2. Để thêm macro bộ lọc mới, hãy nhấp vào nút [+] ở góc dưới cùng bên trái. Một hàng mới sẽ xuất hiện trong bảng Macro Bộ lọc Hiển thị ở trên.
3. Nhập tên macro của bạn vào cột Tên. Nhập macro bộ lọc của bạn vào cột Văn bản.
4. Để lưu các sửa đổi của bạn, hãy nhấp vào nút [OK] ở góc dưới cùng bên phải của cửa sổ Macro Bộ lọc Hiển thị.
Tìm gói tin
Bạn có thể dễ dàng tìm thấy các gói sau khi bạn đã chụp một số gói hoặc đã đọc trong một tệp chụp đã lưu trước đó. Chỉ cần chọn trong menu chính. Wireshark sẽ mở một thanh cơng cụ giữa thanh cơng cụ chính và danh sách gói được hiển thị trong thanh cơng cụ “Tìm gói”.
72
Thanh cơng cụ "Tìm gói"
Hình 2.44 Thanh cơng cụ “Tìm gói tin”
Bạn có thể tìm kiếm bằng các tiêu chí sau:
Bộ lọc hiển thị
Nhập chuỗi bộ lọc hiển thị vào trường nhập văn bản và nhấp vào nút [ Find ]. + Ví dụ: để tìm bắt tay ba cách cho kết nối từ máy chủ 192.168.0.1, hãy sử dụng chuỗi bộ lọc sau:
Giá trị được tìm thấy sẽ được kiểm tra cú pháp trong khi bạn nhập. Nếu quá trình kiểm tra cú pháp giá trị của bạn thành công, nền của trường nhập sẽ chuyển sang màu xanh lục, nếu khơng thành cơng, nó sẽ chuyển sang màu đỏ.
Giá trị thập lục phân
Tìm kiếm một chuỗi byte cụ thể trong dữ liệu gói.
Ví dụ: sử dụng “ef: bb: bf” để tìm gói tiếp theo có chứa dấu thứ tự byte UTF-8.
Chuỗi
Tìm một chuỗi trong dữ liệu gói, với nhiều tùy chọn khác nhau.
Biểu thức chính quy
Tìm kiếm dữ liệu gói bằng cách sử dụng biểu thức chính quy tương thích với Perl. Các mẫu PCRE nằm ngồi phạm vi của tài liệu này, nhưng việc nhập “pcre test” vào cơng cụ tìm kiếm u thích của bạn sẽ trả về một số trang web sẽ giúp bạn kiểm tra và khám phá các biểu thức của mình.
Đi đến một gói cụ thể
Bạn có thể dễ dàng chuyển đến các gói cụ thể bằng một trong các mục trình đơn trong menu Bắt đầu.
Lệnh "Quay lại"
73 Quay lại lịch sử gói, hoạt động giống như lịch sử trang trong hầu hết các trình duyệt web.
Lệnh "Đi về phía trước"
Tiếp tục trong lịch sử gói, hoạt động giống như lịch sử trang trong hầu hết các trình duyệt web.
Thanh cơng cụ “Chuyển đến gói tin”
Hình 2.45 Thanh cơng cụ “Chuyển đến gói tin”
Thanh cơng cụ này có thể được mở bằng cách chọn Go › Go to packet… từ menu chính. Nó xuất hiện giữa thanh cơng cụ chính và danh sách gói, tương tự như thanh cơng cụ "Tìm gói".
Khi bạn nhập số gói và nhấn [ Go to packet ] Wireshark sẽ chuyển đến gói đó.
Lệnh "Chuyển đến gói tương ứng"
Nếu một trường giao thức được chọn trỏ đến một gói khác trong tệp bắt, lệnh này sẽ chuyển đến gói đó.
Vì các trường giao thức này hiện hoạt động giống như các liên kết (giống như trong trình duyệt Web của bạn), nên dễ dàng hơn chỉ cần nhấp đúp vào trường để chuyển đến trường tương ứng.
Lệnh "Chuyển đến gói đầu tiên"
Lệnh này sẽ chuyển đến gói đầu tiên được hiển thị.
Lệnh "Chuyển đến gói cuối cùng"
Lệnh này sẽ chuyển đến gói cuối cùng được hiển thị.
Đánh dấu gói tin
Bạn có thể đánh dấu các gói trong ngăn “Danh sách gói”. Một gói được đánh dấu sẽ được hiển thị với nền đen, bất kể quy tắc tơ màu đã đặt ra. Đánh dấu một gói tin có thể hữu ích để tìm thấy nó sau này trong khi phân tích trong một tệp tin lớn.
Thơng tin gói đã đánh dấu khơng được lưu trữ trong tệp hoặc bất kỳ nơi nào khác. Nó sẽ bị mất khi đóng tập tin.
74 Bạn có thể sử dụng đánh dấu gói để kiểm sốt đầu ra của gói khi lưu, xuất hoặc in. Để làm như vậy, một tùy chọn trong phạm vi gói có sẵn, hãy xem khung “Phạm vi Gói”.
Có một số cách để đánh dấu và bỏ đánh dấu gói tin. Từ menu Chỉnh sửa, bạn có thể chọn từ các tùy chọn sau:
• Đánh dấu / Bỏ đánh dấu gói : chuyển đổi trạng thái đã đánh dấu của một gói. Tùy chọn này cũng có sẵn trong menu ngữ cảnh danh sách gói.
• Đánh dấu tất cả : Hiển thị đặt trạng thái đánh dấu của tất cả các gói được hiển thị.
