探索和自定义 Wireshark 界面

介绍

在这个实验（Lab）中，你将学习 Wireshark 的界面及其组成部分，这对于网络流量分析和故障排除至关重要。你将探索 Wireshark GUI 的不同部分，了解它们的功能，并获得自定义界面的实践经验。

在本实验（Lab）结束时，你将熟悉 Wireshark 的基本布局，并为开始分析网络流量做好充分的准备。

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/installation("Installation and Setup") wireshark/WiresharkGroup -.-> wireshark/interface("Interface Overview") wireshark/WiresharkGroup -.-> wireshark/packet_capture("Packet Capture") wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") wireshark/WiresharkGroup -.-> wireshark/packet_analysis("Packet Analysis") wireshark/WiresharkGroup -.-> wireshark/commandline_usage("Command Line Usage") subgraph Lab Skills wireshark/installation -.-> lab-415949{{"探索和自定义 Wireshark 界面"}} wireshark/interface -.-> lab-415949{{"探索和自定义 Wireshark 界面"}} wireshark/packet_capture -.-> lab-415949{{"探索和自定义 Wireshark 界面"}} wireshark/display_filters -.-> lab-415949{{"探索和自定义 Wireshark 界面"}} wireshark/packet_analysis -.-> lab-415949{{"探索和自定义 Wireshark 界面"}} wireshark/commandline_usage -.-> lab-415949{{"探索和自定义 Wireshark 界面"}} end

启动 Wireshark

在这一步中，我们将启动 Wireshark，让你熟悉它的初始界面。Wireshark 是网络分析领域中一个非常有用的工具。它是一个强大的网络协议分析器，这意味着它可以捕获和检查流经你网络的数据流量。这对于了解网络上不同设备如何通信、检测潜在的安全威胁以及排除网络问题至关重要。

从终端启动 Wireshark

首先，我们将学习如何使用终端启动 Wireshark。终端是一个基于文本的界面，允许你通过键入命令与计算机进行交互。

确保你位于你的 LabEx 虚拟机（VM）的桌面环境中。虚拟机（VM）就像在你实际计算机内部运行的独立计算机，而桌面环境是你可以看到图标和窗口的图形界面。
打开一个终端。你可以通过两种方式做到这一点。你可以单击任务栏中的终端图标，该图标通常位于屏幕的底部或顶部。或者，你可以使用键盘快捷键：同时按下 Ctrl+Alt+T。
终端打开后，你需要键入一个命令来启动 Wireshark。在终端中，键入以下命令，然后按 Enter 键：

wireshark

此命令告诉计算机启动 Wireshark 程序。

按下 Enter 键后，你需要等待几秒钟才能启动 Wireshark。准备就绪后，你应该在屏幕上看到 Wireshark 的主窗口，如下所示：

了解初始屏幕

首次打开 Wireshark 时，屏幕上有几个重要的元素你应该注意。

有一个欢迎屏幕，提供有关 Wireshark 的一些基本信息。这可以让你大致了解该工具的功能。
你会看到一个可用网络接口的列表。网络接口就像你的计算机连接到网络的门。你可以选择其中一个接口来捕获进出你的计算机的流量。
可能有一个最近捕获文件的列表。如果你以前使用过 Wireshark 并保存了一些捕获文件，你可以在此处打开它们以查看先前捕获的网络流量。
还有显示过滤器（display filter）和捕获过滤器（capture filter）的输入字段。过滤器用于专注于特定类型的网络流量。例如，你可以使用过滤器仅显示来自特定 IP 地址的流量。

花点时间看看这个初始屏幕。这是你通常选择网络接口以开始捕获流量或打开先前保存的捕获文件的起点。

识别界面的主要区域

即使在你开始捕获网络流量之前，你也可以识别 Wireshark 界面的主要区域。这些区域很重要，因为它们为有效使用 Wireshark 提供了不同的功能和控件。

在窗口的最顶部，是菜单栏（Menu Bar）。它包含诸如 File（文件）、Edit（编辑）、View（视图）等选项。你可以使用这些选项来执行各种操作，例如保存捕获文件、更改视图设置或编辑首选项。
在菜单栏下方，是工具栏（Toolbar）。它具有用于常见操作的按钮。例如，可能有一个按钮可以启动或停止捕获，或者快速保存文件。
**过滤器栏（Filter Bar）**是你可以在其中输入显示过滤器的地方。如前所述，过滤器可帮助你专注于特定类型的流量。你可以在此处键入过滤器表达式，以仅显示符合你条件的流量。
主要内容区域当前显示欢迎屏幕。稍后，当你开始捕获时，此区域将显示捕获的网络流量。

