wireshark-1.1.4分析（Analyze）

本次介绍wireshark工具栏的分析（Analyze）功能，分析功能主要是针对抓包数据进行过滤、合并追踪和专家信息统计，协助工程师快速判断和定位问题，功能如下：

wireshark分析界面

1.1 显示过滤规则。过滤规则在之前的Edit选项已经涉及，我们这里主要看过滤宏。

点击Analyze-display filter macros-“+”新增一条，例如我们要过滤针对某个地址的DNS查询流量，语法为把原有的过滤规则改为$对应的变量，例如：test1 ip.addr == $1 && udp.port == $2（过滤目的地址为$1的$2的udp流量） 如下图

wireshark过滤宏

而后在抓包主界面的的过滤规则中调用，调用语法为：${宏名称:变量1;变量2}，例如本次例子里：${test1:10.2.33.206;53}（过滤目的地址为10.2.33.206的DNS流量），如下图

使用过滤宏

适当的配置工作中常用的宏命令，会节约更多的工作量，后面实际使用过程中，我们在详细介绍。

1.2 使用某些参数作为过滤条件，在抓取的数据包右键可以选取参数。

1.2.1在数据包列表右键packet list的No.1行，会在过滤规则生成过滤规则，如下图：

过滤规则

过滤规则2

1.2.2 在详情右键选取更更相信的参数右键，例如在tcp的目的端口右键，添加过滤：

过滤规则3

1.3 支持的协议和编码方式，可以选择禁用不必要的协议给软件瘦身：如下图

wireshark支持的协议设置

1.4 追踪流（Follow），传输层的协议（TCP/UDP/SCTP）是基于SEQ编号的多个数据包传输，只看单独的数据包不利于整体查看数据流。通过在其中一个数据包-右键-追踪TCP/UDP/HTTP等数据流可以产看完整的传输过程。例如telnet是不安全的登录设备方式，可以通过抓取传输过程并且展示数据流产看用户名密码，如下图：

wireshark追踪流

显示如下信息，包含了用户名/密码和回传的信息：

追踪telnet流

1.5 专家信息（Expert Information），会将抓到的数据包基于wireshark自带的库进行对比，并将可能有问题的数据包通过erro/warning/note/chat进行标记，并且可以点开查看具体的数据包。以便快速的分析和定位故障，具体的故障分析我们会在后续文章继续分享，如下图：