• Bỏ đánh dấu tất cả : Hiển thị đặt lại trạng thái đánh dấu của tất cả các gói. Bạn cũng có thể đánh dấu và bỏ đánh dấu một gói bằng cách nhấp vào nó trong danh sách gói bằng nút chuột giữa.
Bỏ qua các gói
Bạn có thể bỏ qua các gói trong ngăn “Danh sách gói”. Sau đó, Wireshark sẽ giả vờ rằng chúng không tồn tại trong tệp. Một gói bị bỏ qua sẽ được hiển thị với nền trắng và nền trước màu xám, bất kể quy tắc tơ màu đã đặt ra.
Thơng tin gói bị bỏ qua không được lưu trữ trong tệp hoặc bất kỳ nơi nào khác. Nó sẽ bị mất khi đóng tập tin.
Có một số cách để bỏ qua và hủy bỏ qua các gói tin. Từ menu Chỉnh sửa, bạn có thể chọn từ các tùy chọn sau:
• Bỏ qua / Khơng bỏ qua : chuyển đổi trạng thái bị bỏ qua của một gói. Tùy chọn này cũng có sẵn trong menu ngữ cảnh danh sách gói.
• Bỏ qua tất cả các gói được hiển thị : đặt trạng thái bị bỏ qua cho tất cả các gói được hiển thị.
• Khơng bỏ qua tất cả các gói được hiển thị : đặt lại trạng thái bị bỏ qua của tất cả các gói.
Các định dạng hiển thị thời gian và tham chiếu thời gian
Trong khi các gói được bắt, mỗi gói được đánh dấu thời gian. Các dấu thời gian này sẽ được lưu vào tệp, vì vậy chúng sẽ có sẵn để phân tích sau này.
Bạn có thể tìm thấy mơ tả chi tiết về các dấu thời gian, múi giờ và các dấu tương tự tại: Dấu thời gian.
Có thể chọn định dạng trình bày dấu thời gian và độ chính xác trong danh sách gói bằng cách sử dụng menu View, xem Menu “View”.
75 • Ngày và giờ trong ngày: 1970-01-01 01: 02: 03.123456 Ngày và giờ tuyệt đối trong ngày khi gói tin được bắt.
• Thời gian trong ngày: 01: 02: 03.123456 Thời gian tuyệt đối trong ngày khi gói tin được bắt.
• Giây kể từ khi bắt đầu chụp: 123.123456 Thời gian liên quan đến thời điểm bắt đầu tệp bắt hoặc “Tham chiếu thời gian” đầu tiên trước gói này.
• Giây kể từ khi gói được bắt trước: 1.123456 Thời gian liên quan đến gói được chụp trước đó.
• Giây kể từ khi gói được hiển thị trước: 1.123456 Thời gian so với trước đó gói được hiển thị.
• Giây kể từ kỷ nguyên (1970-01-01): 1234567890.123456 Thời gian so với kỷ nguyên (nửa đêm UTC ngày 1 tháng 1 năm 1970).
Các khu vực sẵn có (hay cịn gọi là số chữ số thập phân được hiển thị) là:
• Tự động (từ tệp bắt) Độ chính xác dấu thời gian của định dạng tệp bắt đã tải sẽ được sử dụng (mặc định).
• Giây, Phần mười giây, Phần trăm giây, Mili giây, Micro giây hoặc Nano giây Độ chính xác của dấu thời gian sẽ bị buộc về cài đặt nhất định. Nếu độ chính xác thực sự có sẵn nhỏ hơn, các số khơng sẽ được thêm vào. Nếu độ chính xác lớn hơn, các chữ số thập phân còn lại sẽ bị cắt bỏ.
Ví dụ về độ chính xác: Nếu bạn có dấu thời gian và nó được hiển thị bằng cách sử dụng "Giây kể từ gói trước", giá trị có thể là 1.123456. Điều này sẽ được hiển thị bằng cách sử dụng cài đặt "Tự động" cho các tệp libpcap (là micro giây). Nếu bạn sử dụng Giây, nó sẽ hiển thị đơn giản là 1 và nếu bạn sử dụng Nanoseconds, nó sẽ hiển thị 1.123456000.
Tham chiếu thời gian gói
Người dùng có thể đặt tham chiếu thời gian cho các gói. Tham chiếu thời gian là điểm bắt đầu cho tất cả các phép tính thời gian gói tiếp theo. Nó sẽ hữu ích, nếu bạn muốn xem các giá trị thời gian liên quan đến một gói đặc biệt, ví dụ: sự bắt đầu của một yêu cầu mới. Có thể đặt nhiều tham chiếu thời gian trong tệp chụp.
Các tham chiếu thời gian sẽ không được lưu vĩnh viễn và sẽ bị mất khi bạn đóng tệp.
Tham chiếu thời gian sẽ chỉ hữu ích nếu định dạng hiển thị thời gian được đặt thành “Giây kể từ khi bắt đầu bắt”. Nếu một trong các định dạng hiển thị thời gian khác
76 được sử dụng, việc tham chiếu thời gian sẽ khơng có tác dụng (và cũng sẽ khơng có ý nghĩa gì).
Để làm việc với tham chiếu thời gian, hãy chọn một trong các mục Tham chiếu thời gian trong menu: menu [Chỉnh sửa] hoặc từ menu bật lên của ngăn “Danh sách gói”.
• Đặt tham chiếu thời gian (chuyển đổi) Bật hoặc tắt trạng thái tham chiếu thời gian của gói tin đang được chọn.
• Tìm tiếp theo Tìm gói được tham chiếu lần sau trong ngăn “Danh sách gói”. • Tìm trước Tìm gói được tham chiếu lần trước trong ngăn “Danh sách gói”.