在下一步中，我们将更详细地探讨这些组件。

探索 Wireshark 界面

在这一步中，我们将详细了解 Wireshark 界面的不同部分。Wireshark 是一个强大的网络流量分析工具，理解其组成部分对于有效地检查网络数据至关重要。通过熟悉这些元素，你将能够更好地分析网络流量并排除问题。

启动一个示例捕获

为了更容易地探索 Wireshark 界面，我们将首先捕获一些示例网络流量。你可以这样做：

打开 Wireshark 主窗口。在此窗口中，你将看到一个网络接口列表。这些接口就像你的计算机连接到不同网络的门。例如，eth0 可能是你的以太网网络连接，而 lo 是环回接口（loopback interface）。环回接口是一种特殊的网络接口，允许计算机与自身通信。

在列表中找到名为 lo 的接口，然后单击它。当你单击 lo 时，Wireshark 将开始捕获通过本地环回接口的所有网络流量。这是一个很好的开始方式，因为它是一个简单且受控的环境。
几秒钟后，查看 Wireshark 工具栏。你将看到一个红色方块图标，它是**停止（Stop）**按钮。单击它以停止流量捕获。

停止捕获后，你应该在 Wireshark 窗口中看到一个捕获的数据包列表。这些数据包将帮助我们探索 Wireshark 界面的不同组件。

主要界面组件

Wireshark 界面分为几个重要的区域。每个区域都有特定的功能，并提供有关捕获的网络流量的不同类型的信息。

在 Wireshark 窗口的最顶部，你会找到菜单栏。菜单栏包含各种菜单，每个菜单都有一组相关的命令。以下是每个菜单的功能：

File（文件）：此菜单用于基本的文件操作。你可以使用它来打开现有的捕获文件、保存当前的捕获或以不同的格式导出捕获的数据。
Edit（编辑）：Edit（编辑）菜单包含用于从捕获的数据包中复制数据、在数据包中查找特定信息以及设置 Wireshark 行为方式的个人首选项的命令。
View（视图）：此菜单允许你控制数据包和界面元素的显示方式。你可以更改 Wireshark 窗口的布局、字体大小和其他视觉方面。
Capture（捕获）：Capture（捕获）菜单提供用于启动、停止和配置流量捕获过程的选项。你可以设置过滤器、选择要从中捕获的网络接口等等。
Analyze（分析）：此菜单包含用于深入分析数据包数据的工具。你可以使用这些工具来查找模式、检测异常情况以及了解网络流量的行为。
Statistics（统计）：Statistics（统计）菜单提供各种统计工具。这些工具可以帮助你了解捕获的流量的总体特征，例如发送和接收的数据包数量、协议的分布等等。
Telephony（电话）：如果你正在使用 VoIP（Voice over Internet Protocol，网络电话）或其他与电话相关的网络流量，则 Telephony（电话）菜单具有专门为这些类型的协议设计的分析工具。
Wireless（无线）：对于无线网络分析，Wireless（无线）菜单提供的工具专门针对无线网络的独特特性，例如信号强度、信道使用情况等等。
Help（帮助）：Help（帮助）菜单包含文档和帮助资源。如果你遇到困难或需要更多关于如何使用 Wireshark 中特定功能的信息，你可以在这里找到答案。

