Cùng với việc nhấp đúp vào danh sách gói và sử dụng menu chính, có một số cách khác để mở cửa sổ gói mới:
• Giữ phím shift và nhấp đúp vào liên kết khung trong chi tiết gói. • Từ Các mục menu của pop-up menu “Danh sách gói”.
• Từ Các mục menu của pop-up menu “Chi tiết gói”. Pop-up Menu
Bạn có thể mở pop-up menu trên “Danh sách gói”, tiêu đề cột của nó, “Chi tiết gói” hoặc “byte” bằng cách nhấp vào nút chuột phải của bạn vào mục tương ứng.
Pop-up Menu của tiêu đề cột trong "Danh sách gói"
49
Hình 2.36 Popup menu của tiêu đề cột trong “Danh sách gói”
Bảng sau đây cung cấp tổng quan về những chức năng nào có sẵn.
Tên chức năng Mô tả
Align Left Căn trái giá trị trong cột này. Align Center Căn giữa giá trị trong cột này. Align Right Căn phải giá trị trong cột này.
Column Preferences… Mở hộp thoại “Tùy chọn” trong cột này. Edit Column Mở thanh công cụ chỉnh sửa cột cho cột này.
Resize To Contents Thay đổi kích thước cột để phù hợp với các giá trị của nó. Resolve Names Nếu cột này chứa địa chỉ, hãy phân giải chúng.
No., Time, Source, et al.
Hiển thị hoặc ẩn một cột bằng cách chọn mục của nó.
Remove Column Xóa cột này, tương tự như xóa cột trong hộp thoại “Tùy chọn”.
50
Pop-up Menu của ngăn “Danh sách gói”
Hình 2.37 Pop-up Menu của ngăn “Danh sách gói”
Bảng sau đây cung cấp tổng quan về những chức năng nào có sẵn trong ngăn này, nơi tìm chức năng tương ứng trong menu chính và mơ tả ngắn gọn về từng mục.
Tên chức năng Nơi tìm chức năng tương ứng trong menu chính
Mơ tả
Mark Packet (toggle)
Edit Đánh dấu, hủy đánh dấu một gói. Ignore Packet
(toggle)
Edit Bỏ qua hoặc kiểm tra gói tin này trong khi phân tích tệp tin bắt được. Set Time
Reference (toggle)
Edit Đặt hoặc đặt lại tham chiếu thời gian.
Time Shift Edit Mở hộp thoại “Time Shift”, cho phép bạn điều chỉnh dấu thời gian của một
51 số hoặc tất cả các gói.
Packet Comment…
Edit Mở hộp thoại “Packet Comment”, cho phép bạn thêm nhận xét vào một gói. Lưu ý rằng khả năng lưu nhận xét gói phụ thuộc vào định dạng tệp của bạn. Ví dụ. pcapng hỗ trợ nhận xét, pcap thì khơng.
Edit Resolved Name
Cho phép bạn nhập tên để phân giải cho địa chỉ đã chọn.
Apply as Filter Analyze Ngay lập tức thay thế hoặc nối thêm bộ lọc hiển thị hiện tại dựa trên danh sách gói gần đây nhất hoặc mục chi tiết gói đã chọn. Mục menu con đầu tiên hiển thị bộ lọc và các mục tiếp theo hiển thị các cách khác nhau mà bộ lọc có thể được áp dụng.
Prepare as Filter
Analyze Thay đổi bộ lọc hiển thị hiện tại dựa trên danh sách gói gần đây nhất hoặc mục chi tiết gói đã chọn, nhưng khơng áp dụng nó. Mục menu con đầu tiên hiển thị bộ lọc và các mục tiếp theo hiển thị các cách khác nhau mà bộ lọc có thể được thay đổi. Conversation
Filter
Áp dụng bộ lọc hiển thị với thông tin địa chỉ từ gói đã chọn. Ví dụ, mục menu IP sẽ thiết lập một bộ lọc để hiển thị lưu lượng giữa hai địa chỉ IP của gói tin hiện tại.
