本节书摘来自异步社区《精通Wireshark》一书中的第2章2.6节总结,作者【印度】Charit Mishra(夏里特 米什拉),更多章节内容可以访问云栖社区“异步社区”公众号查看。
2.6 总结
在有些情况下,搜索工具十分好用,用户可以在Wireshark的Edit菜单中打开搜索工具。搜索工具为用户提供了很多搜索数据包内容的向量。
用户可以通过过滤流量的方式,来把注意力放在那些自己真正感兴趣的数据包上;过滤器的类型有两种:显示过滤器和抓包过滤器。
显示过滤器会把数据包隐藏起来,一旦用户清除了自己配置的过滤器表达式,所有隐藏的信息都会再次出现。但抓包过滤器会丢弃那些不满足(用户所定义的)表达式的数据包。Wireshark不会将这些丢弃的数据包转交给抓包引擎。
抓包过滤器使用了BPF语法,这种语法是行业标准,很多协议分析软件使用的都是这种语法。
在使用一种特定的表达式来过滤某一类流量时,用颜色标记流量的做法可以发挥重要的作用。给不同的流量标记不同的颜色可以让用户更容易区分不同类型的数据包,因为匹配规则的数据包在软件界面中会以一种不同的颜色显示出来。
配置文件类似于用户定义的不同软件使用环境,配置文件可以节省网络管理员的时间,减轻管理员的工作。对配置文件进行修改包括对配置文件中不同元素进行修改,如显示过滤器/抓包过滤器和色彩/协议/时间的优先顺序。
Wireshark的配置文件和许多设置参数都很容易导出,因此Wireshark这款软件的移植性是很强的。
在下一章中,我们会介绍如何使用Wireshark的一些高级特性,如图表和统计数据可选项。
