Wireshark中怎么排除網絡故障

這期內容當中小編將會給大家帶來有關Wireshark中怎么排除網絡故障，文章內容豐富且以專業的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

配置用戶界面及全局、協議參數

通過Edit菜單中的Preferences菜單項以及Preferences窗口中的Protocol配置選項，不但能控制Wireshark軟件的顯示界面，而且還能改變該軟件對常規協議數據包的抓取和呈現方式。本節將介紹如何在Preferences窗口的Protocol配置界面中配置最常見的協議。

2.1　準備工作

點擊Edit菜單中的Preferences菜單項，Preferences窗口會立刻彈出，如圖2.1所示。

圖2.1

由圖2.1可知，在Preferences窗口中，只要選擇了窗口左邊的配置選項，窗口的右邊便會出現相應的配置參數。

2.2　配置方法

本節會介紹如何配置Preferences窗口中的Appearance(外觀)配置選項，以及如何針對最常用的協議，配置Preferences窗口中的Protocol選項。Preferences窗口所含其余配置選項的配置方法請見本書后面的相關章節。

注意

由于本書旨在向讀者傳授Wireshark的使用訣竅，以及如何嫻熟地將其作為排障工具來使用，因此不可能細述Wireshark的所有功能。Wireshark的簡單功能請參閱其官網的用戶手冊，作者會重點講解可以提高用戶使用嫻熟度的重要和特殊的功能。

先把目光放在Preferences窗口所含配置選項的設置上，看看這些配置選項能否對用戶有所幫助。

1.常規的外觀設置

圖2.2所示為Wireshark Preferences窗口的Appearance(外觀)配置選項，可以對該選項的內容進行配置，來提高使用體驗。

圖2.2

Preferences窗口的Appearance配置選項可供配置的內容有：

• 顯示過濾器和***抓包文件的緩沖區的大小;

• 用戶界面的語言(以后的版本將支持更多國家的語言);

• 主工具條的顯示風格——圖標、文本或圖標加文本。

2.抓包主窗口的布局設置

在Preferences窗口的Appearance(外觀)配置選項中，有一個Layout子配置選項，用來設置數據包列表(Packet  List)、數據包結構(Packet Details)和數據包內容(Packet  Bytes)區域在Wireshark抓包主窗口里的呈現方式，如圖2.3所示。

圖2.3

在圖2.3所示的Preferences窗口中，可通過選擇區域(Pane)的排列樣式，來設置上述3個區域在Wireshark抓包主窗口中的呈現方式。

3.調整及添加數據包屬性列

在Preferences窗口的Appearance(外觀)配置選項中，有一個Columns子配置選項，用來添加或刪除抓包主窗口的數據包列表區域里的數據包屬性列(欄)。在默認情況下，出現在抓包主窗口的數據包列表區域里的數據包屬性列有No.(編號)、Time(抓取時間)、Source(源地址)、Destination(目的地址)、Protocol(協議類型)、Length(長度)以及Info(信息)，如圖2.4所示。

要給數據包列表區域添加一個新列，可通過以下兩個途徑。

• 點擊圖2.4中的“+”號按鈕，先在Type一欄里選擇預定義的參數(比如，IP DSCP value、src port和dest  port等)作為新的屬性列，再在Title一欄里給它起個名字，***單擊OK按鈕。

• 點擊圖2.4中的“+”號按鈕，先在Type一欄里選擇Custom(定制)，再在Fields  Name一欄里輸入可在顯示過濾器中露面的任一參數，然后在Title一欄里給它起個名字，***點擊OK按鈕。下面舉幾個以定制方式在抓包主窗口中添加的數據包屬性列的例子。

• 要想在抓包主窗口中新增一列，以便觀看TCP數據包的TCP窗口大小，需在Fields  Name一欄內輸入顯示過濾器參數tcp.window_size。

• 要想在抓包主窗口中新增一列，以便觀看每個IP數據包包頭中的TTL字段值，需在Fields Name一欄內輸入顯示過濾器參數ip.ttl。

• 要想在抓包主窗口中新增一列，以便觀看每個RTP數據包中marker位置1的實例，需在Fields  Name一欄內輸入顯示過濾器參數rtp.marker。

圖2.4

注意

還有一種添加新的數據包屬性列的辦法，那就是在抓包主窗口的數據包結構區域里選擇數據包的某個字段，單擊鼠標右鍵，在彈出的菜單中點擊Apply as  Column菜單項。這么一點，那個字段就會成為數據包列表區域里新的數據包屬性列。

