Appearance
Skip to content
220516_temporary_colors
着色规则
着色规则(Coloring Rules)用于根据过滤表达式给数据包列表上色,帮助你更快发现重传、错误、控制报文或某类业务流量。
它只改变视觉呈现,不会改变抓包内容,也不会隐藏或删除数据包。
着色规则和过滤器的关系
| 项目 | 着色规则 | 显示过滤器 | 抓包过滤器 |
|---|---|---|---|
| 作用 | 给匹配的数据包上色 | 只显示匹配的数据包 | 只捕获匹配的数据包 |
| 使用阶段 | 抓包后查看时 | 抓包后查看时 | 抓包前 |
| 是否改变抓包文件 | 不改变 | 不改变 | 会改变 |
| 语法 | 使用显示过滤器语法 | 使用显示过滤器语法 | 使用 libpcap 语法 |
因此,着色规则可以复用 DisplayFilters 的很多写法,但用途是“突出显示”,不是“过滤掉”。
加载和保存规则集
在 Wireshark 中可以通过以下路径管理着色规则:
- 打开
View -> Coloring Rules。 - 点击
Import...导入已有规则文件。 - 点击
Export...导出当前规则集。 - 如果要分享规则,建议同时说明规则用途、适用协议和维护者。
Wireshark 历史上曾把着色规则称为 color filters,配置文件名也仍可能包含 colorfilters,所以资料中经常会混用这两个名称。
示例着色规则集
| 条目 | 类型 | 说明 | 贡献者 |
|---|---|---|---|
| TCP_Retransmissions_ColorFilter | 页面 | TCP 重传相关着色规则 | Ronnie Sahlberg |
| Sample_color_filter.txt | 文件 | 示例 color filter 文件 | Gerald Combs |
| General_use_ColorFilter / Another_Color_Filter | 页面/文件 | 更多协议的通用着色规则 | John Prudente |
| Yet_Another_Color_Filter3.txt | 文件 | 通用过滤器,包含家用路由器、AppleTalk、IPX/SPX、OSPF、STP、HSRP 等高亮 | Peter Bruno |
| Jay's_Coloring_Rules | 页面 | 通用着色规则,颜色较舒适 | JayMoran |
| Arv_Coloring_Rules.txt | 文件 | 侧重检测错误并区分 client/server;导入前需编辑本机 MAC 地址 | Arv |
| iscsicolor.txt | 文件 | 高亮 iSCSI SCSI check conditions 和未关联命令/响应的数据包 | proggoddess |
| DCE_RPC_Coloring_Rules.txt | 文件 | 对 DCE/RPC 及 Windows 网络相关协议分组着色 | UlfLamping |
| Wireless_Wiresharkcolor_Pedrick | 文件 | 802.11、WPA、11i 认证报文着色,支持 Preauth | perccapt |
| Wireshark-Wlan-ColouringRules | 文件 | 802.11、WPA、11i 和 EAP 无线 LAN 报文着色 | muteX |
临时着色规则
Wireshark 支持通过命令行设置临时颜色槽。下面的命令示例设置背景色和前景色:
text
wireshark -o gui.colorized_frame.bg:ffc0c0,ffc0ff,e0c0e0,c0c0ff,c0e0e0,c0ffff,c0ffc0,ffffc0,e0e0c0,e0e0e0 -o gui.colorized_frame.fg:000000,000000,000000,000000,000000,000000,000000,000000,000000,000000Lua 也可以查询和设置临时着色规则:
get_color_filter_slot(row):查询某个颜色槽。set_color_filter_slot(row, text):设置某个颜色槽。
默认背景色
| Index | RGB(hex) | Color |
|---|---|---|
| 1 | ffc0c0 | pink 1 |
| 2 | ffc0ff | pink 2 |
| 3 | e0c0e0 | purple 1 |
| 4 | c0c0ff | purple 2 |
| 5 | c0e0e0 | green 1 |
| 6 | c0ffff | green 2 |
| 7 | c0ffc0 | green 3 |
| 8 | ffffc0 | yellow 1 |
| 9 | e0e0c0 | yellow 2 |
| 10 | e0e0e0 | gray |
临时会话着色规则在数据包详情中可能显示为类似下面的名称:
text
___conversation_color_filter___01相关页面
- DisplayFilters:着色规则使用同一套显示过滤器语法
- CaptureFilters:抓包前过滤,与着色规则不是同一用途
- Preferences:Wireshark 首选项与显示行为设置
Imported from https://wiki.wireshark.org/ColoringRules on 2020-08-11 23:12:18 UTC
原始页面图片
相关 Wireshark Wiki 页面
- Wireshark Wiki 首页Home · 入门与使用
- DisplayFiltersDisplayFilters · 过滤器
- General_use_ColorFilterGeneral_use_ColorFilter · 过滤器
- Jay's_Coloring_RulesJay's_Coloring_Rules · 全量归档
- JayMoranJayMoran · 全量归档
- TCP_Retransmissions_ColorFilterTCP_Retransmissions_ColorFilter · 过滤器
- UlfLampingUlfLamping · 全量归档
- uploads____moin_import____attachments__ColoringRules__Another_Color_Filteruploads____moin_import____attachments__ColoringRules__Another_Color_Filter · 全量归档
- uploads____moin_import____attachments__ColoringRules__Wireless_Wiresharkcolor_Pedrickuploads____moin_import____attachments__ColoringRules__Wireless_Wiresharkcolor_Pedrick · 全量归档