前言
下面是我总结我工作以来的的wireshark的操作经验,学完后,可以快速在茫茫数据中,一眼定位出原因。也是我自己对于wireshark的学习与总结,废话不多说,开始吧。好看,有用,请不要吝啬赞哦。
当前文章只列出看图技巧
其他文章可以点击我的空间进行查看。
干货开始
众所周知,我们在负载或者核心,防火墙上我们去抓数据包,不管抓包条件过滤设置有多好,涉及到核心业务时,数据包往往都是几百兆甚至几个G数据,我们去分析的时候一看数据包,很大很乱怎么办?
1.
比如说下图,点击三次握手SYN包 然后会出现一个开始的标记 那个就代表数据包开头 然后往下看 如果是虚线 那就代表该数据包和我开始选中的数据包没有关系 如果是实线 那就代表两者有关联。
2
对号对号的作用又是什么呢,大家都知道 数据包传输过程中,客户端和服务器之间的交付是一端发一个 另外一端会回一个确认包 确定包数据是否正确。如果说我点击第二个数据包 然后上面数据包出现个对号 那第二个数据包就是第一个数据包的确认包。
3
请求包和应答包,如何去分析庞大的数据是哪个数据包是发送请求的?哪个是应答的呢?
可以看这个箭头 如果箭头向左那就是收到的。反之就是发送的,我们选择对应发送的请求包 往下面去找 就能找到对应应答的 而这个箭头上面这个点是表示 和这个应答包相关的数据包
案例:
根据上面的解释 下图就是应答包
4
那我们来总结下:
第一个是这个会话中数据包的开始的位置
第二个实线是 中间和这个我们选中的数据包相关的包的标识
第三个虚线是 中间和这个我们选中的数据包不相关的包的标识
第四个是指的是这个会话的结束位置
第五个表示这个是箭头向右就是请求包
第六个表示箭头向左表示应答包
第七个就是确认包
第八个就是双重确认包
第九个就是相关的包的意思
5.
我怎么去定位出对应故障包 或者重传包呢 比如说我一个数据包里面 有几十万个包 但是我重传的就10几个报错的 怎么快速把这些报错的 或者其他的类型定位出来呢?
风险里面有个专家信息 可以在这里找对我们要找的数据包类型,
举例:
比如这里我要定位出重传包。只要选择下面这个红色的重传 那所有重传包都赛选出来了。
6
往往排查中,数据包很大,我们要结合转发目的IP 目的MAC去看是否异常 我们怎么统计到底哪个MAC地址发包 统计出广播地址包多吗,统计数据包传输次数呢?
wireshark上可以通过上面分析 整个数据包 发给那个MAC或者IP地址发的比较多地址比较多,是谁发的 路径在统计-会话。
小结
` 这个是我工作学习中总结到的经验 还是挺有作用的,如果觉得有帮助的话,可进行点赞催更哦,下期更新wireshark常见数据包报错语法,让您一看数据包提示就能迅速定位出原因。