Wireshark是分析网络流量的事实标准。不幸的是，随着数据包捕获的增长，它确实变得越来越滞后。Brim很好地解决了这个问题，它将改变Wireshark的工作流程。

wireshark很棒，但是。

Wireshark是一个很棒的开源软件。它被世界各地的业余爱好者和专业人士用来调查网络问题。它捕获数据包，这些数据包沿着电线或通过网络的以太传输。一旦你捕获了你的流量，Wireshark允许你过滤和搜索数据，跟踪网络设备之间的对话，等等。

尽管Wireshark很伟大，但它确实有一个问题。网络数据捕获文件（称为网络跟踪或数据包捕获）可以非常大，非常快。如果您试图调查的问题是复杂的或零星的，或者网络又大又忙，这一点尤其正确。

数据包捕获（或PCAP）越大，Wireshark就越滞后。仅仅打开并加载一个非常大的（任何超过1GB的）跟踪就可能需要很长时间，你可能会认为Wireshark已经放弃了这个幽灵。

处理这么大的文件真的很痛苦。每次执行搜索或更改筛选器时，都必须等待效果应用于数据并在屏幕上更新。每一次延迟都会扰乱你的注意力，这会阻碍你的进步。

边缘是这些不幸的补救办法。它充当Wireshark的交互式预处理器和前端。当你想看到Wireshark能够提供的粒度级别时，Brim会立即为你打开那些包。

如果你做了大量的网络捕获和数据包分析，Brim将彻底改变你的工作流程。

相关：如何在Linux上使用Wireshark过滤器

安装边缘

Brim非常新，所以它还没有进入Linux发行版的软件库。不过，在Brim下载页面上，您会找到DEB和RPM包文件，因此在Ubuntu或Fedora上安装它就足够简单了。

如果您使用另一个发行版，您可以从GitHub下载源代码并自己构建应用程序。

Brim使用zq，一个用于Zeek日志的命令行工具，因此您还需要下载一个包含zq二进制文件的ZIP文件。

在ubuntu上安**rim

如果您使用的是Ubuntu，则需要下载DEB包文件和zqlinux ZIP文件。双击下载的DEB包文件，Ubuntu软件应用程序就会打开。Brim许可证被错误地列为“专有”许可证—它使用BSD 3条款许可证。

单击“安装”

安装完成后，双击zq ZIP文件以启动Archive Manager应用程序。ZIP文件将包含一个目录；将其从“归档管理器”拖放到计算机上的某个位置，如“下载”目录。

我们键入以下内容来创建zq二进制文件的位置：

我们需要将二进制文件从提取的目录复制到刚刚创建的位置。在以下命令中替换计算机上提取目录的路径和名称：

我们需要将该位置添加到路径中，以便编辑BASHRC文件：

gedit编辑器将打开。滚动到文件底部，然后键入此行：

保存更改并关闭编辑器。

在软呢帽上安装帽檐

要在Fedora上安装Brim，请下载RPM包文件（而不是DEB），然后按照上面为Ubuntu安装介绍的步骤进行操作。

有趣的是，当RPM文件在Fedora中打开时，它被正确地标识为具有开源许可证，而不是专有许可证。

发射边缘

单击dock中的“Show Applicati***”（显示应用程序）或按Super+A。在搜索框中键入“brim”，然后在出现时单击“brim”（边缘）。

Brim启动并显示其主窗口。您可以单击“选择文件”打开文件浏览器，或在红色矩形包围的区域中拖放PCAP文件。

Brim使用选项卡式显示，您可以同时打开多个选项卡。要打开新选项卡，请单击顶部的加号（+），然后选择另一个PCAP。

帽檐基本款

Brim加载并索引所选文件。指数是Brim如此之快的原因之一。主窗口包含一个随时间变化的数据包量直方图和一个网络“流”列表

PCAP文件为大量网络连接保存一个按时间顺序排列的网络数据包流。各种连接的数据包混合在一起，因为其中一些数据包将被同时打开。每个网络“会话”的数据包与其他会话的数据包**在一起。

Wireshark逐包显示网络流，而Brim使用一个称为“流”的概念。流是两个设备之间的完整网络交换（或对话）。每个流类型都按流类型进行分类、颜色编码和标记。您将看到标记为“dns”、“ssh”、“https”、“ssl”等的流。

