介绍
在本挑战中,你将学习如何自定义 Wireshark 的列显示,以便快速识别潜在威胁。具体而言,你将配置 Wireshark 在「数据包列表面板」(Packet List Pane)中添加一个「Source IP」列,用于显示 ip.src 字段,从而在应对潜在的 HTTP 攻击时能够立即进行威胁评估。
整个过程包括:打开 Wireshark,通过右键点击列标题进入「列首选项」(Column Preferences),添加一个标题为「Source IP」、字段名为 ip.src 的新列,并验证该新列是否正确显示了捕获数据包的源 IP 地址。这将帮助你快速锁定攻击者的 IP 地址。
自定义 Wireshark 列显示
一台关键服务器正遭受潜在的 HTTP 攻击。请快速配置 Wireshark 以显示源 IP,从而立即进行威胁评估。
任务
- 在「数据包列表面板」中添加一个显示
ip.src字段的「Source IP」列。 - 隐藏原始的「Source」列。
要求
- 打开 Wireshark。
- 在「数据包列表面板」中右键点击任何现有的列标题。
- 选择
Column Preferences。 - 添加一个新列,标题(Title)设为
Source IP,字段名称(Field name)设为ip.src。 - 隐藏原始的「Source」列。
- 确保新列能够正确显示捕获数据包的源 IP 地址。
示例
完成挑战后,Wireshark 的「数据包列表面板」应显示一个名为「Source IP」的新列,其中展示了数据包来源的 IP 地址。例如:
| No. | Time | Source IP | Destination | Protocol | Length | Info |
|---|---|---|---|---|---|---|
| 1 | 0.000000 | 192.168.1.100 | 8.8.8.8 | DNS | 78 | Standard query A google.com |
| 2 | 0.001000 | 8.8.8.8 | 192.168.1.100 | DNS | 94 | Standard query response A 142.250.184.142 |
提示
- 右键点击列标题即可进入列首选项设置。
- 在「列首选项」窗口中,使用「+」按钮添加新列。
- 「字段类型」(Field type)应设置为「Custom」。
- 「字段名称」(Field name)区分大小写。
总结
在本挑战中,目标是通过自定义 Wireshark 的列显示来快速展示源 IP 地址,从而辅助识别潜在的 HTTP 攻击。这涉及打开 Wireshark、通过右键点击列标题进入「列首选项」,以及添加一个标题为「Source IP」、字段名为 ip.src 的新列。
核心学习点在于如何定制 Wireshark 界面以显示特定的数据包信息。在本例中,源 IP 地址的显示对于威胁评估至关重要。这种自定义功能允许你直接在「数据包列表面板」中突出显示关键数据,从而实现对网络流量的高效分析。
