该窗口显示端点捕捉的统计信息 图 8.3. \窗口
在该窗口中,每个支持的协议,都显示为一个选项卡。选项标签显示被捕捉端点数目(例如:\表示有5个ethenet 端点被捕捉到)。如果某个协议没有端点被捕捉到,选项标签显示为灰色(尽管可以查看选项卡对应的页面).
列表中每行显示单个端点的统计信息。
Name resolution 如果选中该选项,将会对指定的协议层进行名字解析(当前选中的Ethernet endpoint 页面是MAC层)。你可能注意到,第一行将前三个字节解析为\第二行地址被解析为IP地址(通过arp协议解析),第三行解析为广播地址(未解析时mac地址为:ff:ff:ff:ff:ff:ff),最后两行的MAC地址未被解析。
提示
该窗口可能会频繁那更新内容,在你进行实时捕捉之前打开了它(或者在这期间打开了它),也依然有用。
8.4.3. 特定协议的\窗口
Before the combined window described above was available, each of its pages were shown as separate windows. Even though the combined window is much more convenient to use, these separate windows are still available. The main reason is, they might process faster for very large capture files. However, as the functionality is exactly the same as in the combined window, they won't be discussed in detail here.
8.5. 会话/conversations
已经捕捉的会话统计
8.5.1. 什么是会话/conversation?
一个网络会话,指的是两个特定端点之间发生的通信。例如,一个IP会话是两个IP地址间的所有通信。
8.5.2. \会话\
除了列表内容之外,会话窗口和端点窗口基本一样,见第 8.4.2 节 “\窗口” 图 8.4. \对话框
8.5.3. 协议指定“Conversation List/会话列表”窗口
Before the combined window described above was available, each of its pages were shown as separate windows. Even though the combined window is much more convenient to use, these separate windows are still available. The main reason is, they might process faster for very large capture files. However, as the functionality is exactly the same as in the combined window, they won't be discussed in detail here.
8.6. \窗口
用户可配置的捕捉网络数据图形。 你可以设置五种不同颜色的图形 图 8.5. \窗口
用户可以对一下内容进行设置。 Graphs
? Graph 1-5: 开启
1-5图表(默认仅开启graph 1)
? Color: 图表的颜色(不可修改)
? Filter:指定显示过滤器(only the packets that pass this filter will be taken into account for that
graph)
? Style:图表样式(Line/Impulse/FBar)
X Axis
? Tick interval 设置
X轴的每格代表的时间(10/1/0.1/0.01/0.001 seconds))
? Pixels per tick 设置X轴每格占用像素 10/5/2/1 px
Y Axis
? Unit y
轴的单位(Packets/Tick, Bytes/Tick, Bits/Tick, Advanced...)
? Ssale Y轴单位的刻度(10,20,50,100,200,500,...)
XXX - describe the Advanced feature.
8.7. 服务相应时间
服务响应时间是发送请求到产生应答之间的时间间隔。响应时间在很多协议中可用。 服务相应时间统计,在以下协议中可用
? ? ? ? ? ? ?
DCE-RPC
Fibre Channel H.225 RAS LDAP MGCP ONC-RPC SMB
后面将会以DCE-RPC为例介绍响应时间。
注意
其他服务相应时间在Windows平台下都是相同的处理方法(或者仅仅轻微不同)
8.7.1. \窗口
DCE-RPC的服务相应时间是在请求发起到相应请求的时间间隔 图 8.6. \窗口
你可以设置显示过滤,减少用于统计的包的数量 图 8.7. The \窗口
Each row corresponds to a method of the interface selected (so the EPM interface in version 3 has 7 methods). For each method the number of calls, and the statistics of the SRT time is calculated.
8.8. 协议指定统计窗口
The protocol specific statistics windows display detailed information of specific protocols and might be described in a later version of this document. Some of these statistics are described at the http://wiki.wireshark.org/Statistics pages.
第 9 章 个性化Wireshark
写在前面
本章自9.6节起的内容在译者的0.99.5版Wireshark中都未曾见到对应的功能。
9.1. 说明
Wireshark默认行为通常可以很好地吻合你的习惯,当你十分熟悉Wireshark的时候,你可以对Wireshark进行个性化设置以更好地适合你的需要。在本章我们将介绍: 如何从命令启动Wireshark
? 如何将包列表色值化(以颜色区分不同的包) ? 如何控制包解析
? 如何使用多种多样的首选项设置
?
9.2. 从命令行启动Wireshark
Wireshark支持从命令行启动,同样也可以从大多数窗口管理软件启动。这节我们看看如何从命令行启动。 Wireshark支持丰富的命令行参数。要想看看都有那些参数,在命令行键入Wireshark -h就会显示帮助信息(以及其他相关的)。详细参数列表见例 9.1 “Wireshark帮助信息” 例 9.1. Wireshark帮助信息
Version 0.99.0
Copyright 1998-2006 Gerald Combs
Compiled with GTK+ 2.6.9, with GLib 2.6.6, with WinPcap (version unknown),
with libz 1.2.3, with libpcre 6.4, with Net-SNMP 5.2.2, with ADNS, with Lua 5.1.
Running with WinPcap version 3.1 (packet.dll version 3, 1, 0, 27), based on libpcap version 0.9[.x] on Windows XP Service Pack 2, build 2600.
wireshark [ -vh ] [ -DklLnpQS ] [ -a
[ -c
[ -g
[ -N
我们随后将对每个选项进行介绍
首先需要注意的是,Wireshark命令会启动Wireshark。不管怎样,你可以在启动时追加许多参数(如果你喜欢)。他们的作用如下(按字母顺序):
笔者注:按字母顺序是不是一个好主意?按任务顺序会不会更好点? -a
设置一个标准用来指定Wireshark什么时候停止捕捉文件。标准的格式为 test:value,test值为下面中的一个。 duration:value
当捕捉持续描述超过Value值,停止写入捕捉文件。 filesize:value
当捕捉文件大小达到Value值kilobytes(kilobytes表示1000bytes,而不是1024 bytes),停止写入捕捉文件。如果该选项和-b选项同时使用,Wireshark在达到指定文件大小时会停止写入当前捕捉文件,并切换到下一个文件。