工具栏位于菜单栏下方。它提供对 Wireshark 中一些最常用功能的快速访问。

当你将鼠标移动到工具栏上时，你将看到一个带有按钮名称的工具提示。

以下是工具栏上每组按钮的功能：

Start/Stop Capture（开始/停止捕获）：这些按钮允许你轻松启动和停止流量捕获过程，而无需通过 Capture（捕获）菜单。
Open/Save（打开/保存）：Open（打开）和 Save（保存）按钮是 File（文件）菜单中文件操作的快捷方式。你可以使用它们快速打开现有捕获文件或保存当前捕获。
Zoom (+/-)（缩放 (+/-)）：Zoom（缩放）工具允许你放大和缩小数据包视图。当你想要仔细查看特定数据包或一次查看更多数据包时，这非常有用。
Go To（转到）：Go To（转到）按钮用于导航。你可以使用它们在捕获的列表中的不同数据包之间快速移动。
Colorize（着色）：Colorize（着色）控件允许你更改数据包列表中数据包的颜色。着色可以帮助你根据数据包的特征快速识别不同类型的数据包。

3. 数据包列表窗格（Packet List Pane）

数据包列表窗格是 Wireshark 界面中最重要的部分之一。它显示所有捕获的数据包的列表，以及有关每个数据包的一些重要摘要信息。以下是数据包列表窗格中每列的含义：

No.（编号）：这是捕获中的数据包编号。它是一个序列号，可帮助你跟踪捕获数据包的顺序。
Time（时间）：Time（时间）列显示捕获数据包的时间戳。这对于了解网络事件的发生时间非常有用。
Source（源）：Source（源）列显示发送数据包的设备的 IP 地址。这有助于你识别网络流量的来源。
Destination（目标）：Destination（目标）列显示数据包的目标设备的 IP 地址。它告诉你网络流量的去向。
Protocol（协议）：Protocol（协议）列指示数据包中检测到的最高层协议。例如，它可以是 TCP（Transmission Control Protocol，传输控制协议）、UDP（User Datagram Protocol，用户数据报协议）或 HTTP（Hypertext Transfer Protocol，超文本传输协议）。
Length（长度）：Length（长度）列显示数据包的长度（以字节为单位）。这可以让你了解正在传输的数据的大小。
Info（信息）：Info（信息）列提供数据包内容的摘要。它让你快速了解数据包正在做什么，例如对网页的请求或来自服务器的响应。

要查看有关特定数据包的更多详细信息，请在数据包列表窗格中单击它。执行此操作时，Wireshark 界面中的其他窗格将更新以显示有关所选数据包的详细信息。

4. 数据包详细信息窗格（Packet Details Pane）

数据包详细信息窗格以分层格式显示有关所选数据包的详细信息。当你单击数据包列表窗格中的数据包时，此窗格将显示有关该数据包的所有信息，并按协议层进行分解。

数据包分为不同的协议层，例如 Frame（帧）层、Ethernet（以太网）层、IP 层、TCP 层等等。每一层代表网络通信过程的不同部分。
在每一层旁边，都有一个箭头。你可以单击此箭头以展开或折叠该层。当你展开一层时，你将看到该层中的所有字段和值，这些字段和值提供有关数据包的特定信息。

尝试单击不同协议层旁边的箭头，以查看如何深入了解数据包的特定详细信息。这是了解网络协议如何工作以及数据如何在网络上传输的好方法。

5. 数据包字节窗格（Packet Bytes Pane）

数据包字节窗格以十六进制和 ASCII 格式显示所选数据包的原始字节。此窗格为你提供数据包数据的低级视图。

数据包字节窗格中的左列显示偏移量（offset），即数据包中每个字节的位置。
中间的列显示字节的十六进制值。十六进制是一种计算机科学中常用的编号系统，用于以更易于人类阅读的方式表示二进制数据。
右列显示字节的 ASCII 表示形式。ASCII 是一种字符编码标准，可将二进制数据映射到字符。

当你选择数据包详细信息窗格中的特定字段时，数据包字节窗格中相应的字节将突出显示。这有助于你了解数据包详细信息窗格中的高级协议信息与数据包字节窗格中的原始二进制数据之间的关系。