在分析網絡故障時，酌情以定制方式添加數據包屬性列，可加快定位故障的原因。與此有關的內容本書后文再敘。

4.設置字體和配色

在Preferences窗口的Appearance(外觀)配置選項中，有一個Font and  Colors子配置選項，用來更改字體大小、形狀及顏色。可按圖2.5所示來修改抓包主窗口的字體。

圖2.5

注意

若不知如何將抓包主窗口的字體恢復為默認設置，請按圖2.5所示將Font選為Consolas，將Size選為11.0，將Font  style選為Normal。

5.抓包設置

可通過Preferences窗口中的Capture設置選項，將主機或筆記本電腦的常用網卡設置為Wireshark默認抓包網卡。

在圖2.6中，作者將自己筆記本電腦上名為Wireless Network Connection  2的無線網卡設置為Wireshark默認抓包網卡。Capture設置選項的其余配置參數保持原樣。

圖2.6

6.配置顯示過濾表達式***項

可通過Preferences窗口中的Filter Expressions設置選項，來定義出現在抓包主窗口的顯示過濾器工具條右邊的顯示過濾器表達式。

要定義這樣的顯示過濾器表達式，請按以下步驟行事。

1.在Preferences窗口中點擊Filter Expressions設置選項，如圖2.7所示。

圖2.7

2.點擊“+”號按鈕，先在Filter Expression一欄里輸入顯示過濾器表達式，再在Button  Label一欄里為它起個名字，***點擊OK按鈕。

3.點擊OK按鈕之后，之前輸入的顯示過濾器表達式將會以按鈕的形式，出現在顯示過濾器工具條的右側。

4.由圖2.8可知，圖2.7中定義的那兩個名為TCP-Z-WIN和TCP-RETR的濾器表達式以按鈕的形式，出現在了抓包主窗口的顯示過濾器工具條的右側。

圖2.8

注意

如本章***一節所述，在Wireshark中，可為每個模板分別配置不同的顯示過濾器***項。這樣一來，就可以配置出各種模板，分別用來排除TCP、IP電話(IPT)等各種故障，或分別用來診斷各種網絡協議故障。

如第4章所述，在Filter Expressions設置選項中，應按照Wireshark顯示過濾器的格式來配置顯示過濾表達式。

7.調整名稱解析

Wireshark支持以下3個層級的名稱解析。

• 第二層(L2)

：Wireshark可把數據包的MAC地址的前半部分解析并顯示為網卡芯片制造商的名稱或ID。比方說，可把一個MAC地址的前3個字節14:da:e9解析并顯示為AsusTeckC(ASUSTeK  Computer Inc，華碩計算機公司)。

• 第三層(L3)

：Wireshark可把數據包的IP地址解析并顯示為DNS名稱。比方說，可把157.166.226.46這一IP地址，解析并顯示為CNN網站的Edition頁面。

• 第四層(L4)

：Wireshark可把TCP/UDP端口號解析并顯示為應用程序(服務)名稱。比方說，可把TCP 80端口解析并顯示為HTTP，把UDP  53端口解析并顯示為DNS。

圖2.9所示為在Preferences窗口中點擊過左側的Name Resolution配置選項之后，在窗口右側出現的配置內容。

圖2.9

在圖2.9所示的Preferences窗口中，可從上到下配置下述內容。

• 第2層、第3層和第4層名稱解析。

• 執行名稱解析的方法(通過DNS和/或hosts文件)，以及并發的DNS請求數量的上限(旨在確保Wireshark軟件的運行速度不受影響)。

• 簡單網絡管理協議(SNMP)的對象標識符、ID以及是否要將它們轉換為對象名稱。

• GeoIP以及是否啟用它。有關詳細信息，請參閱本書第10章[4]。

注意

對一個TCP/UDP數據包的源、目端口號而言，只有把目的端口號轉換為應用程序名稱才有意義。源端口號一般都是隨機生成(高于1024)，將其轉換為應用程序名稱沒有任何意義。

