用好wireshark工具的各种技巧能够帮助网络维护者快速找到网络问题的种种蛛丝马迹,面对少则5MB 多则上GB的数据抓包如何一目了然找到细节,而不被遗漏?今天我们谈谈协议颜色的小技巧。
用过wireshark工具的同学都知道软件本身自带了一些通用协议的常见着色方案。比如用浅绿色代表HTTP协议,用蓝色常常代表了DNS这类协议。一旦有了颜色的分类,一些报文的出现频率和敏感度就很容易体现。你可以在茫茫报文中找到显而易见的颜色进行甄别。
无
无
那么着色规则在这个软件上是否可以修改自定义呢?我们找一找菜单栏中的“着色规则”
这里就包含了默认的规则方案。不过你可以添加你认为对你涉及领域帮助较大的,比如我经常涉及的领域包括无线802.11,我就为了分析方便把涉及无线相关的报文全都进行了协议分类并且颜色调整(对于颜色的喜好仁者见仁,不用千篇一律也没有好坏之分,方便自己能看清就可以。):
按照上述的规则,我可以在一份数据包中明确抓取一些和wifi协议相关的关键报文。这样查看起来会比缺省的白底黑字要效率一些。或许你有更好的颜色方案,你可以自己动手试试。顺便我分享一下常见的一些wifi协议相关报文的规律规则,通过WIFI协议RFC和wireshark工具的报文规律分析得来:
帧类型/子类型 | 过滤器语法 |
Management frame | wlan.fc.type eq 0 |
Control frame | wlan.fc.type eq 1 |
Data frame | wlan.fc.type eq 2 |
Association request | wlan.fc.type_subtype eq 0x00 |
Association response | wlan.fc.type_subtype eq 0x01 |
Reassociation request | wlan.fc.type_subtype eq 0x02 |
Reassociation response | wlan.fc.type_subtype eq 0x03 |
Probe request | wlan.fc.type_subtype eq 0x04 |
Probe response | wlan.fc.type_subtype eq 0x05 |
Beacon | wlan.fc.type_subtype eq 0x08 |
Disassociate | wlan.fc.type_subtype eq 0x0A |
帧类型/子类型 | 过滤器语法 |
Authentication | wlan.fc.type_subtype eq 0x0B |
Deauthentication | wlan.fc.type_subtype eq 0x0C |
Action frame | wlan.fc.type_subtype eq 0x0D |
Block ACK requests | wlan.fc.type_subtype eq 0x18 |
Block ACK | wlan.fc.type_subtype eq 0x19 |
Power save poll | wlan.fc.type_subtype eq 0x1A |
Request to send | wlan.fc.type_subtype eq 0x1B |
Clear to send | wlan.fc.type_subtype eq 0x1C |
ACK | wlan.fc.type_subtype eq 0x1D |
Contention free period end | wlan.fc.type_subtype eq 0x1E |
NULL data | wlan.fc.type_subtype eq 0x24 |
QoS data | wlan.fc.type_subtype eq 0x28 |
Null QoS data | wlan.fc.type_subtype eq 0x2C |
此外呢在着色方面还有一个对话着色的按钮,就在着色规则下方。它的作用就是能够将当前鼠标选中的报文的源目的IP相关的报文进行一个强制颜色分类。方便快速找到IP地址为索引的同类型交互报文。
实际动手操作一下,你会发现很轻松很简单。
积跬步行千里,希望每一次都有一点点小收获。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作