调整窗格大小

你可以调整 Wireshark 界面中每个窗格的大小，以专注于对你的分析最重要的信息。你可以这样做：

将光标移动到两个窗格之间的分隔线上。执行此操作时，光标将变为调整大小的光标，看起来像一个双头箭头。这表示你现在可以调整窗格的大小。
单击并按住鼠标按钮，然后拖动分隔线以根据你的偏好调整窗格的大小。你可以使一个窗格更大，另一个窗格更小。
例如，如果你想一次查看更多数据包，你可以使数据包列表窗格更大。如果你想查看有关数据包的更多详细信息而不必滚动，你可以使数据包详细信息窗格更大。
你也可以双击分隔线。执行此操作时，Wireshark 将自动将窗格调整为默认或最佳大小。

调整窗格大小的功能非常有用，尤其是在你分析具有大量数据包或详细协议信息的复杂网络捕获时。它允许你自定义 Wireshark 界面以满足你的特定分析需求。

自定义 Wireshark 界面

在这一步中，我们将探索如何自定义 Wireshark 界面。自定义界面至关重要，因为它允许你根据个人喜好定制 Wireshark，从而提高你的网络分析任务的效率。Wireshark 提供了广泛的自定义选项，可以极大地增强你的工作流程。

自定义布局

Wireshark 提供了不同的布局选项，这些选项决定了主窗格的排列方式。这些窗格至关重要，因为它们显示了捕获的网络数据的不同方面。

首先，找到 Wireshark 窗口顶部的菜单栏。单击 Edit（编辑），然后从下拉菜单中选择 Preferences（首选项）。这将打开“Preferences（首选项）”窗口，你可以在其中进行各种配置更改。
在“Preferences（首选项）”窗口中，查看左侧边栏。导航到 Appearance（外观），然后单击 Layout（布局）。在这里，你将找到与界面布局相关的设置。
你有几个布局选项可供选择：
- Packet List, Packet Details, and Packet Bytes in one column (default)（数据包列表、数据包详细信息和数据包字节在一列中（默认））：这是默认布局，其中所有重要信息都堆叠在一列中。
- Packet List on top, Packet Details and Packet Bytes in one column below（数据包列表在顶部，数据包详细信息和数据包字节在下面的一列中）：在此布局中，数据包列表位于顶部，其他两个窗格位于其下方的一列中。
- Packet List on top, Packet Details and Packet Bytes side by side below（数据包列表在顶部，数据包详细信息和数据包字节在下面并排）：在这里，数据包列表位于顶部，数据包详细信息和数据包字节窗格在其下方并排排列。
- Custom layout（自定义布局）：此选项允许你根据你的特定需求在网格中排列窗格。
尝试选择不同的布局，例如“Packet List on top, Packet Details and Packet Bytes side by side below（数据包列表在顶部，数据包详细信息和数据包字节在下面并排）”。根据你的分析要求，这可以让你更好地查看数据。
选择布局后，单击 OK（确定） 以应用更改。
观察界面布局如何变化。不同的布局可能更适合不同的分析任务或屏幕尺寸。例如，如果你有一个大屏幕，则并排布局可能更方便进行详细分析。

自定义数据包列表中的列

数据包列表窗格显示捕获的数据包的列表。你可以修改此窗格中显示的列，以显示与你的分析最相关的信息。

右键单击数据包列表窗格中的任何列标题。将出现一个上下文菜单，其中包含多个选项。
从上下文菜单中，选择 Column Preferences（列首选项）。这将打开一个窗口，你可以在其中管理数据包列表窗格中的列。
在打开的“Preferences（首选项）”窗口中：
- 要添加新列：单击 + 按钮。将出现一个下拉菜单，你可以在其中选择列类型。选择类型后，为新列提供标题。
- 要删除列：从列表中选择要删除的列，然后单击 - 按钮。
- 要重新排序列：选择一列，然后使用向上/向下箭头按钮将其在列表中向上或向下移动。
- 要修改列：双击该列。这将允许你编辑其属性，例如标题或它显示的字段。
让我们尝试添加一个新列：
- 单击 + 按钮。
- 对于“Field type（字段类型）”，选择“Custom（自定义）”。这使你可以灵活地选择要显示的特定字段。
- 对于“Field name（字段名称）”，输入“ip.src”。这将显示数据包的源 IP 地址。
- 对于“Title（标题）”，输入“Source IP（源 IP）”。这将是新列的标题。
- 单击 OK（确定） 以确认设置。
在“Preferences（首选项）”窗口中单击 OK（确定） 以应用你的更改。
你现在应该在数据包列表窗格中看到你的新列。此新列将帮助你快速识别捕获的数据包的源 IP 地址。

