FTP
Active模式:客户端先发起通往FTP服务器(1024->21)的控制连接,后者随后主动发起一条通往前者(20->1025)的数据连接
Passive模式:客户端会先后发起通往FTP服务器端的控制(1024->21)和数据连接(1025->服务器给的端口如2000)各一。
排查FTP性能问题,遵循以下排障思路
1 确保234层没有故障,在FTP客户端ping 服务器,用大包,如1500字节。
2 是否有TCP retransmission和duplicate ack字样的数据包,若有需进一步查明这样数据包是只涉及FTP流量还是涉及所有TCP协议流量,若涉及整个TCP流量说明整个网络都有问题。
3 通过FTP传输文件时,若使用wireshark抓包,则相应的流量在IO graphs窗口将呈现直边梯形的趋势,在TCP graphs窗口中出现一条笔直的斜线。
4 FTP服务器向客户端发出身背TCP windows full字样的tcp报文,说明wireshark已识别出服务器发出这一TCP报文段,将会是填满客户端接收缓存的最后一个TCP报文段。
5 客户端向服务器发出窗口大小字段值为0的tcp报文段,目的是让服务器停止发送。
6服务器向客户端发送tcp zerewindowprobe字样的tcp报文,意在探测后者接收窗口是否仍为0
7片刻后客户端向服务器发出窗口大小字段值不为0的tcp确认报文tcp window update 让后者继续传输数据
导致FTP联通性故障的原因包括服务器无法提供服务,如主机宕机或服务不能正常启动,防火墙封锁了FTP连接,安装在FTP服务器或客户端主机上的某些软件破坏了FTP协议的正常运作等。排查故障时遵循思路
1 防火墙封锁了TCP连接
2 FTP服务器无法提供服务
3 安装在FTP主机上的某个软件干扰了FTP协议的正常运作,杀毒软件,VPN客户端连接,防火墙等
4 检查客户端主机,看是否VPN客户端软件或防火墙阻碍
5 当运行主动模式,客户端会先向服务器发起一条控制连接,后者再向前者发起一条数据连接,因此需配置防火墙,令其在两个方向上放行必要FTP流量,或将FTP模式改为被动模式。
HTTP
过滤
基于名称的HTTP显示过滤
http.host=="www.baidu.com" http.host contains "baidu" http.refere=="http://www.baidu.com/" 只让wireshark显示从这个域名链接过来的所有http请求包
基于http请求方法的显示过滤器
http.request.method==GET 包含get请求
http.request 显示http请求
http.reponse 显示http响应请求
http.request and not http.request.method==GET 显示http请求但get方法除外
基于HTTP状态码的过滤
http.reponse.code>=400 and http.reponse.code<=499
配置由非特殊字符作为参数的http过滤显示时,可不加“”,但配置由特殊字符作为参数值的,就必须加“”,http.host==“packpub\n\r”