Colorize Conversation
Tạo quy tắc tô màu mới dựa trên thơng tin địa chỉ từ gói đã chọn.
SCTP Cho phép bạn phân tích và chuẩn bị
bộ lọc cho liên kết SCTP. Follow › TCP
Stream
Analyze Mở một cửa sổ hiển thị tất cả các phân đoạn TCP được chụp trên cùng một kết nối TCP với một gói được chọn.
Follow › UDP Stream
Analyze Chức năng tương tự như “Theo dõi luồng TCP” nhưng đối với “luồng” UDP.
52 Follow › DCCP
Stream
Analyze Chức năng tương tự như “Theo dõi luồng TCP” nhưng đối với “luồng” DCCP..
Follow › TLS Stream
Analyze Chức năng tương tự như “Theo dõi luồng TCP” nhưng đối với “luồng” SSL hoặc TLS.
Follow › HTTP Stream
Analyze Chức năng tương tự như “Theo dõi luồng TCP” nhưng đối với “luồng” HTTP.
Copy › Summary as Text
Sao chép các trường tóm tắt như được hiển thị vào khay nhớ tạm dưới dạng văn bản được phân tách bằng tab.
Copy › …as CSV
Sao chép các trường tóm tắt như được hiển thị vào khay nhớ tạm dưới dạng văn bản được phân tách bằng dấu phẩy.
Copy › …as YAML
Sao chép các trường tóm tắt như được hiển thị vào khay nhớ tạm dưới dạng dữ liệu YAML.
Copy › As Filter
Chuẩn bị một bộ lọc hiển thị dựa trên mục hiện được chọn và sao chép bộ lọc đó vào khay nhớ tạm.
Copy › Bytes as Hex + ASCII Dump
Sao chép các byte vào khay nhớ tạm ở định dạng “hexdump” đầy đủ. Copy › …as
Hex Dump
Sao chép các byte vào khay nhớ tạm ở định dạng “hexdump” mà khơng có phần ASCII.
Copy › …as Printable Text
Sao chép các byte vào khay nhớ tạm dưới dạng văn bản ASCII, ngoại trừ các ký tự không in được.
Copy › …as a Hex Stream
Sao chép các byte vào khay nhớ tạm dưới dạng danh sách các chữ số hex không được đánh dấu.
Copy › …as Raw Binary
Sao chép các byte vào khay nhớ tạm dưới dạng tệp nhị phân thô. Dữ liệu được lưu trữ trong khay nhớ tạm bằng kiểu MIME “application / octet-
53 stream”.
Protocol Preferences
Điều chỉnh các tùy chọn cho giao thức đã chọn.
Decode As… Analyze Thay đổi hoặc áp dụng một mối quan hệ mới giữa hai phân đoạn.
Show Packet in New Window
View Hiển thị gói đã chọn trong một cửa sổ riêng biệt. Cửa sổ riêng biệt chỉ hiển thị chi tiết gói và byte.
Bảng 2.5 Các chức năng trong popup menu “Danh sách gói”
Pop-up Menu của ngăn “Chi tiết gói”
Hình 2.38 Popup Menu của ngăn “Chi tiết gói”
Bảng sau đây cung cấp tổng quan về các chức năng có sẵn trong ngăn này, nơi tìm chức năng tương ứng trong menu chính và mơ tả ngắn gọn về từng mục.
54
Tên chức năng Nơi tìm chức năng tương ứng trong menu chính
Mơ tả
Expand Subtrees
View Mở rộng cây con hiện được chọn.
Collapse Subtrees
View Thu gọn cây con hiện được chọn. Expand All View Mở rộng tất cả các cây con trong tất cả
các gói trong bản chụp.
