Wireshark – jak dodać własną / dowolną kolumnę

Parę dni temu w naszej sekcji ’w biegu’ – informowaliśmy o nowej wersji narzędzia Wireshark, dzisiaj kilka słów o mało znanym, ale bardzo przydatnym tricku, znacznie ułatwiającym analizy w tym narzędziu.

Jak pewnie wiecie, większość analizy z wiresharku realizowana jest w formie wizualnej (choć istnieje również narzędzie konsolowe – tshark) – stąd też czasem przydatna jest możliwość dostosowania interfejsu pod własne potrzeby – a precyzyjniej dodanie na standardowym wyniku z listą pakietów pewnych dodatkowych danych. Przećwiczmy całość na prostym przykładzie – do standardowego widoku jak poniżej chcielibyśmy dodać kolumnę zawierającą kod odpowiedzi serwera http (oczywiście ma to sens tylko dla protokołu http).

Klikamy więc prawym przyciskiem myszy na nagłówek jednej ze standardowych kolumn oraz wybieramy 'Edit Column Details…’. Następnie dodajemy kolumnę z typem 'Custom’ a w 'Field name’ wpisujemy: http.response.code (czy też inny fragment mechanizmu display filter, który wskazuje na określoną wartość w pakiecie, np. ip.ttl, tcp.srcport – słowem mamy tutaj olbrzymie możliwości). Całość pokazuję na zrzutach poniżej:

Efekt końcowy jest widoczny poniżej – jak widać działa również sortowanie po nowo dodanej kolumnie. W ten sposób możemy stworzyć (oraz zapisać) odpowiedni dla naszych potrzeb zestaw kolumn i znacznie usprawnić analizę interesującej nas komunikacji sieciowej.

Inny przykład – potrzebujemy mieć na liście ciasteczka – bardzo proszę, zmieniamy tylko definicję kolumny na http.cookie

Życzę udanych analiz :-)

— michal.sajdak<at>sekurak.pl