• Wireshark會默認解析第2層MAC地址和第4層TCP/UDP端口號，并按名稱來顯示。解析IP地址會拖慢Wireshark的運行速度，因為這會讓Wireshark軟件本身額外執行大量的DNS查詢，所以在開啟該功能之前應謹慎考慮。

8.調整Protocol配置選項里的IPv4配置參數

借助于Preferences窗口中的Protocols配置選項，可調整Wireshark對相關協議流量的抓取和呈現方式。點擊配置選項Protocols左邊的箭頭，會出現多種協議配置子選項。圖2.10所示為選擇IPv4或IPv6協議配置子選項時，出現在Preferences窗口右側的配置參數。

圖2.10

下面是對IPv4配置子選項名下的某些配置參數的解釋。

• Decode IPv4 TOS field as DiffServ field

：制定IPv4協議標準之初，為了能在IPv4網絡中保證服務質量，在IPv4包頭中設立了一個叫做服務類型(ToS)的字段。后來，IETF又制定了一套IPv4服務質量的新標準(區分服務，DiffServ)，打的也是IPv4包頭中原ToS字段的主意，只是對其中各個位的置位方式有了新的定義。若未勾選該復選框，Wireshark便會按老的IPv4服務質量標準，來解析所抓IPv4數據包包頭中的ToS字段。

• Enable GeoIP lookups

：  GeoIP是一個數據庫，Wireshark可根據該數據庫里的內容來呈現(其所抓數據包IP包頭中源和目的)IP地址所歸屬的地理位置。若勾選該復選框，Wireshark便會針對所抓IPv4和IPv6數據包的IP地址來呈現其所歸屬的地理位置。該子選項功能涉及名稱解析，一旦開啟，會拖慢Wireshark實時抓包速率。第10章會介紹如何配置GeoIP。

9.調整Protocol配置選項里的TCP和UDP配置參數

UDP是一種非常簡單的協議，與Wireshark版本1相比，Wireshark版本2的Protocols配置選項里的UDP協議配置子選項幾乎沒有變化，可供配置的參數也不多，一般無需調整;而TCP協議則很是復雜，Protocols配置選項里TCP協議配置子選項中可供配置的參數較多，如圖2.11所示。

圖2.11

調整TCP協議配置子選項名下的參數，其實也就是調整Wireshark對TCP報文段的解析方式，以下是對其中某些參數的解釋。

• Validate the TCP checksum if possible

：Wireshark有時會抓到超多校驗和錯誤(checksum errors)的數據包，這要歸因于在抓包主機的網卡上開啟的TCP Checksum  offloading(TCP校驗和下放)功能。該功能一開，便會導致Wireshark將抓到的本機生成的數據包顯示為checksum  errors(具體原因后文再表)。因此，若Wireshark抓到了超多校驗和錯誤的數據包，則有必要先取消勾選該復選框，再去驗證是否真的存在校驗和問題。

• Analyze TCP sequence numbers

：要讓Wireshark對TCP數據包做詳盡分析，就必須勾選該復選框，因為TCP sequence  numbers(TCP序列號)是TCP最重要的特性之一。

• Relative sequence numbers

：主機在建立TCP連接時，會隨機選擇一個序列號，并將其值存入相互交換的***個報文段的TCP頭部的序列號字段。只要勾選了該復選框，Wireshark就會把一股TCP數據流中***個TCP報文段的(TCP頭部的)序列號字段值顯示為0，后續TCP報文段的序列號字段值將依次遞增，從而隱藏了真實的序列號字段值。在大多數情況下，都應該讓Wireshark顯示TCP報文段的相對序列號(relative  number)，以方便網管人員查看。

• Calculate conversation timestamps

：該復選框一經勾選，在抓包主窗口的數據包結構區域中，只要是TCP數據包，就會在transmission control  protocol樹下多出一個timestamps結構，點擊其前面的箭頭，就能看到Wireshark記錄的該TCP數據包在本股TCP數據流中的時間烙印(timestamp)。讓Wireshark顯示每個TCP數據包的時間烙印，將有助于排查時間敏感型TCP應用程序的故障。

2.2.3　幕后原理

通過修改Preferences窗口中Protocols選項下相關協議子配置選項的參數，便能開啟或禁用Wireshark軟件對相應協議流量的某些分析功能。需要注意的是，為了保證Wireshark軟件的運行速度，應盡量禁用不必要的分析功能