Collapse All View Wireshark giữ một danh sách tất cả các giao thức con được mở rộng và sử dụng nó để đảm bảo rằng các cây con chính xác được mở rộng khi bạn hiển thị một gói. Mục menu này thu gọn chế độ xem dạng cây của tất cả các gói trong danh sách chụp.
Apply as Column
Sử dụng mục giao thức đã chọn để tạo một cột mới trong danh sách gói. Apply as Filter Analyze Ngay lập tức thay thế hoặc nối thêm bộ
lọc hiển thị hiện tại dựa trên danh sách gói gần đây nhất hoặc mục chi tiết gói đã chọn. Mục menu con đầu tiên hiển thị bộ lọc và các mục tiếp theo hiển thị các cách khác nhau mà bộ lọc có thể được áp dụng.
Prepare as Filter
Analyze Thay đổi bộ lọc hiển thị hiện tại dựa trên danh sách gói gần đây nhất hoặc mục chi tiết gói đã chọn, nhưng khơng áp dụng nó. Mục menu con đầu tiên hiển thị bộ lọc và các mục tiếp theo hiển thị các cách khác nhau mà bộ lọc có thể được thay đổi.
Colorize with Filter
Mục menu này sử dụng bộ lọc hiển thị với thông tin từ mục giao thức đã chọn để xây dựng quy tắc tô màu mới.
55 Follow › TCP
Stream
Analyze Mở một cửa sổ hiển thị tất cả các phân đoạn TCP được chụp trên cùng một kết nối TCP với một gói được chọn. Follow › UDP
Stream
Analyze Chức năng tương tự như “Theo dõi luồng TCP” nhưng đối với “luồng” UDP.
Follow › TLS Stream
Analyze Chức năng tương tự như “Theo dõi luồng TCP” nhưng đối với luồng TLS hoặc SSL.
Follow › HTTP Stream
Analyze Chức năng tương tự như “Theo dõi luồng TCP” nhưng đối với các luồng HTTP.
Copy › All Visible Items
Edit Sao chép chi tiết gói như được hiển thị. Copy › All
Visible Selected Tree Items
Edit Sao chép chi tiết gói đã chọn và phần con của nó như được hiển thị.
Copy › Description
Edit Sao chép văn bản được hiển thị của trường đã chọn vào khay nhớ tạm thời của hệ thống.
Copy › Fieldname
Edit Sao chép tên của trường đã chọn vào khay nhớ tạm thời của hệ thống.
Copy › Value Edit Sao chép giá trị của trường đã chọn vào khay nhớ tạm thời của hệ thống.
Copy › As Filter
Edit Chuẩn bị một bộ lọc hiển thị dựa trên mục hiện được chọn và sao chép nó vào khay nhớ tạm.
Copy › Bytes as Hex + ASCII Dump
Sao chép các byte gói vào khay nhớ tạm ở định dạng “hexdump” đầy đủ. Copy › …as
Hex Dump
Sao chép các byte gói vào khay nhớ tạm ở định dạng “hexdump” mà khơng có phần ASCII.
Copy › …as Printable Text
Sao chép các byte gói vào khay nhớ tạm dưới dạng văn bản ASCII, ngoại trừ các ký tự không in được.
56 Copy › …as a
Hex Stream
Sao chép các byte gói vào khay nhớ tạm dưới dạng danh sách các chữ số hex không được đánh dấu.
Copy › …as Raw Binary
Sao chép các byte gói vào khay nhớ tạm dưới dạng tệp nhị phân thô. Dữ liệu được lưu trữ trong khay nhớ tạm bằng kiểu MIME “application / octet-
stream”. Copy › …as
Escaped String
Sao chép các byte gói vào khay nhớ tạm dưới dạng chuỗi thốt kiểu C. Export Packet
Bytes…
File Mục menu này giống với mục menu Tệp cùng tên. Nó cho phép bạn xuất các byte gói thơ sang một tệp nhị phân. Wiki Protocol
Page
Hiển thị trang wiki tương ứng với giao thức hiện được chọn trong trình duyệt web của bạn.
