包括打开 Wireshark，通过右键单击列标题来访问“列首选项（Column Preferences）”，添加一个名为“源 IP（Source IP）”的新列，其字段名称为 ip.src，并验证新列是否正确显示捕获的数据包的源 IP 地址。这可以快速识别攻击 IP 地址。

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") subgraph Lab Skills wireshark/display_filters -.-> lab-548785{{"自定义 Wireshark 列显示"}} end

自定义 Wireshark 列显示

一台关键服务器正遭受潜在的 HTTP 攻击。快速配置 Wireshark 以显示源 IP，以便立即进行威胁评估。

任务

在“数据包列表窗格（Packet List Pane）”中添加一个“源 IP（Source IP）”列，显示 ip.src 字段。
隐藏原始的“源（Source）”列。

要求

打开 Wireshark。
右键单击“数据包列表窗格（Packet List Pane）”中的任何现有列标题。
选择 Column Preferences（列首选项）。
添加一个新列，标题为 Source IP（源 IP），字段名称为 ip.src。
隐藏原始的“源（Source）”列。
确保新列显示捕获的数据包的源 IP 地址。

示例

完成挑战（Challenge）后，Wireshark“数据包列表窗格（Packet List Pane）”应显示一个标记为“源 IP（Source IP）”的新列，显示数据包的来源 IP 地址。例如：

No.	Time	Source IP	Destination	Protocol	Length	Info
1	0.000000	192.168.1.100	8.8.8.8	DNS	78	Standard query A google.com
2	0.001000	8.8.8.8	192.168.1.100	DNS	94	Standard query response A 142.250.184.142

提示

右键单击列标题可以访问列首选项。
在“列首选项（Column Preferences）”窗口中，使用“+”按钮添加新列。
“字段类型（Field type）”应设置为“自定义（Custom）”。
“字段名称（Field name）”区分大小写。

✨ 查看解决方案并练习

总结

在这个挑战（Challenge）中，目标是自定义 Wireshark 列显示，通过快速显示源 IP 地址来帮助识别潜在的 HTTP 攻击。这包括打开 Wireshark，通过右键单击列标题来访问“列首选项（Column Preferences）”，并添加一个名为“源 IP（Source IP）”的新列，其字段名称为 ip.src。

关键的学习点是如何自定义 Wireshark 的界面以显示特定的数据包信息，在本例中是源 IP 地址，这对于威胁评估至关重要。这种自定义允许通过直接在“数据包列表窗格（Packet List Pane）”中突出显示相关数据来有效分析网络流量。