對TOS和DiffServ的介紹，詳見本書第10章。

SNMP是一種用來行使網絡管理功能的協議。SNMP對象標識符(OID)的作用是標識對象及其在管理信息庫(MIB)中的位置。所謂對象，既可以是一個計數器，對流入接口的數據包進行計數;也可以是路由器接口的IP地址、設備的名稱及安裝位置、CPU負載或任何其他可呈現或可測量的實體。

SNMP  MIB按樹形結構來構建，如圖2.12所示。頂層MIB對象ID分屬不同的標準組織。每家網絡廠商都會為自己的網絡產品定義私有分枝(包括受管理的對象)。

圖2.12

Wireshark在解析SNMP MIB時，不但會顯示對象ID，還會顯示其名稱，這有助于排障人員識別受監控的數據。

3　抓包文件的導入和導出

將抓包文件分享給其他的運維團隊或設備廠商的支持人員，以期查明網絡故障的根本原因是常有的事兒。這樣的抓包文件會包含很多數據包，而排障人員感興趣的或許僅限于若干數據流或部分數據包。Wireshark不但支持將所抓數據有選擇地導出至新的文件，甚至還能修改其格式，以便傳輸。本節將探討Wireshark支持的各種抓包文件導入和導出功能。

3.1　準備工作

運行Wireshark軟件，點擊主工具條上的Capture按鈕，開始抓包(或打開一個已保存的抓包文件)。

3.2　配置方法

在Wireshark主抓包窗口內，既可以把抓來的所有數據都保存進一個文件，也能以不同的格式或文件類型導出自己所需要的數據。

現在來講解如何執行這些操作。

1.完整或部分導出抓包文件

既能把抓來的所有數據包(或抓包文件中的所有數據包)完整保存進一個文件，也能以各種文件格式和文件類型導出特定的數據。

要把抓來的所有數據包完整保存進一個文件(或將現有的抓包文件完整另存為一個新的文件)，請按以下步驟行事。

• 點擊File菜單里的Save菜單項(或按Ctrl+S鍵)，在彈出窗口的“文件名”輸入欄內輸入有待保存的抓包文件的名稱。

• 點擊File菜單里的Save as菜單項(或按Shift +Ctrl +S鍵)，在彈出窗口的“文件名”輸入欄內輸入有待保存的抓包文件的新名稱。

若要保存抓包文件(或已抓數據包)中的部分數據(比如，經過顯示過濾器過濾的數據)，請按以下步驟行事。

• 點擊File菜單里的Export Specified Packets菜單項，Export Specified  Packets窗口會立刻彈出，如圖2.13所示。

圖2.13

可在Export Specified Packets窗口的左下角區域，點擊相應的單選按鈕，來選擇文件的導出方式。

• 要把抓包文件中的所有數據包或所有已抓數據包作為一個文件導出，請同時選擇All packets和Captured單選按鈕，再點Save按鈕。

• 要把抓包文件(或已抓數據包)中經過顯示過濾器過濾的數據包作為一個文件導出，請同時選擇All  packets和Displayed單選按鈕，再點Save按鈕。

• 要把已選中的數據包(即在數據包列表區域中用鼠標點選的數據包)作為一個文件導出，請選擇Selected packets  only單選框，再點Save按鈕。

• 要把所有帶標記的數據包(給數據包打標的方法是，先在“數據包列表”區域選中一個數據包，然后點擊右鍵，在彈出的菜單中選擇Mark/unmark packet  菜單項)作為一個文件導出，請選擇Marked packets only單選按鈕，再點Save按鈕。

• 要把“數據包列表”區域中位列兩個帶標記的數據包之間的所有數據包作為一個文件導出，請選擇First to last  marked單選按鈕，再點Save按鈕。

• 要把抓包文件中編號(詳見“數據包列表”區域里的“No.”列)連續的那部分數據包作為一個文件導出，請選擇Range單選按鈕，并在其后的輸入欄內填寫數據包的編號范圍，再點Save按鈕。

