Wireshark中的名称解析设置详解

在网络流量分析中，数据包中常常包含各种地址（如 MAC 地址、IP 地址）或协议名称，这些信息以数值形式显示会让分析变得困难。Wireshark 提供了名称解析（Name Resolution）功能，可以将这些信息解析成更易于理解的名称，从而提升数据分析的效率和准确性。

本文将详细介绍名称解析设置界面的各选项及其应用场景，让您更好地掌握 Wireshark 的解析能力。

名称解析设置选项介绍

图中显示了 Wireshark 的名称解析设置界面，其中每个选项对应一项功能，以下是具体解析：

1. Resolve MAC addresses（解析 MAC 地址）

作用：将数据包中的 MAC 地址解析成对应的制造商名称。

应用场景：分析局域网流量时，快速识别设备制造商（如 Apple、Cisco 等），更直观地定位设备来源，而不是仅通过原始 MAC 地址。

注意：解析信息来源于 Wireshark 的内部 OUI（组织唯一标识符）数据库，如果未勾选，则只显示原始 MAC 地址。

2. Resolve transport names（解析传输层名称）

作用：将传输层协议（如 TCP、UDP）的端口号解析为对应的协议名称（如 HTTP、DNS）。

应用场景：快速识别常见协议（如 80 对应 HTTP，53 对应 DNS），无需记住端口号，更直观地了解数据流的上下文。

注意：不常见端口可能无法解析，需手动确认端口用途。

3. Resolve network (IP) addresses（解析网络层 IP 地址）

作用：将 IP 地址解析为对应的主机名。

应用场景：分析域名系统（DNS）流量或 IP 地址时，更直观地查看目标主机名，简化对复杂网络流量的理解。

注意：主机名解析依赖 DNS 或本地解析规则，勾选后可能增加网络请求数量。

4. Use captured DNS packet data for name resolution（使用捕获的 DNS 数据包进行名称解析）

作用：利用捕获的 DNS 数据包信息解析 IP 地址。

应用场景：网络抓包时，如果 DNS 请求和响应被捕获，Wireshark 可自动根据 DNS 数据显示主机名，提高解析速度，避免依赖外部 DNS 查询。

注意：仅适用于捕获过程中包含 DNS 数据包的情况，提高离线数据分析的效率。

5. Use SNI information from captured handshake packets（从捕获的握手包中提取 SNI 信息）

作用：通过 TLS 握手过程中的 SNI（Server Name Indication）字段解析目标服务器名称。

应用场景：分析 HTTPS 流量时，快速了解目标服务器的主机名，辨别加密流量的目的地址。

注意：仅适用于捕获 TLS 流量，且目标服务器支持 SNI，对隐私敏感场景可能有限制。

6. Use your system's DNS settings for name resolution（使用系统 DNS 设置进行名称解析）

作用：通过本地系统的 DNS 配置解析网络流量中的 IP 地址。

应用场景：实时流量分析时，使用系统配置的 DNS 服务器解析地址，方便与本地网络环境集成。

注意：可能增加实时解析的延迟，需确保本地 DNS 设置正确。

7. Use a custom list of DNS servers for name resolution（使用自定义 DNS 服务器进行名称解析）

作用：允许用户手动指定 DNS 服务器进行解析。

应用场景：网络隔离环境下，需要指定特定的 DNS 服务器，测试不同 DNS 服务器的解析行为。

操作方法：点击 “Edit...” 按钮添加自定义 DNS 服务器地址。

8. Maximum concurrent requests（最大并发请求数）

作用：控制 Wireshark 在名称解析过程中发出的最大并发 DNS 查询数量。

默认值：500。

应用场景：网络流量大时，适当调整该值避免解析过程对网络的额外负载，配置弱网络环境下的解析效率。

9. Resolve VLAN IDs（解析 VLAN ID）

作用：将数据包中的 VLAN ID 映射为对应的 VLAN 名称。

应用场景：分析企业网络流量时，快速识别 VLAN 配置，简化对复杂 VLAN 流量的理解。

注意：需配置 Wireshark 支持的 VLAN 名称列表。

10. Resolve SS7 PCs（解析 SS7 信令点码）

作用：解析 SS7（信令系统 7）协议的信令点码（Point Codes）。

应用场景：分析电信网络中 SS7 协议流量时更直观地查看点码名称，适用于通信运营商或核心网工程师。

注意：非 SS7 环境无需启用。

11. Enable OID resolution（启用 OID 解析）

作用：解析 SNMP（简单网络管理协议）中的 OID（对象标识符）为对应的对象名称。

应用场景：分析 SNMP 数据包时，更直观地查看管理对象名称，适用于网络设备管理或监控系统流量。

注意：解析信息来源于本地的 MIB 文件库。

12. Suppress SMI errors（抑制 SMI 错误）

作用：屏蔽在解析 OID 时发生的 SMI（结构化管理信息）错误。

应用场景：避免解析失败的错误信息干扰正常分析，提高分析界面的简洁度。

注意：勾选后错误不会显示，但可能会影响解析结果的完整性。

13. Enable IP geolocation（启用 IP 地理位置解析）

作用：根据 IP 地址查找对应的地理位置信息（如国家、城市）。

应用场景：分析全球网络流量时，快速定位流量来源，网络安全分析中查找潜在攻击源的地理位置。

注意：需使用 MaxMind 数据库，需手动配置地理位置数据库路径（点击 “Edit...”）。

优化网络性能：

• 在分析大规模流量时，关闭不必要的解析选项（如 IP 地理位置、OID 解析）。
• 设置合理的并发请求数。

总结

名称解析功能是 Wireshark 提供的强大工具，可以将复杂的地址和协议信息转换为人类更易理解的形式。通过合理配置这些选项，您可以大幅提升网络分析效率。