目录
- 文章目的:主要是通过分析报文来分析问题
显示过滤器
物理层相关
以太网
eth.addr == e8:fc:af:f7:7e:35 #显示指定MAC地址的数据帧
eth.src == e8:fc:af:f7:7e:35 #显示指定源MAC地址的数据帧
eth.dst == e8:fc:af:f7:7e:35 #显示指定目的MAC地址的数据帧
eth.type == 0x0800 #显示指定类型(这里显示TCP)的帧
ip过滤
p #显示网络层为IP类型的数据包
ip.addr = 192.168.0.1 #显示包含指定IP地址的数据包
ip.src == 192.168.0.1 #显示包含指定源IP地址的数据包
ip.dst == 192.168.0.1 #显示包含指定目的IP地址的数据包
ip.len == 40 #显示包含指定长度(IP首部+数据部分)的IP数据包
传输层过滤器
tcp #显示网络层为IP类型的数据包
tcp.port == 80 #显示指定TCP端口的数据包
tcp.src == 80 #显示指定TCP端口的数据包
tcp.dst == 80 #显示指定TCP端口的数据包
tcp.analysis.retransmission #显示TCP重传数据包
tcp.analysis.duplicate_ack #显示TCP重复确认数据包
tcp.analysis.zero_window #显示包含零窗口通告信息的TCP数据包
tcp.connection.syn #显示TCP会话第一个包
tcp.connection.rst #显示TCP会话的RST包
tcp.flags.syn ==1 #显示TCP会话中SYN置位的包
tcp.flags.reset ==1 #显示TCP会话中RST置位的包
tcp.window_size < 100 #显示TCP窗口小于指定大小的包
tcp.stream eq 10 #显示特定TCP流
tcp.len == 20 #显示包含指定长度(TCP中的数据部分的长度)的TCP数据包
应用层过滤器
someip.serviceid == ? && someip.methodid == ? #选取需要的服务和Method
someip.serviceid == 0x5012 && someip.methodid == 0x8004
需要将车道线服务的信号拆解到最底层
然后根据颜色信号所在字节的位数来进行读取
时间过滤
frame.time == "May 27, 2019 15:23:57.932344000"
#显示特定时间的数据包
frame.time >= "May 27, 2019 15:23:57.0" && frame.time < "May 27, 2019 15:23:58.0"
#显示时间间隔的数据包
巧用统计工具
1. 统计->已解析地址
可通过“已解析地址”查看地址对应的域名情况
2.统计->对话
通过“对话”查找会话两端的IP地址,并可进行数据包的统计,确定不同会话的通信量。
3、统计->流量图
流量图”可查看会话的流量情况。特别适合分析丢包、重传、重复ACK等情况。
4、统计->TCP流图形
通过“TCP流图形”可以判断出数据包中整个会话周期或者特定时间段内会话的吞吐量、往返时间、窗口尺寸等情况。
示例:
统计→ TCP 流图形→ 往返时间。
ps:这个功能很好用,能够很只管的看到两个 节点间是否有 ACK 回复延迟的情况。
其他有用
追踪流
Wireshark的跟踪数据流功能可以将捕获的数据包排好顺序使之容易查看。右键捕获的数据包并选择追踪流,假设选择HTTP流,HTTP流就会在一个单独的窗口中显示。
红色用来标明从源地址前往目标地址的流量,而蓝色用来区分从目标地址到源地址的流量。
专家信息
分析类型框 → 专家信息
Wireshark的专家信息是非常强大的一个分析模块,分别对错误、警告、注意、聊天等数据信息做出分类和注释,对网络故障分析提供了强有力的信息依据,让你准确快速地判断出故障点,并进行下一步处理。
窗口介绍
点击“专家信息”弹出如下窗口,列出所有的信息类型和相关注释信息,显示列表可以选择对其中一类信息进行分析。
Error
当选择列表选中“错误”,专家信息窗口就只显示错误数据信息,可以清晰地看到错误数据包的概述摘要,分组,协议类型和包的数量等各类型的注释。
2、Warning
同样,在选择“警告”会单独显示其数据信息,左边的数字是数据包的序列号,协议类型和数据包的数量等,不在做过多解释。
3 chat and note
这两项的数据在分析时作为辅助数据依据,因为如果不是超大的数据量,就不会对网络构成故障。
A、错误、警告这两组数据决定故障的起因,聊天、注意可以辅助分析。
B、那项数据包越多,不论是错误、警告、聊天、注意,都要做为重点分析的对象。
C、注意连续包、间隔时间和协议类型综合起来分析。
协议分层统计
分析捕获文件中协议的分布情况,比如获知TCP协议的百分比,UDP的百分比,使用Wireshark的统计->协议分级就可以实现。
查看端点
分析数据流量时,需要分析特定端点的流量,Wireshark的统计->端点给出了每个端点的有用统计数据,包括地址,传输发送数据包,字节数等