在我的专栏《wireshark从入门到精通》前面几篇已经提到的一些设置就不在本节重复说了,本节着重介绍一些到目前为止还没有提到的实用设置和使用技巧。
在统计->捕获文件属性可以查看文件总体概况描述,如图1:
图1
具体包括,文件大小,文件格式,捕获时间,持续时间,速率等等,如果你了解第二章所说的pcap文件格式,你应该知道这些信息是的来源。
在分析->启用的协议,可以按照需要启用或者禁用某一个协议,如图2:
图2
由于wireshark支持的协议众多,报文解析成一个具体的协议存在着优先级。如果解析的结果并不是想要的,一方面可以通过点击右键->解码为 重新设置想要的解析结果。另一方面将干扰的协议禁掉也是一种选择。例如QUIC协议虽然是由google率先推出的,但是QUIC纳入国际草案之后由特定的国际组织进行制定维护,经过不断的演进之后和google所维护的那个分支有着一定的差异,因此有的wireshark版本中存在quic和gquic两种协议的解析。如果想让一个报文解析成GQUIC,这个时候就可以吧QUIC给禁掉。
在分析的时候,如果一个报文的协议树很深,会出现图3的情况: