《Wireshark网络分析实战》—第1章1.8节 通过Edit菜单中的Preferences菜单项，来配置Wireshark主界面...

本节书摘来自异步社区《Wireshark网络分析实战》一书中的第1章1.8节 通过Edit菜单中的Preferences菜单项，来配置Wireshark主界面，作者【以色列】Yoram Orzach,更多章节内容可以访问云栖社区“异步社区”公众号查看。

1.8 通过Edit菜单中的Preferences菜单项，来配置Wireshark主界面
Wireshark网络分析实战
借助于Edit菜单中的Preferences菜单项，能控制Wireshark软件的主界面及软件自身的诸多参数，包括数据包的呈现方式、抓包文件的默认存盘位置，以及用来抓取数据包的网卡等。

本章将介绍Wireshark主界面及软件自身的常用参数的配置，熟知这些参数的配置，可帮助我们更好地应对不同的抓包场景。

1.8.1 配置准备
要配置Wireshark的用户界面（主界面），请点击Edit菜单中的Preferences菜单项，Preferences窗口会立刻弹出，如图1.25所示。

在本章接下来的内容中，会介绍Preferences窗口中以下参数的配置：

Columns（数据包属性列）；
Capture（抓包方式）；
Name Resolution（名字解析）。
1.8.2 配置方法
本节会介绍如何调整事关Wireshark软件自身的配置参数。

调整及添加数据包属性列
在默认情况下，显现在抓包主窗口的数据包列表区域里的数据包属性列有：No.（编号）、Time（抓取时间）、Source（源地址）、Destination（目的地址）、Protocol（协议类型）、Length（长度）以及Info（信息），可通过图1.26所示的Preferences窗口来调整出现在数据包列表区域里的数据包属性列。

要给数据包列表区域添加一新列，可通过以下两个途径。

1．从Preferences窗口下部的Field type下拉菜单栏里，选择预先定义好的属性列。这些预先定义好的属性列包括time delta、 IP DSCP value、src port和dest port等。

2．点击Add按钮，从Preferences窗口下部的Field type下拉菜单栏里，选择Custom菜单项，定制数据包属性列。此时，可在图1.26所示的Field name输入栏内输入可在显示过滤器中露面的任一参数，然后点击OK按钮，将这一新列添加至抓包主窗口。之后，在抓包主窗口选中该列，点击右键，选择右键菜单中的Edit Column Details菜单项，便可以为新添加的这一新列改名了。

下面举几个用Custom菜单项定制数据包属性列的例子。

1．要想在抓包主窗口中新增一列，以便观看TCP数据包的TCP窗口大小，需在Field name输入栏内输入显示过滤器参数tcp.window_size。

2．要想在抓包主窗口中新增一列，以便观看每个IP数据包包头中的TTL字段值，需在Field name输入栏内输入显示过滤器参数ip.ttl。

3．要想在抓包主窗口中新增一列，以便观看每个RTP数据包中marker位置1的实例，需在Field name输入栏内输入显示过滤器参数rtp.marker。

4．在分析网络故障时，酌情使用Custom菜单项定制数据包属性列，可加快定位故障的原因，与此有关的内容本书后文再叙。

调整跟执行抓包任务有关的配置
执行抓包任务之前，可调整涉及抓包的配置。为此，请在Preferences窗口中点击Capture选项，如图1.27所示。

要想更改默认用来抓取数据包的网卡，请点击Edit按钮，在弹出的Interface Option窗口中选择相应的网卡，再点OK按钮即可（重启Wireshark软件之后才能生效）。当然，这里更改的只是默认配置，可在每次重新开始抓包之前，更换用来接收数据包的网卡。

调整名字解析
Wireshark支持以下三个层级的名字解析（见图1.28）。

在第二层（L2）：Wireshark可把MAC地址的前半部分解析并显示为网卡芯片制造商的名称或ID。比方说，可把一个MAC地址的前三个字节14:da:e9解析并显示为AsusTeckC （ASUSTeK Computer Inc）。
在第三层（L3）：Wireshark可把IP地址解析并显示为DNS名称，比如可把157.166.226.46这一IP地址，解析并显示为www.edition.cnn.com。
在第四层（L4）：Wireshark可把TCP/UDP端口号解析并显示为应用程序（服务）名称，比如可把TCP 80端口解析并显示为HTTP，把UDP 53端口解析并显示为DNS。

注意：
在第四层，只有接收由客户端发起的会话建立请求的TCP/UDP目的端口号才有做名字解析的意义。客户端用来发起会话建立请求的TCP/UDP源端口号是一个随机端口号（大于1024），因此并没有转换成应用程序（服务）名的必要。
在默认情况下，Wireshark只会针对第二层MAC地址和第四层TCP/UDP端口号做名字解析。开启IP地址的名字解析功能之前要三思而后行，因为这会让Wireshark委托OS发出大量DNS查询消息，从而拖慢Wireshark的运行速度。

1.8.3 幕后原理
原理非常简单，只是调整Wireshark某些菜单项的配置而已。要修改Wireshark主界面，除了本节介绍的配置选项之外，还有其他配置选项可供选择。更多详情请参考www.wireshark.org上的Wireshark配置手册。

本文仅用于学习和交流目的，不代表异步社区观点。非商业转载请注明作译者、出处，并保留本文的原始链接。