• 導出抓包文件時，要是希望放棄其中的某些數據包，請先在“數據包列表”區域里選中那些數據包并單擊右鍵，在彈出的菜單中選擇Ignore/Unignore  packet tog菜單項;再然后，選擇Export Specified Packets窗口中的Remove ignored  packets復選框，再點Save按鈕。

• 要以壓縮的形式保存數據包，請先勾選Export Specified Packets窗口中的Compress with  gzip復選框，再點Save按鈕。

• 上述“存盤”操作既可以基于整個抓包文件中的所有數據包來進行，也可以基于抓包文件中經過顯示過濾器過濾的數據包來進行。

2.保存數據的格式選取

Wireshark支持將抓到的數據以不同的格式來保存，以便用各種其他工具做進一步的分析。

通過點擊File菜單的Export Packet Dissections菜單項里的各個子菜單項，可將抓包文件保存為以下格式。

• 純文本格式(*.txt)

：保存為純文本ASCII文件格式。

• PostScript(*.pst)

：保存為PostScript文件格式。

• 逗號分割值格式(Comma Separated Values)(*.csv)

：保存為逗號分割文件格式。這種格式的文件可為電子表格程序(比如，Microsoft Excel)所用。

• C語言數組格式(*.c)

：把數據包的內容以C語言數組的格式保存，便于導入C程序。

• PSML格式(*.psml)

：存為PSML文件格式。PSML是一種基于XML的文件格式，只能保存數據包的匯總信息。

• PDML格式(*.pdml)

：存為PDML文件格式。PSML也是一種基于XML的文件格式，但能保存數據包的詳細信息。

3.數據打印

要想打印數據，請點擊File菜單里的Print菜單項，Print窗口會立刻彈出，如圖2.14所示。

可在Print窗口中做如下選擇。

• 在窗口的右上角(1)，可選擇有待打印的數據包的具體內容。

• 勾選Summary line復選框，會打印出在數據包列表(Packet Summary)區域看到的數據包的內容。

• 勾選Details復選框，會打印出在數據包結構(Packet Details)區域看到的數據包的內容。

• 勾選Bytes復選框，會打印出在數據包內容(Packet Byte)區域看到的數據包的內容。

• 在窗口的左下區域，可選擇有待打印的數據包(操作方法類似于文件保存，這在上一節已經提到)。

圖2.14

3.3　幕后原理

Wireshark支持以文本格式或PostScript格式來打印數據(以后一種格式打印時，打印機應為PostScript感知的打印機)，同時支持將數據打印至一個文件。選妥了Print窗口中的各個選項，點擊Print按鈕之后，會彈出操作系統自帶的常規“打印”窗口，可在其中選擇具體的打印機來打印。

3.4　拾遺補缺

要查看Wireshark軟件存儲各種文件的系統文件夾，請點擊Help菜單中的About Wireshark菜單項，在彈出的About  Wireshark窗口中選擇Folders選項卡，如圖2.15所示。在About  Wireshark窗口中，可以看到Wireshark軟件存儲各種文件的實際文件夾，在窗口的最右邊，可以看到存儲在那些文件夾中的文件類型。

圖2.15

點擊Location下的鏈接，會進入存儲相應文件的文件夾。

4　調整數據包的配色規則

Wireshark會根據事先定義的配色規則，用不同的顏色來分門別類地顯示抓包文件中的數據。合理地定義配色規則，讓匹配不同協議的數據包以不同的顏色示人(或讓不同狀態下的同一種協議的數據包呈現出多種顏色)，能在排除網絡故障時幫上大忙。

Wireshark支持基于各種過濾條件來配置新的配色規則。這樣一來，就能夠針對不同的場景定制不同的配色方案，同時還能以不同的模板來保存。也就是說，網管人員可在解決TCP故障時啟用配色規則A，在解決SIP和IP語音故障時啟用配色規則B。

注意

可通過定義模板(profile)的方式，來保存針對Wireshark軟件自身的配置(比如，事先配置的配色規則和顯示過濾器等)。要如此行事，請點擊Edit菜單下的Configuration  Profiles菜單項。

