如何使用Wireshark自定义捕获列表

简述

Wireshark 是一款强大的网络协议分析工具，它不仅可以捕获网络流量，还能帮助用户深入分析和解读各种网络协议。为了让数据包分析更加高效，Wireshark 提供了自定义捕获列表的功能，使用户能够根据个人需求定制和优化界面布局，显示关键信息。

在本文中，我们将介绍如何自定义 Wireshark 的捕获列表，并推荐一些在网络分析中非常有用的字段，帮助你提升捕获和分析效率。

1. 自定义 Wireshark 捕获列表

Wireshark 捕获列表是你在实时捕获过程中看到的网络数据包的概览。为了便于分析，你可以自定义捕获列表，选择显示哪些字段，以及如何排列这些字段。自定义捕获列表不仅能让你快速浏览和筛选感兴趣的网络流量，还能节省分析时间。

1.1 打开列设置界面

1. 启动 Wireshark，进入 首选项 窗口。
2. 在菜单栏选择 Edit > Preferences（编辑 > 首选项），或按下快捷键 Ctrl + Shift + P 打开首选项。
3. 在左侧菜单中找到 Appearance > Columns（外观 > 列），点击进入列设置界面。

1.2 配置捕获列表的列

在列设置界面中，你可以看到 Wireshark 默认展示的列。这里有一些常见的列和你可以定制的选项：

No.（包编号）：显示数据包的编号，可以帮助你快速跟踪捕获的数据包。
Time（时间）：显示数据包捕获的时间，通常以相对时间或绝对时间的格式显示。此列有助于分析网络延迟或寻找特定的时间点。
Source（源地址）：显示数据包的源 IP 地址或主机名。对于网络故障排除来说，这一列非常关键，帮助你确定数据包的来源。
Destination（目标地址）：显示数据包的目标 IP 地址或主机名。与源地址列配合，能够帮助你理解数据流向。
Protocol（协议）：显示数据包的协议类型，如 TCP、UDP、ICMP、HTTP 等。协议列是网络分析的核心，可以帮助你快速识别数据包的类型。
Length（长度）：显示数据包的大小，通常以字节为单位。这一列有助于你了解流量的规模，判断数据传输的量。
Info（信息）：显示数据包的简要描述，通常包含协议的关键字段，如 HTTP 请求的路径、DNS 查询的域名等。

1.3 如何自定义列

1. 在 Columns 设置窗口中，你可以选择已存在的列进行编辑，或点击 “+”（添加新列）来添加一个新的列。
2. 对于每个列，你可以配置以下内容：
Column Title（列标题）：为每列设置一个标题，以便在捕获过程中快速识别。
Field Type（字段类型）：选择要显示的字段类型。例如，你可以选择显示 IP 地址、协议、端口号、TCP 标志等。
Format（格式）：你可以选择如何显示数据，例如以十进制、十六进制等格式显示。

通过这些设置，你可以根据自己的需求来定制数据包列表，显示关键信息，使得网络流量分析更加高效。

例如：我需要新增一列，来展示每条数据包之间的时间差值。标题名为Delta，类型为Delta Time（已有的选项），将新增列拖到时间列之下，如图所示：

1.4 保存自定义列设置

Wireshark 允许你保存自定义的列设置，并在以后的使用中复用。你可以选择将设置保存在当前会话中，或将其保存为默认设置，以便下次启动 Wireshark 时自动加载。

例如：上次新增了时间差，加载数据包文件后：

新增了一列时间差的展示，就不需要我们额外计算了。

2. 展示有用的字段

Wireshark 提供了丰富的协议解析功能，你可以根据不同的需求展示多个有用的字段。以下是一些在网络分析中非常实用的字段，展示这些字段可以帮助你更高效地进行流量分析。

2.1 MAC 地址

Source MAC 和 Destination MAC：这两个字段显示数据包的源和目标 MAC 地址，尤其在局域网环境中非常重要，有助于追踪数据包的物理传输路径。

新增设置：

Hw src/dest addr (unresolved) 类型表示的是 原始MAC地址，不需要展示MAC地址解析后的名称。

捕获列表：

2.2 端口号

Source Port 和 Destination Port：这些字段显示源端口和目标端口，是 TCP 和 UDP 流量分析中最常用的字段。它们可以帮助你确定特定应用程序（如 HTTP、DNS、FTP）使用的端口。

2.3 TCP 标志

TCP Flags：显示 TCP 数据包中的控制标志（如 SYN、ACK、FIN）。这些标志对于分析 TCP 握手、连接的建立和关闭非常重要。

例如：新增TCP-SYN标志的展示。

捕获列表：

2.4 HTTP 请求信息

HTTP Host：显示 HTTP 请求头中的主机名，对于分析 Web 流量时非常有用。
HTTP Method：显示 HTTP 请求的方法类型（如 GET、POST、PUT）。该字段有助于你快速了解 Web 流量的性质。
HTTP URI：显示 HTTP 请求中的 URI（Uniform Resource Identifier，统一资源标识符），即请求的路径信息。通过这个字段，你可以分析 HTTP 请求访问的具体资源。

2.5 DNS 查询信息

DNS Query Name：显示 DNS 查询请求的域名。这是分析 DNS 流量时的关键字段，能够帮助你分析域名解析的过程。
DNS Response Name：显示 DNS 响应中的域名解析结果。如果你正在排查 DNS 问题，这个字段非常有用。

2.6 ICMP 信息

ICMP Type 和 ICMP Code：这两个字段显示 ICMP 数据包的类型和代码。在进行网络诊断时，尤其是排查 ping 或 traceroute 流量时，ICMP 的类型和代码字段尤为重要。

2.7 TCP 重传和重复确认

TCP Retransmission：显示 TCP 重传的数据包。在高丢包率的网络中，TCP 重传的频率较高，查看此字段有助于检测网络性能问题。
TCP Dup ACK：显示 TCP 重复确认包，有助于分析网络拥塞或丢包的情况。

总结

通过自定义捕获列表和展示有用的字段，Wireshark 提供了灵活的方式来定制你的网络流量分析界面。这些自定义设置能够帮助你快速获取所需的信息，提升分析的准确性和效率。在实际使用中，你可以根据需求选择合适的字段来展示，并使用过滤器来聚焦于特定的网络流量，进一步提高分析的深度和广度。

掌握这些技巧后，你将能够在复杂的网络环境中更加高效地使用 Wireshark，解决各种网络故障和安全问题。