如果向左或向右滚动流摘要显示，将显示更多的列。您还可以调整时间段以显示要查看的信息子集。以下是查看数据的几种方法：

• 单击柱状图中的条形图以放大其中的网络活动。
• 单击并拖动以高亮显示直方图显示范围并放大。Brim将显示突出显示部分的数据。
• 您还可以在“日期”和“时间”字段中指定确切的期间。

rim可以显示两个侧窗格：一个在左侧，一个在右侧。这些可以隐藏或保持可见。左边的窗格显示了一个搜索历史和打开的pcap列表，称为空间。按Ctrl+[打开或关闭左窗格。

右侧的窗格包含有关高亮显示的流的详细信息。按Ctrl+]打开或关闭右窗格。

单击“UID Correlation”列表中的“Conn”，打开高亮显示流的连接图。

在主窗口中，还可以高亮显示流，然后单击Wireshark图标。这将启动Wireshark，并显示高亮显示流的数据包。

Wireshark打开，显示感兴趣的数据包。

边缘过滤

Brim中的搜索和过滤是灵活和全面的，但是如果你不想，你不必学习新的过滤语言。通过单击摘要窗口中的字段，然后从菜单中选择选项，可以在Brim中构建语**确的过滤器。

例如，在下图中，我们右键单击了一个“dns”字段。然后我们将从上下文菜单中选择“Filter=Value”。

然后会发生以下情况：

• 文本\u path=“dns”将添加到搜索栏。
• 该过滤器应用于PCAP文件，因此它将仅显示****（DNS）流。
• 过滤文本也会添加到左窗格中的搜索历史记录中。

我们可以使用相同的技术向搜索词中添加更多的子句。我们将右键单击“IP地址”字段（包含“192.168.1.26”）原始Id列，然后从上下文菜单中选择“Filter=Value”。

这会将附加子句添加为AND子句。现在过滤显示以显示源自该IP地址的DNS流（192.168.1.26）。

新的筛选条件将添加到左窗格中的搜索历史记录中。通过单击“搜索历史记录”列表中的项目，可以在搜索之间切换。

大多数过滤数据的目标IP地址是81.139.56.100。要查看哪些DNS流被发送到不同的IP地址，我们右键单击“Id\u resp\u h”列中的“81.139.56.100”，然后选择“Filter！=上下文菜单中的“值”。

只有一个来自192.168.1.26的DNS流没有发送到81.139.56.100，我们已经找到了它，而不必键入任何内容来创建我们的过滤器。

固定筛选子句

当我们右键单击“HTTP”流并从上下文菜单中选择“Filter=Value”时，摘要窗格将只显示HTTP流。然后我们可以单击HTTP filter子句旁边的Pin图标。

HTTP子句现在固定到位，我们使用的任何其他过滤器或搜索术语都将在HTTP子句的前面执行。

如果我们在搜索栏中键入“GET”，搜索将被限制为已经被pinned子句过滤的流。您可以根据需要固定尽可能多的筛选子句。

要在HTTP流中搜索POST数据包，只需清除搜索栏，键入“POST”，然后按Enter键。

横向滚动显示远程主机的ID。

所有搜索和筛选条件都会添加到“历史记录”列表中。要重新应用任何筛选器，只需单击它。

您还可以按名称搜索远程主机。

编辑搜索词

如果您想搜索某个内容，但没有看到该类型的流，可以单击任意流并编辑搜索栏中的条目。

例如，我们知道PCAP文件中必须至少有一个SSH流，因为我们使用rsync将一些文件发送到另一台计算机，但是我们看不到它。

因此，我们将右键单击另一个流，从上下文菜单中选择“Filter=Value”，然后编辑搜索栏，使其显示“ssh”而不是“dns”

我们按回车键搜索SSH流，发现只有一个。

按Ctrl+]将打开右侧窗格，其中显示此流的详细信息。如果在流期间传输了文件，则会显示MD5、SHA1和SHA256散列。

右键单击其中任何一个，然后从上下文菜单中选择“VirusTotal Lookup”以在VirusTotal网站上打开浏览器，并传入哈希以进行检查。

VirusTotal存储已知恶意软件和其他恶意文件的哈希值。如果您不确定某个文件是否安全，这是一种简单的检查方法，即使您不再有权访问该文件。

如果文件是良性的，您将看到下图所示的屏幕。

wireshark的完美补充

Brim允许您处理非常大的数据包捕获文件，从而使使用Wireshark变得更快、更容易。今天试运行一下！