4.1　準備工作

要定義配色規則，請按以下步驟行事。

1.選擇View菜單。

2.點擊中下部的Coloring Rules菜單項，Coloring Rules-Default窗口會立刻彈出，如圖2.16所示。

該窗口顯示的是Wireshark默認啟用的配色規則，包括TCP數據包、路由協議數據包以及匹配某些協議事件的數據包的配色規則。

圖2.16

4.2　操作方法

要調整配色規則，請按以下步驟行事。

• 要定義一條新的配色規則，請點擊“+”按鈕，如圖2.17所示。

圖2.17

• 在Name欄內填入本配色規則的名稱。比如，要想專為NTP協議數據包定制配色規則，那就在該輸入欄內填入NTP。

• 在Filter字段內填入顯示過濾表達式，指明本配色規則對哪些數據包生效。欲知更多與顯示過濾器有關的內容，請閱讀第4章。

• 點擊Foreground按鈕，為本配色規則選擇一款前景色。此款顏色將成為受本配色規則約束的數據包在抓包主窗口的數據包列表區域里的前景色。

• 點擊Background按鈕，為本配色規則選擇一款背景色。此款顏色將成為受本配色規則約束的數據包在抓包主窗口的數據包列表區域里的背景色。

• 要刪除一條配色規則，請點擊“−”按鈕(在“+”按鈕的右側)。

• 要修改現有的配色規則，請雙擊該配色規則。

• 點擊Import按鈕，可導入現成的配色方案;點擊Export按鈕，可導出當前的配色方案。

注意

Coloring  Rules窗口中配色規則的排放次序是有講究的。請務必確保配色規則的排放次序與配色方案的執行次序相匹配。比方說，作用于應用層協議數據包的配色規則應置于作用于TCP/UDP數據包的配色規則之前，只有如此，方能避免Wireshark為了應用層協議數據包而干擾TCP/UDP數據包的顏色。

4.3　幕后原理

Wireshark軟件中的許多操作都與顯示過濾器緊密關聯，定義配色規則也是如此，因為受配色規則約束的數據包都是經過預定義的顯示過濾器過濾的數據包。

4.4　進階閱讀

可從Wireshark官方網站下載到很多經典的Wireshark數據包配色方案，在Internet上也能搜到許多其他的配色方案示例。

要想使用某個配色規則文件，請先將那些文件下載至本機，再在Wireshark中選擇View菜單，單擊Coloring  Rules菜單項，在彈出的Coloring Rules-Default窗口中單擊Import按鈕，將文件導入。

5　配置時間參數

對時間顯示格式的調整，會在Wireshark抓包主窗口數據包列表區域的Time列(默認為左邊第2列)的內容里反映出來。在某些情況下，有必要讓Wireshark以多種時間格式來顯示數據包。比方說，在觀察隸屬同一連接的所有TCP數據包時，每個數據包的發送間隔時間是應該關注的重點;當所要觀察的數據包抓取自多個來源時，則最應關注每個數據包的確切抓取時間。

5.1　準備工作

要配置Wireshark抓包主窗口數據包列表區域中數據包的時間顯示格式，請進入View菜單，選擇Time Display  Format菜單項，其右邊會出現如圖2.18所示的子菜單。

圖2.18

5.2　配置方法

圖2.18所示的Time Display Format菜單項的上半部分子菜單包含以下子菜單項。

• Date and Time of Day

：當通過Wireshark抓包來幫助排除網絡故障，且故障發生的時間也是定位故障的重要依據時(比如，已獲悉了故障發生的精確時間，且還想知道相同時間網絡內發生的其他事件時)，就應該根據具體情況，選擇該子菜單項。

• Seconds Since 1970-01-01(自1970年1月1日以來的秒數)

：Epoch是指通用協調時間(格林威治標準時間的前稱)的1970年1月1日早晨0點。這也是UNIX系統問世的大致時間。

• Seconds Since Beginning of Capture(自開始抓包以來的秒數)

：此乃Wireshark默認選項。

• Seconds Since Previous Captured Packet(自抓到上一個數據包以來的秒數)

：這也是一個常用選項，此菜單項一經點選，數據包列表區域的Time列將顯示每個數據包的抓取時間差。當監控時間敏感型數據包(比如，TCP流量、實時視頻流量、VoIP語音流量)時，就應該點選該子菜單項，因為此類數據包的發送時間間隔對用戶體驗有至關重要的影響。

