Wireshark时间设置介绍:时间格式、时间参考和时间平移
简述
Wireshark是一个广泛使用的网络协议分析工具,它能够捕获并分析通过网络传输的各种数据包。在进行网络分析时,时间信息是非常关键的,它能够帮助我们了解数据包的流动和事件发生的顺序。Wireshark提供了多种配置选项,以便用户能够更好地理解和分析数据包的时间信息。今天,我们将详细介绍如何在Wireshark中设置时间相关的选项,包括时间格式、时间参考和时间平移。
1. 设置时间格式
Wireshark 默认情况下显示数据包的捕获时间。为了使数据包的时间信息更加易于理解,我们可以自定义时间的显示格式。
设置步骤:
-
打开Wireshark。
-
在主界面上,点击菜单栏中的 "View"(视图)选项。
-
从下拉菜单中选择 "Time Display Format"(时间显示格式)。
-
你将看到几个不同的时间格式选项,可以根据需要选择合适的格式。
详细介绍时间格式设置
第一部分:时间格式
Wireshark提供多种时间格式,用于定义时间列的显示方式。以下是每种格式的含义:
日期和时间 (1970-01-01 01:02:03.123456)
以完整的日期和时间格式显示数据包的时间戳,包括年月日和时分秒,精确到微秒。
年、年积日、时间 (1970/001 01:02:03.123456)
使用“年积日”的格式显示时间戳,例如“1970/001”表示1970年的第1天(1月1日)。这对需要按年积日记录数据的场景有帮助。
时间 (01:02:03.123456)
仅显示时分秒部分,不显示日期。适用于不关注日期的短时间分析场景。
自1970-01-01经过的秒数
显示从Unix时间(1970年1月1日00:00:00 UTC)到捕获数据包时的总秒数。常用于计算机内部时间戳或调试。
Seconds Since First Captured Packet
显示从第一个捕获的数据包到当前数据包之间经过的秒数。适用于分析数据包之间的时间差。
自上一个捕获分组经过的秒数
显示从上一个数据包到当前数据包的时间间隔,适用于研究数据包之间的延迟。
自上一个显示分组经过的秒数
类似于上一个选项,但只计算显示在过滤结果中的数据包之间的时间差。如果你应用了过滤器,这个选项会非常有用。
UTC 日期和时间 (1970-01-01 01:02:03.123456)
使用协调世界时(UTC)显示完整日期和时间,适合需要同步时区的场景。
UTC 年、年积日、时间 (1970/001 01:02:03.123456)
以UTC显示年积日格式的时间。
UTC 时间 (01:02:03.123456)
仅以UTC显示时分秒部分,不包含日期。
第二部分:时间单位
这部分选项定义了时间显示的精度。可以根据需要选择更高或更低的精度:
秒
只显示整数秒。
十分之一秒
时间显示到小数点后一位。
百分之一秒
时间显示到小数点后两位。
毫秒
时间显示到千分之一秒(小数点后三位)。
Tenths of a millisecond
时间显示到千分之一秒的十分之一(小数点后四位)。
Hundredths of a millisecond
时间显示到千分之一秒的百分之一(小数点后五位)。
微秒
时间显示到百万分之一秒(小数点后六位)。
Tenths of a microsecond
时间显示到百万分之一秒的十分之一(小数点后七位)。
Hundredths of a microsecond
时间显示到百万分之一秒的百分之一(小数点后八位)。
纳秒
时间显示到十亿分之一秒(小数点后九位),适合高精度网络数据分析。
2. 设置时间参考
在某些情况下,我们可能希望将某个特定的数据包作为“参考时间”,以便计算其他数据包与该参考点的时间差。这对于捕获期间出现时间同步问题或与其他系统时钟对比时非常有用。
设置步骤:
- 右键点击数据包列表中的一个数据包。
- 在弹出的菜单中选择 设置/取消设置 时间参考。
- 选定后,这个数据包的时间戳将被设为“参考时间”,并且Wireshark界面中的所有其他数据包将会以这个参考时间作为基准来显示其时间。或者使用快捷键 Ctrl + T 操作。
当你设置了时间参考后,Wireshark会在数据包列表的时间列中显示时间差,即每个数据包的时间与参考时间的偏差。这使得你能够轻松查看相对于某个事件的时间延迟。
经过测试发现:
当时间格式设置为:
时间参考才有作用,此功能的目的是用来计算差值的。
3. 设置时间平移
这个功能主要用于调整捕获数据包的时间戳,以解决时间戳不准确的问题。
时间平移的作用
在一些场景中,捕获的网络数据包时间戳可能存在偏移,例如:
- 捕获设备的系统时间与实际时间不一致。
- 数据包的时间需要与其他日志文件时间对齐。
- 跨多个设备捕获的数据包,需要调整为统一的时间基准。
Wireshark提供 时间平移 功能,可以对所有数据包或部分数据包的时间戳进行调整,以便更精确地进行时间相关的分析。先选定一个数据包,在右键菜单中选择 时间平移。或者使用快捷键 Ctrl + Shift + T 调用出设置界面:
功能选项说明
平移所有分组
允许你对捕获的所有数据包时间进行统一的平移(时间偏移)。
你可以在右侧的输入框中设置偏移的具体时间格式,例如:
-00:00:10:将所有数据包时间向后平移10秒。
01:00:00
:将所有数据包时间向前平移1小时。
适合全局时间戳不准确的情况。
设置分组时间
这个选项允许你手动指定某个特定数据包的时间戳,然后Wireshark会根据这个设置自动调整其他数据包的时间,使它们相对的时间差保持一致。
设置步骤:
选择一个数据包(例如编号为1的包),输入一个具体的时间值(格式如YYYY-MM-DD hh:mm:ss.ddd
)。
(可选)可以再设置一个数据包(例如编号为4的包)为另一时间值,Wireshark会自动推算所有数据包的时间偏移量。
应用场景
当你知道某些特定数据包的准确时间,并希望通过这些参考时间调整所有数据包的时间戳。
撤销所有平移
如果你已经对时间进行了调整,但希望恢复到原始捕获的时间戳,可以使用此选项。