在平时,我们经常捕获到的文件都非常大,面对茫茫的数据包,我们不知道该如何下手,wireshark提供了非常多 的有用分析功能,让我们使用,下面我来列举几个 相对比较常用的
wireshark 的版本是 2.6.5
查看端点 statistics -> endpoints
在分析数据流量时,你可能会发现你可以将问题定位到网络中的一个特定端点上去。wireshark 的 endpoints 窗口
(Statistics->Endpoints)给出了每一端点的许多 有用 统计数据,包括每个端点的地址,传输发送数据包的数量和字节数。
查看会话窗口 statistics -> conversations
以地址A 和 地址B 显示了会话中端点的地址,以及每一台设备发送或收到的数据包和字节数端点 和 会话 窗口在网络 问题 定位中 十分重要,特别是当你试图找到网络中大规模流量的源头,或者找到哪台服务器最活跃
基于协议分层结构的统计数据 statistics - Protocol Hierarchy
当在于特别大的捕获文件打交道时,你有时会需要知道文件中协议的分布情况,也就是捕获中TCP,IP,DHCP等所占的百分比是多少
跟踪TCP流 右键 --> Follow --> TCP Stream
跟踪TCP流这个功能可以将从客户端发往服务器的数据排好顺序使之容易查看,而不需要一小块一小块地看。这在查看HTTP,FTP等纯文本应用协议时非常好用
我们注意到这个窗口中的文字以两个颜色显示,其中红色用来标明从源地址前往目标地址的流量,而蓝色用来区分相反方向也就是从目标地址到源地址的流量。
数据包长度 statistics -> Packet Lengths
以太网头是14字节
IP头最小20字节
没有数据以及选项的TCP数据包也是20字节
也就是意味着典型的TCP控制数据包 --- 例如TCP,ACK,RST和FIN数据包 --大约是54字节并落入了这个区域
查看数据包长度是一个概览捕获文件的好方法。如果存在着很多较大的数据包, 那么很大的可能便是进行了数据传输。如果绝大多数的数据包都很小,我们 便可以假设这个捕获中存在协议控制命令,而没有传输大规模的数据
查看 IO图 statistics -> I/O Graph
wireshark 的IO图 窗口可以让你 对网络上的吞吐量进行绘图. 你可以 利用这些图,找到数据吞吐的峰值,找出不同协议
中的性能时滞,以及用来比较实时数据流
双向 时间图 statistics -> TCP Stream Graphs -> Round Trip Time
这个图中的每一个点都代表了一个数据包的双向时间。在默认情况下,这些值按照其序列号排序
双向时间(round-trip time,RTT) 就是确认一个数据包已被成功接收所需的时间。解释得更清楚一点
就是,双向时间就是你的数据包抵达目的地和这个数据包抵达所发送的确认返回到你的时间之和。对
双向时间的分析通常被用来找到通信中的慢点或者瓶颈,以确定是否存在延迟
数据流图 statistics -> Flow Graph
数据流绘图功能对于将连接可视化,以及将一段时间中的数据流显示出来,非常有用。数据流图一般以列的方式将主机之间的连接显示出来,并将流量组织到一起,以便于你更直观地解读
专家信息analyze->expert information
wireshark 专家系统,统计TCP包的信息,可以识别一些 保活ACK,0窗口ACK,重传等一些信息。非常好用的功能
参考资料
wireshark数据包分析实战