1.6 定义配色规则
Wireshark网络分析实战
Wireshark会根据事先定义的配色规则,用不同的颜色来“分门别类”地显示抓包文件中的数据。合理的定义配色规则,让不同协议的数据包以不同的颜色示人(或让不同状态下的同一种协议的数据包呈现出多种颜色),能在排除网络故障时帮上大忙。
Wireshark支持基于各种过滤条件,来配置新的配色规则。这样一来,就能够针对不同的场景,定制不同的配色方案,同时还能以不同的模板来保存。也就是说,网管人员可在解决TCP故障时,启用配色规则A;解决SIP和IP语音故障时,启用配色规则B。
注意:
可以通过定义模板(profile)的方式,来保存针对Wireshark软件自身的配置(比如,事先配置的配色规则和显示过滤器等)。要如此行事,请点击EDIT菜单下的Configuration Profiles菜单项。
1.6.1 准备工作
要定义配色规则,请按以下步骤行事。
1.选择View菜单。
2.点击底部的Coloring Rules菜单项,Coloring Rules窗口会立刻弹出,如图1.20所示。
1.6.2 配置方法
现在,来看一下如何定义一条新的配色规则。
点击Coloring Rules窗口中的New按钮,Edit Color Filter窗口会立刻弹出,如图1.21所示。
新的配色规则就在此窗口内配置,请按以下步骤行事。
1.在Name输入栏内填入这条规则的名称。譬如,要想专为NTP协议数据包定制配色规则,那就在该输入栏内填入NTP。
2.在String字段内填入显示过滤表达式,指明本配色规则对哪些数据包生效。也可以点击Expression按钮,根据Wireshark预制的显示过滤参数来构造显示过滤表达式。欲知更多与显示过滤器和显示过滤表达式有关的内容,请阅读第3章。
3.点击Foreground Color按钮,为本配色规则选择一款前景色。此款颜色将成为受本配色规则约束的数据包在抓包主窗口的数据包列表区域里的前景色。
4.点击Background Color按钮,为本配色规则选择一款背景色。此款颜色将成为受本配色规则约束的数据包在抓包主窗口的数据包列表区域里的背景色。
5.要是想修改现有的配色规则,请点击Edit按钮。还可以点击Import按钮,导入现成的配色方案,或点击Export按钮导出当前的配色方案。
注意:
Coloring Rules窗口中配色规则的排放次序是有讲究的。请务必确保配色规则的排放次序与配色方案的执行次序相匹配。比方说,作用于应用层协议数据包的配色规则应置于作用于TCP/UDP数据包的配色规则之前,只有如此,方能避免Wireshark为应用层协议数据包干扰TCP/UDP数据包的颜色。
1.6.3 幕后原理
Wireshark软件中的许多操作都与显示过滤器紧密关联,定义配色规则也是如此,因为受配色规则“约束”的数据包都是经过预定义的显示过滤器过滤的数据包。
1.6.4 拾遗补缺
可从http://wiki.wireshark.org/ColoringRules下载到很多经典的Wireshark数据包配色方案,在Internet上也能搜到许多其他的配色方案示例。
本文仅用于学习和交流目的,不代表异步社区观点。非商业转载请注明作译者、出处,并保留本文的原始链接。