Wireshark教程之统计功能（TEST）

1、工具介绍

2、主要应用

                       

实验原理

Wireshark的原名是Ethereal，新名字是2006年起用的。当时Ethereal的主要开发者Gerald决定离开他原来供职的公司NIS，并继续开发这个软件。但由于Ethereal这个名称的使用权已经被原来那个公司注册，Wireshark这个新名字也就应运而生了。

　　Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据，并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样，Wireshark也使用pcap network library来进行包捕捉。

                       

实验内容

1、Wireshark统计功能

2、捕捉文件摘要

3、捕捉包层次结构

4、会话统计

5、网络节点统计

6、HTTP

                       

实验环境描述

实验环境描述

1、学生机与实验室网络直连;

2、VPC1与实验室网络直连;

3、学生机与VPC1物理链路连通；

pc机：Windows7旗舰版

                       

实验步骤

打开桌面上的wireshark工具，

Wireshark统计功能

Wireshark的一个强大的功能在于他的统计工具，使用Wireshark的时候我们有各种类型的工具可供选择，这里介绍基本网络统计工

具。包括：捕捉文件摘要（Summary）、捕捉包层次结构（Protocol Hirarchy）、会话（Conversations）、网络节点（Endpoints）、HTTP

捕捉文件摘要

1、捕捉文件摘要对抓取的数据包进行全局统计，Staristics–>Summary

2、这一菜单简单收集所有抓包数据，在定义了过滤条件的时候，将呈现过滤后的数据，当想要知道每秒的平均报文数或字节数时，使用此工具

File：捕捉文件的一般信息，如文件名和路径，长度，等等。

Tme：第一个包和最后一个包的时间戳，以及抓包过程持续时间。

Capure：显示文件捕捉于哪一个接口，以及评论窗口。

Display窗口，展示抓包文件统计信息的摘要，包括：捕捉报文总数与百分比，显示报文数量（加上过滤条件之后），标记报文数量

捕捉包层次结构

1、捕捉包层次结构统计了通信流量中不同协议占用额百分比，通过这个工具可以对全网流量有直观的了解，到底整个网络那些流量占用最多，那些占用最少等等。打开statistics–>protocol hierarchy

图中我们可以看出，Ethernet的流量包括IPv4和IPv6，IPv4包括UDP和TCP，这几个分项的和就是以太网百分百的流量

Protocol：协议名称

％ Packets：含有该协议的包数目在捕捉文件所有包所占的比例

Packets：含有该协议的包的数目、Bytes含有该协议的字节数

Mbit/s：抓包时间内的协议带宽、End Packets 该协议中的包的数目（作为文件中的最高协议层）

End Bytes：该协议中的字节数（作为文件中的最高协议层）

End Mbit/s ：抓包时间内的协议带宽（作为文件中的最高协议层）

2、在网络异常的时候，通过分析这些数据包占用的流量我们可以判断网络问题，如图这是一个正常的网络占用百分比，例如网络发生了ARP攻击，那么ARP在这里的占用也许会显示20％或者30％

会话统计

1、会话统计功能，统计通信会话之间接收和发送的数据包和字节数，通过这个工具可以找出网络中哪个会话（IP地址或端口号）最占用带宽，进一步作出网络策略。打开Statistics–>Conversations

2、进入界面可以选择2层以太网统计数据，第3层IP统计数据，或4层tcp或udp统计数据。

3、在以太网回话统计中可以查找以下问题：（1） 可以看见较轻微的广播风暴；而对于每秒数千甚至数万个报文的严重广播风暴，Wireshark会停止显示数据并且屏幕冻结。只有断开Wireshark连接时才能看见。（2）如果你看到来自某一MAC地址的大量数据，查看会话第一部分的vendor ID，会给你一些导致问题的线索。即使MAC地址的第一部分标识了vendor，但它并不一定就标识了PC本身。这是由于MAC地址属于PC上安装的以太网芯片厂商，而并不一定属于PC制造商。如果无法识别数据流来源地址，可以ping嫌疑地址并通过ARP获取它的MAC地址，在交换机中查找该地址，如果有操作系统的话直接用find命令来定位。

在IP会话统计中可以查找一下问题：（1）查看收发大量数据流的IP地址。如果是你知道的服务器（你记得服务器的地址或地址范围），那问题就解决了；但也有可能只是某台设备正在扫描网络，或仅是一台产生过多数据的PC。（2） 查看扫描模式（scan pattern）。这可能是一次正常的扫描，如SNMP软件发送ping报文以查找网络，但通常扫描都不是好事情。

在tcp/udp会话统计中可以查看以下问题（1） 查看带有太多TCP连接的设备。每一个PC合理的连接数是10到20个，上百个则是不正常的（2）尝试查找无法辨识的端口号。它可能是正常的，但也可能是有问题的。

网络节点统计

1、网络节点功能，统计通信会话中每个节点接收和发送的数据包和字节数，通过这个工具可以找出网络中哪个节点（IP地址或端口号）最占用带宽。打开statistics–>Endpoints

2、如下图所示，在此窗口中能够看到2,3,4层的endpoints，也就是以太网。IP，tcp或udp，终端节点统计是面向IP的，可以查看具体某一个IP发送的流量以及占用带宽

3、这一工具列出了Wireshark发现的所有endpoints上的统计信息，可以是一下任意一种情况：

少量以太网endpoints（MAC地址）与大量IP终端节点（IP地址）：可能的情况例如，一个路由器从很多远端设备收发报文，我们会看见路由器的MAC地址以及很多IP地址经由此处。

少量IP终端节点与大量tco终端节点：可能的情况是每一台主机有很多个tcp连接。可能是有很多连接到额服务器的一个正常操作，也可能是一种网络攻击（如SYN攻击）

HTTP

1、从statistic菜单，选择HTTP，将会出现以下窗口

2、在http子菜单中，可以看到以下信息

Packet Counter：每一个网站的报文数量。帮助识别有多少响应和请求。

Requests：各网站的请求分布

Load Distribution：各网站的负载分布

查看Packet Couter统计信息，显示以下过滤窗口，在此窗口中，可设置过滤条件以查看符合条件的统计信息。信息想要查看整个抓包文件的统计信息，不添加信息就会显示IP层之上的统计信息，也就是所有http报文，点击Create Stat。

3、如下图所示，显示了Http Requests，Http Responses信息

4、查看Requests信息，选择所需过滤条件，不输入过滤条件则对于所有数据

5、点击Create Stat按钮，会出现以下窗口

6、查看Load Distribution统计信息，出现以下窗口。暂时不输入任何过滤条件，点击Create Stat按钮

7、当我们打开一个网页，通常会向若干个URL发出请求，这里记录了我们发送的若干个请求，到root URL，到breaking_news URL，以及主页上的其他位置。