本文深入探讨Wireshark在网络问题分析中的应用,包括筛选器语法、信息统计、常见协议包及实战案例。通过案例分析TCP错误恢复、流量控制机制、NMAP SYN扫描和操作系统指纹术,揭示网络问题诊断与解决的关键步骤。
本文假定的基础是阅读者会使用Wireshark了,这里就对一些应用的场景以及一些不正常的网络环境来进行分析的案例~
这里先列一下筛选器的语法:
过滤语法:
| 限定词 | 例子 |
| Type | host、net、port |
| Dir | src、dst |
| Protocol | ether、ip、tcp、udp、http、ftp |
逻辑运算符:&&、||、!等
操作符:==、!=、>、<、>=、<=等
Wireshark的信息统计(Statistics)
每次查看大量数据包流量时,建议从Wireshark的信息统计部分开始进行总的查看,往往能够了解到大体的一些信息,对后续具体的流量分析作用很大。
查看端点(Endpoints),往往可以观察到该数据包中哪些地址的流量较多等信息,可以判断出哪些地址比较可疑等信息,如下:
如图可知哪些IP地址的流量较多。
查看会话(Conversations),会话跟端点的区别在于会区别显示哪两个IP在通信,且各自都发送多大的数据等,如下:
协议分层(Protocol Hierarchy Statistics),从该窗口中可看出是哪些协议的流量比较多,如下:
每次进行流量检查的时候最好先打开这个窗口,方便进行总的流量查看,若不常用的协议流量较多时则可能存在一些异常行为。
数据包长度(Packet Lengths),可以查看数据包的大小所占百分比,如果存在着很多的较大的数据包,则很可能是在传输数据,如下:
查看IO图(IO Graphs),显示下载量和下载速度,如下分别为下载慢的和快的:
双向时间图(TCP Stream Graph>Round Trip Time Graph),确定是否存在延迟,
最低0.47元/天 解锁文章
4314
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