配置颜色规则

Wireshark 使用颜色来帮助你快速识别不同类型的流量。通过自定义这些颜色规则，你可以更轻松地区分各种数据包类型。

从菜单栏中，选择 View（视图），然后单击 Coloring Rules（着色规则）。这将打开“Coloring Rules（着色规则）”窗口。
在“Coloring Rules（着色规则）”窗口中，你将看到现有颜色规则的列表。每个规则都有三个主要组成部分：
- A name（名称）：这是规则的标签，使其易于识别。
- A display filter（显示过滤器）：这确定规则适用于哪些数据包。例如，可以将过滤器设置为仅匹配特定协议的数据包。
- Foreground and background colors（前景色和背景色）：这些是用于突出显示匹配数据包的颜色。
要添加新的颜色规则：
- 单击 + 按钮。
- 输入规则的名称，例如“ICMP Packets（ICMP 数据包）”。这将帮助你以后轻松识别该规则。
- 输入显示过滤器，例如“icmp”。此过滤器将确保该规则仅适用于 ICMP 数据包。
- 单击前景色和背景色按钮以选择要用于突出显示这些数据包的颜色。
- 单击 OK（确定） 以保存新规则。
要更改规则的优先级，请选择一个规则，然后使用向上/向下按钮。顶部的规则比下面的规则具有更高的优先级。这意味着如果一个数据包匹配多个规则，则将应用优先级最高的规则。
单击 OK（确定） 以应用你的更改。
观察与你的过滤器匹配的数据包现在如何以你选择的颜色显示。这使得在捕获的数据中快速发现特定类型的流量变得更加容易。

保存你的配置文件

在你根据自己的喜好自定义 Wireshark 后，你可以将你的配置保存为配置文件（profile）。配置文件很有用，因为它们允许你根据你正在处理的网络分析任务的类型在不同的界面配置之间快速切换。

从菜单栏中，选择 Edit（编辑），然后单击 Configuration Profiles（配置配置文件）。这将打开“Configuration Profiles（配置配置文件）”窗口。
在“Configuration Profiles（配置配置文件）”窗口中，单击 + 以创建新的配置文件。
输入配置文件的名称，例如“My Custom Profile（我的自定义配置文件）”。此名称将帮助你以后轻松识别该配置文件。然后单击 OK（确定）。
你的当前配置设置现在已保存到此配置文件。这意味着无论何时你选择此配置文件，Wireshark 都会加载你已自定义的设置。
你可以通过转到 Edit（编辑） > Configuration Profiles（配置配置文件） 并从列表中选择一个配置文件来在不同的配置文件之间切换。例如，你可能有一个用于常规浏览的配置文件，另一个用于详细的协议分析。

恢复默认设置

如果你想返回到默认的 Wireshark 设置，可能是因为你做了太多的更改并且想要重新开始，你可以轻松地做到这一点。

从菜单栏中，选择 Edit（编辑），然后单击 Preferences（首选项）。这将打开“Preferences（首选项）”窗口。
在“Preferences（首选项）”窗口的底部，单击 Reset（重置） 按钮。这将提示一条确认消息。
单击 OK（确定） 以确认。这将将所有首选项重置为其默认值，从而删除你所做的任何自定义。

总结

在这个实验中，你学习了 Wireshark 界面及其组件，这对于网络流量分析和故障排除至关重要。你探索了启动 Wireshark 的过程，熟悉了它的五个主要组件，并学习了如何启动基本捕获并生成流量以进行分析。

你还掌握了导航捕获的数据包、自定义界面和创建配置配置文件的方法。这些技能为高级网络分析奠定了坚实的基础。随着你在网络安全和网络管理方面的进步，你使用和自定义 Wireshark 的能力对于故障排除、事件分析和理解网络协议将是宝贵的。