“ 本文介绍如何使Wireshark报文窗口的Source栏及Destination内的IP直接显示为域名,提升报文分析效率。”
之前内容发现部分不够严谨的地方,所以删除重发。
一个典型的Wireshark界面如下:
从这个图里,能看到源IP及目的IP,在流量不大,数据不多的情况下,我们可以逐会话对报文进行分析,从而找到我们需要的报文,但是,当流量很大、数据很多的时候,我们该怎么分析?逐会话分析吗?不现实。
有一定基础的你一定知道,域名系统降低了网络使用的难度,域名降低了人脑处理信息的门槛,在这个背后,起作用的是DNS协议。
那我们在使用Wireshark进行分析的过程中,是否可以让DNS协议起作用,直接将各个眼花缭乱的IP解析为域名,以提高效率呢?
当然可以,接下来将介绍具体的方法。
在Wireshark的菜单项“编辑”的最下方,找到子菜单“首选项”,点击进入,看到如下界面:
在左侧,找到页面标签“Name Resolution”项,点击进入新的界面:
注意红框内的“Resolve network (IP) address”前面的多选框,默认情况下是没有打勾的,关键就在这里,打上勾,试试看吧,然后点击“OK”按钮返回主界面:
你会发现大部分能够被解析为域名的IP都被解析了,是不是用起来方便多了?
如此方便的功能,为何Wireshark不把它默认打开呢?
大家可以思考思考,这里就不给我的想法了,如果需要,请给我发消息吧。
拓展阅读: