本节书摘来自异步社区《Wireshark网络分析实战》一书中的第1章1.5节 配置时间参数,作者【以色列】Yoram Orzach,更多章节内容可以访问云栖社区“异步社区”公众号查看。
1.5 配置时间参数
Wireshark网络分析实战
本节将介绍如何配置数据包的时间显示格式。对时间显示格式的调整,会在Wireshark抓包主窗口数据包列表区域的time列的内容里反映出来。在某些情况下,有必要让Wireshark以多种时间格式来显示数据包。比方说,在观察隶属同一连接的所有TCP数据包时,每个数据包的发送间隔时间是应该关注的重点;当所要观察的数据包抓取自多个来源时,则最应关注每个数据包的确切抓取时间。
1.5.1 准备工作
要配置Wireshark抓包主窗口数据包列表区域中的数据包的时间显示格式,请进入View菜单,选择Time Display Format菜单项,右边会出现图1.19所示的子菜单。
1.5.2 配置方法
图1.19所示Time Display Format菜单项的上半部分子菜单包含以下子菜单项。
Date and Time of Day和Time of Day:当通过Wireshark抓包来帮助排除网络故障,且故障发生的时间也是定位故障的重要依据时(比如,已获悉了故障发生的精确时间,且还想知道相同时间网络中发生的其他事件时),就应该根据具体情况,选择这两个子菜单项之一。
Seconds Since Epoch(自Epoch以来的秒数):Epoch是指通用协调时间(格林威治标准时间的前称)的1970年1月1日早晨0点。这也是UNIX系统问世的大致时间。
Seconds Since Beginning of Capture(自开始抓包以来的秒数):此乃Wireshark默认选项。
Seconds Since Previous Captured Packet(自抓到上一个数据包以来的秒数):这也是一个常用选项,此菜单项一经点选,数据包列表区域的time列将显示每个数据包的抓取时间差。当监控时间敏感型数据包(比如,TCP流量、实时视频流量、VoIP语音流量)时,就应该点选该子菜单项,因为此类数据包的发送时间间隔对用户体验有至关重要的影响。
Seconds Since Previous Displayed Packet:在应用了显示过滤器,让Wireshark只显示抓包文件中部分数据的情况下(比如,只显示出隶属于某条TCP流的所有数据包),通常都应该点选该子菜单项。此时,网管人员更关心的应该是隶属于这条TCP数据流的各个数据包之间的抓取时间差。
UTC Date and Time of Day和UTC Time of Day:提供UTC时间。
可使用快捷键Ctrl + Alt + 任意数字键来调整上述时间格式选项。
Time Display Format菜单项的下半部分子菜单提供的是时间精度选项,若无时间精度方面的需求,则应保持默认设置。
1.5.3 幕后原理
为抓到的数据留时间“烙印”时,Wireshark依据的是操作系统的时间。在默认情况下,生效的是Seconds Since Beginning of Capture子菜单项功能。
本文仅用于学习和交流目的,不代表异步社区观点。非商业转载请注明作译者、出处,并保留本文的原始链接。
