Packet colorization(按色彩显示包)是Wireshark一个非常有用的特性。你可以设置Wireshark通过过滤器将包按颜色设置。可以将你感兴趣的包通过颜色强调显示。
提示 | |
---|---|
你可以在http://wiki.wireshark.org/ColoringRules的Wireshark Wiki Coloring Rules page找到颜色规则的举例。 |
想要按色彩显示包,选择View菜单的“Coloring Rules...”菜单项,将会弹出"Coloring Rules"对话框,如图 9.1 “"Coloring Rules"对话框”所示
启动Coloring Rules 对话框以后,有许多按钮可以使用,当然这取决于是否已经装入颜色过滤器(碰到once sth,you have a lot of 之类的句子就觉得特别tmd的恶心。)
注意 | |
---|---|
在对色彩规则进行排序(然后运用时)需要注意:他们是按自上而下的顺序应用的。因此,特定的协议应该排在一般的协议的前面(高层协议应该排在底层协议之前)。例如:如果你将UDP协议排在DNS之前,那么DNS颜色规则就不会被应用(因为DNS使用UDP协议,UDP色彩规则首先被匹配。译者注:这里有点像netscreen防火墙规则,从上而下匹配,匹配了第一个规则以后就不会询问后续规则了。) |
如果你第一次使用色彩规则,点击“NEW”按钮打开色彩过滤编辑对话框,如???所示:
在编辑色彩对话框,输入颜色过滤器名称,然后在String输入框输入过滤字符串。???显示的是arp,arp表示过滤器名为arp,string填的arp表示选择的协议类型是arp。输入这些值以后,你可以选择前景色和配景色匹配这个过滤表达式。点击 Foreground color... /前景色或者Background color.../背景色按钮就会弹出Choose foreground/background color for protocol对话框(见图 9.3 “"Choose color"对话框”),进行前景色、背景色设置了。
选择你需要的颜色,点击OK
注意 | |
---|---|
You must select a color in the colorbar next to the colorwheel to load values into the RGB values. Alternatively, you can set the values to select the color you want. |
图 9.4 “在Wireshark中使用色彩过滤”显示了默认情况下使用多个色彩过滤器的例子。如果你不太喜欢的话,可以自己随时修改它。
如果你不确定哪个颜色规则会对特定包发生作用,查看[Coloring Rule Name: ...] and [Coloring Rule String: ...] 字段。