熟练使用Wireshark排除网络故障的方法(2)

发布时间：2019-04-24 12:20 所属栏目：20 来源：程序员书屋

导读：在Preferences窗口的Appearance(外观)配置选项中，有一个Font and Colors子配置选项，用来更改字体大� ⑿巫醇把丈？砂赐�2.5所示来修改抓包主窗口的字体。图2.5 注意若不知如何将抓包主窗口的字体恢复为默认设

在Preferences窗口的Appearance(外观)配置选项中，有一个Font and Colors子配置选项，用来更改字体大小、形状及颜色。可按图2.5所示来修改抓包主窗口的字体。

图2.5

注意

若不知如何将抓包主窗口的字体恢复为默认设置，请按图2.5所示将Font选为Consolas，将Size选为11.0，将Font style选为Normal。

5.抓包设置

可通过Preferences窗口中的Capture设置选项，将主机或笔记本电脑的常用网卡设置为Wireshark默认抓包网卡。

在图2.6中，作者将自己笔记本电脑上名为Wireless Network Connection 2的无线网卡设置为Wireshark默认抓包网卡。Capture设置选项的其余配置参数保持原样。

图2.6

6.配置显示过滤表达式首选项

可通过Preferences窗口中的Filter Expressions设置选项，来定义出现在抓包主窗口的显示过滤器工具条右边的显示过滤器表达式。

要定义这样的显示过滤器表达式，请按以下步骤行事。

1.在Preferences窗口中点击Filter Expressions设置选项，如图2.7所示。

图2.7

2.点击“+”号按钮，先在Filter Expression一栏里输入显示过滤器表达式，再在Button Label一栏里为它起个名字，最后点击OK按钮。

3.点击OK按钮之后，之前输入的显示过滤器表达式将会以按钮的形式，出现在显示过滤器工具条的右侧。

4.由图2.8可知，图2.7中定义的那两个名为TCP-Z-WIN和TCP-RETR的滤器表达式以按钮的形式，出现在了抓包主窗口的显示过滤器工具条的右侧。

图2.8

注意

如本章最后一节所述，在Wireshark中，可为每个模板分别配置不同的显示过滤器首选项。这样一来，就可以配置出各种模板，分别用来排除TCP、IP电话(IPT)等各种故障，或分别用来诊断各种网络协议故障。

如第4章所述，在Filter Expressions设置选项中，应按照Wireshark显示过滤器的格式来配置显示过滤表达式。

7.调整名称解析

Wireshark支持以下3个层级的名称解析。

第二层(L2)

：Wireshark可把数据包的MAC地址的前半部分解析并显示为网卡芯片制造商的名称或ID。比方说，可把一个MAC地址的前3个字节14:da:e9解析并显示为AsusTeckC(ASUSTeK Computer Inc，华硕计算机公司)。

第三层(L3)

：Wireshark可把数据包的IP地址解析并显示为DNS名称。比方说，可把157.166.226.46这一IP地址，解析并显示为CNN网站的Edition页面。

第四层(L4)

：Wireshark可把TCP/UDP端口号解析并显示为应用程序(服务)名称。比方说，可把TCP 80端口解析并显示为HTTP，把UDP 53端口解析并显示为DNS。

图2.9所示为在Preferences窗口中点击过左侧的Name Resolution配置选项之后，在窗口右侧出现的配置内容。

图2.9

在图2.9所示的Preferences窗口中，可从上到下配置下述内容。

第2层、第3层和第4层名称解析。
执行名称解析的方法(通过DNS和/或hosts文件)，以及并发的DNS请求数量的上限(旨在确保Wireshark软件的运行速度不受影响)。
简单网络管理协议(SNMP)的对象标识符、ID以及是否要将它们转换为对象名称。
GeoIP以及是否启用它。有关详细信息，请参阅本书第10章[4]。

注意

对一个TCP/UDP数据包的源、目端口号而言，只有把目的端口号转换为应用程序名称才有意义。源端口号一般都是随机生成(高于1024)，将其转换为应用程序名称没有任何意义。

Wireshark会默认解析第2层MAC地址和第4层TCP/UDP端口号，并按名称来显示。解析IP地址会拖慢Wireshark的运行速度，因为这会让Wireshark软件本身额外执行大量的DNS查询，所以在开启该功能之前应谨慎考虑。

8.调整Protocol配置选项里的IPv4配置参数

借助于Preferences窗口中的Protocols配置选项，可调整Wireshark对相关协议流量的抓取和呈现方式。点击配置选项Protocols左边的箭头，会出现多种协议配置子选项。图2.10所示为选择IPv4或IPv6协议配置子选项时，出现在Preferences窗口右侧的配置参数。

图2.10

下面是对IPv4配置子选项名下的某些配置参数的解释。

Decode IPv4 TOS field as DiffServ field

：制定IPv4协议标准之初，为了能在IPv4网络中保证服务质量，在IPv4包头中设立了一个叫做服务类型(ToS)的字段。后来，IETF又制定了一套IPv4服务质量的新标准(区分服务，DiffServ)，打的也是IPv4包头中原ToS字段的主意，只是对其中各个位的置位方式有了新的定义。若未勾选该复选框，Wireshark便会按老的IPv4服务质量标准，来解析所抓IPv4数据包包头中的ToS字段。

Enable GeoIP lookups

（编辑：ASP站长网）