Filter Field Reference
Hiển thị trang web tham chiếu trường bộ lọc tương ứng với giao thức hiện được chọn trong trình duyệt web của bạn.
Protocol Preferences
Điều chỉnh các tùy chọn cho giao thức đã chọn.
Decode As… Analyze Thay đổi hoặc áp dụng một mối quan hệ mới giữa hai phân đoạn.
Go to Linked Packet
Go Nếu trường đã chọn có một gói tương ứng, chẳng hạn như yêu cầu phù hợp cho phản hồi DNS, hãy chuyển đến trường đó.
Show Linked Packet in New Window
Go Nếu trường được chọn có một gói
tương ứng, chẳng hạn như yêu cầu phù hợp cho phản hồi DNS, hãy hiển thị gói đã chọn trong một cửa sổ riêng biệt.
57
Pop-up Menu của ngăn “Packet bytes”
Hình 2. 39 Popup Menu của ngăn “Packet Bytes”
Bảng sau đây cung cấp tổng quan về các chức năng có sẵn trong ngăn này cùng với mô tả ngắn về từng mục. Chức năng Mô tả Copy Bytes as Hex + ASCII Dump
Sao chép các byte gói vào khay nhớ tạm ở định dạng “hexdump” đầy đủ.
…as Hex Dump
Sao chép các byte gói vào khay nhớ tạm ở định dạng “hexdump” mà khơng có phần ASCII.
58 …as
Printable Text
Sao chép các byte gói vào khay nhớ tạm dưới dạng văn bản ASCII, ngoại trừ các ký tự không in được.
…as a Hex Stream
Sao chép các byte gói vào khay nhớ tạm dưới dạng danh sách các chữ số hex không được đánh dấu.
…as Raw Binary
Sao chép các byte gói vào khay nhớ tạm dưới dạng tệp nhị phân thô. Dữ liệu được lưu trữ trong khay nhớ tạm bằng kiểu MIME
“application / octet- stream”.
Chức năng Mô tả
…as Escaped String
Sao chép các byte gói vào khay nhớ tạm dưới dạng chuỗi thoát kiểu C.
Show bytes as
hexadecimal
Hiển thị dữ liệu byte dưới dạng chữ số thập lục phân.
Show bytes as bits
Hiển thị dữ liệu byte dưới dạng chữ số nhị phân.
Show text based on packet
Hiển thị dữ liệu "hexdump" với văn bản.
…as ASCII Sử dụng mã hóa ASCII khi hiển thị văn bản “hexdump”. …as
EBCDIC
Sử dụng mã hóa EBCDIC khi hiển thị văn bản “hexdump”.
Bảng 2.7 Các chức năng có trong popup menu “Packet Bytes”
Lọc các gói trong khi xem
Wireshark có hai ngơn ngữ lọc: bộ lọc bắt và bộ lọc hiển thị. Bộ lọc bắt được sử dụng để lọc khi bắt các gói tin. Bộ lọc hiển thị được sử dụng để lọc gói nào được hiển thị.
Bộ lọc hiển thị cho phép bạn tập trung vào các gói bạn quan tâm trong khi ẩn những gói hiện khơng quan tâm. Chúng cho phép bạn chỉ hiển thị các gói dựa trên:
• Giao thức
• Sự hiện diện của một trường • Giá trị của các trường
• So sánh giữa các trường
Để chỉ hiển thị các gói chứa một giao thức cụ thể, hãy nhập tên giao thức vào thanh công cụ bộ lọc hiển thị của cửa sổ Wireshark và nhấn enter để áp dụng bộ lọc.
59 Lọc trên giao thức TCP cho thấy một ví dụ về những gì sẽ xảy ra khi bạn nhập tcp vào thanh công cụ bộ lọc hiển thị.