• Seconds Since Previous Displayed Packet

：在應用過顯示過濾器，讓Wireshark只顯示抓包文件中部分數據的情況下(比如，在只顯示隸屬于某條TCP流的所有數據包的情況下)，通常都應該點選該子菜單項。此時，網管人員更關心的應該是隸屬于某條TCP數據流的各個數據包之間的抓取時間差。

• UTC Date and Time of Day

：提供UTC時間。

Time Display Format菜單項的下半部分子菜單項涉及對時間精度的調整。只有對時間精度要求很高的情況下，才建議更改默認設置。

可使用Ctrl+Alt+任意數字鍵來調整上述時間格式選項。

5.3　幕后原理

為抓到的數據包留下時間烙印時，Wireshark依據的是操作系統的時間。在默認情況下，生效的是Seconds Since Beginning of  Capture子菜單項功能。

6　構建排障使用的配置模板

可定義Wireshark配置模板，來保存針對Wireshark軟件自身的各種配置(比如，外觀、預定義的配色規則、抓包及顯示過濾器等)。要如此行事，請進入Edit菜單，選擇Configuration  Profile菜單項。

Wireshark配置模板會保存下列信息。

• 對Edit菜單中Preferences菜單項包含的各配置選項的定義，包括：對Appearance和Protocols功能項的定義(比如，對Wireshark抓包主窗口的字體、屬性列的列寬的定義)。

• 抓***濾器。

• 顯示過濾器和顯示過濾器宏(詳見第4章)。

• 配色規則。

• 定制的HTTP、IMF和LDAP頭部(詳見第12章)。

• 用戶定義的解碼方式，比如，作為某種功能的解碼方式，用戶可利用該功能臨時性地改變Wireshark對特殊協議的解析方式。

所有配置模板文件都會保存在Wireshark軟件Personal Configuration目錄的 profiles目錄下。

6.1　準備工作

運行Wireshark軟件，點擊主工具條上的Capture按鈕，開始抓包(或打開一個已保存的抓包文件)。

6.2　操作方法

要打開現有的配置模板文件，請執行如下操作。

1.可點擊狀態欄***邊的Profile區域，選擇準備采用的現有配置模板，如圖2.19所示。

圖2.19

2.還可以進入Edit菜單，選擇Configuration Profiles菜單項，在Configuration  Profiles窗口中選擇準備采用的現有配置模板，如圖2.20所示。

圖2.20

要創建一個新的配置模板，可執行如下步驟。

1.右鍵單擊狀態欄***邊的Profile區域，在彈出的菜單中選擇New菜單項，或者在圖2.20所示的窗口中點擊“+”號按鈕。

2.新的配置模板創建之后，在profiles目錄下會創建一個新的目錄，如圖2.21所示。

圖2.21

3.由圖2.21可知，在新建的配置模板目錄下(本例為Wireless模板及Wireless目錄)，可以看到包含抓***濾器的cfilter文件、包含配色規則的colorfilters文件、保存HTTP字段配置的custom_http_header_fields文件，以及保存preference菜單項功能配置的preference文件。

6.3　幕后原理

創建新的模板時，Wireshark軟件會在profiles目錄下新建一個同名目錄。此后，在關閉Wireshark或加載另一個配置模板時，一個名為recent的文件會誕生在那個新的模板目錄內。該文件包含了常規的Wireshark窗口設置，包括可視工具欄、時間戳顯示、字體縮放級別和列寬等配置。若在創建了新的配置模板之后還創建了抓***濾器、顯示過濾器和配色規則，則在那個新的模板目錄內還會誕生別的文件(分別為cfilters、dfilters和colorfilters)。

6.4　拾遺補缺

如前所述，保存模板配置參數的文件都位于profiles目錄下。那么，自然可以在不同的配置模板之間轉移配置參數，比如，在默認的preference文件中，包含了以下與啟動窗口中的顯示過濾器工具條有關的配置參數[5]。

####### Filter Expressions ######## gui.filter_expressions.label: SIP gui.filter_expressions.enabled: FALSE gui.filter_expressions.expr: sip gui.filter_expressions.label: RTP gui.filter_expressions.enabled: FALSE gui.filter_expressions.expr: rtp

上述就是小編為大家分享的Wireshark中怎么排除網絡故障了，如果剛好有類似的疑惑，不妨參照上述分析進行理解。如果想知道更多相關知識，歡迎關注億速云行業資訊頻道。