統(tǒng)計(jì)網(wǎng)絡(luò)端點(diǎn)信息
通過上次課程的學(xué)習(xí)爆土,我們已經(jīng)掌握了關(guān)于Wireshark的基礎(chǔ)知識隔躲,那么接下來我 們就有必要來研究一下這款軟件強(qiáng)大的表格功能了乡小。
這里首先講解一下關(guān)于網(wǎng)絡(luò)中的端點(diǎn)以及會話的知識。在網(wǎng)絡(luò)中必搞,如果想讓通信得 到正常的執(zhí)行届案,那么就必須至少擁有兩臺設(shè)備或者說端點(diǎn)(EndPoint)進(jìn)行數(shù) 據(jù)的交互操作。所謂的端點(diǎn),就是指網(wǎng)絡(luò)上用于發(fā)送或者接收數(shù)據(jù)的設(shè)備原叮。比如在 基于TCP/IP協(xié)議的通信中,就包含有兩個端點(diǎn):發(fā)送方和接收方的IP地址巡蘸, 結(jié)合著實(shí)驗(yàn)文件(Lab2-1)可以發(fā)現(xiàn)奋隶,對于捕獲的第1個數(shù)據(jù)包來說,發(fā)送方的IP 地址是180.97.34.134悦荒,而接收方的IP地址是192.168.0.14唯欣。那么這兩個IP地址其 實(shí)就是兩個端點(diǎn):
而在數(shù)據(jù)鏈路層,通信則是基于兩臺主機(jī)中安裝的網(wǎng)卡和它們的MAC地址進(jìn)行 的搬味。依舊分析一下第1個數(shù)據(jù)包境氢,我們在Packet Details面板中展開Ethernet II ,可以看到發(fā)送方的地址是94:de:80:d4:be:c9碰纬,而接收方的地址是 d0:fa:1d:61:0b:0c萍聊。那么這兩個地址就是通信中的端點(diǎn):
我們在實(shí)際分析過程中,面對網(wǎng)絡(luò)流量的時候悦析,可以將問題定位到網(wǎng)絡(luò)中的一個特 定的端點(diǎn)上寿桨。可以在菜單欄中選擇“Statistics”->“Endpoints”來打 開Endpoints窗口:
可以看到强戴,這個窗口給出了端點(diǎn)中的非常多的有用的數(shù)據(jù)亭螟。在其頂部的選項(xiàng)卡中, 顯示了當(dāng)前捕獲文件中所有被支持和識別的端點(diǎn)骑歹,每個選項(xiàng)卡都表示不同的協(xié)議媒佣。灰色的選項(xiàng)卡表示不存在該協(xié)議的統(tǒng)計(jì)信息陵刹。以Ethernet選項(xiàng)卡為例默伍,每列 所表示的信息為:
Address:端點(diǎn)的地址
Packets:在捕獲文件中包含該地址的數(shù)據(jù)包數(shù)量欢嘿。
Bytes:數(shù)據(jù)包的字節(jié)數(shù)據(jù)。
Tx Packets:發(fā)送的數(shù)據(jù)包數(shù)量也糊。
Tx Bytes:發(fā)送的數(shù)據(jù)包的字節(jié)數(shù)炼蹦。
Rx Packets:接收的數(shù)據(jù)包數(shù)量。
Rx Bytes:接收的字節(jié)數(shù)
在這個窗口中還包含有名為“Name resolution”的多選框狸剃,它可以在端點(diǎn)窗 口中打開名字解析的功能掐隐。上圖是包含有名字解析的,下圖則是取消名字解析的情 況:
查看網(wǎng)絡(luò)會話信息
所謂的網(wǎng)絡(luò)會話(Conversation)可以理解為兩個人之間的談話钞馁,只不過網(wǎng)絡(luò) 會話描述的是兩臺主機(jī)(端點(diǎn))之間進(jìn)行的通信活動虑省。對于TCP協(xié)議來說,最常 見的會話就是連接建立時的三次握手了僧凰√骄保可以在菜單欄中選擇“Statistics”->“Conversations”來打開Conversations窗口:
與Endpoints窗口相同,Conversations窗口中所列出的會話同樣以不同的協(xié)議分
布在不同的選項(xiàng)卡中训措,這可以通過頂部的選項(xiàng)卡進(jìn)行切換伪节。如果我們右鍵單擊一個
會話,選擇“Apply as Filter”->“Selected”就可以創(chuàng)建一些非常
實(shí)用的篩選器绩鸣,比如顯示由設(shè)備A發(fā)出的所有數(shù)據(jù)怀大,設(shè)備B收到的所有數(shù)據(jù),或者設(shè)
備A和B之間的所有通信數(shù)據(jù)等呀闻。而一旦我們選擇了其中的某一項(xiàng)篩選條件化借,那么回
到Wireshark主界面時,在篩選條件輸入框中捡多,自動就會添加上剛才選擇的條件:
使用端點(diǎn)和會話窗口分析網(wǎng)絡(luò)問題
在排解網(wǎng)絡(luò)問題的過程中屏鳍,端點(diǎn)和會話窗口往往扮演著非常重要的角色。當(dāng)我
們試圖尋找網(wǎng)絡(luò)中大規(guī)模流量的源頭局服,或者查找哪臺服務(wù)器最為活躍上面钓瞭,這兩個
窗口往往就能告訴我們一切。這里我們打開Lab2-2.pcap這個實(shí)驗(yàn)文件淫奔,利用篩選
器只保留http協(xié)議的數(shù)據(jù)包山涡。可以發(fā)現(xiàn)唆迁,有多個客戶端在瀏覽互聯(lián)網(wǎng)時產(chǎn)生了大
量的http流量鸭丛。那么現(xiàn)在我們可以使用端點(diǎn)窗口來查看一下具體的情況:
這里我們查看IPv4選項(xiàng)卡,并且以字節(jié)數(shù)從高到低進(jìn)行排序唐责×鄹龋可以看到流量最大的
是172.16.16.128這個地址,其實(shí)也就是本機(jī)地址鼠哥,說明網(wǎng)絡(luò)中的這個設(shè)備是數(shù)
據(jù)集中最活躍的信息源熟菲,也就是進(jìn)行了最多通信的主機(jī)看政。第二個地址是
74.125.103.163,并不是本地地址抄罕,那么就可以假設(shè)本地某一個或者多個客戶端
與這個地址進(jìn)行了一些交互允蚣。利用ip.cn網(wǎng)站查詢這個IP地址的信息如下:
www.ip.cn.
可以發(fā)現(xiàn),這個IP地址屬于美國的谷歌公司呆贿。
或者我們也可以使用GeoLiteCity.dat來輔助我們進(jìn)行分析嚷兔。首先將實(shí)驗(yàn)文件中
的maxmind目錄拷貝到C盤的根目錄下,然后在Wireshark中選擇菜單欄
的“Edit”->“Preferences”->“Name Resolution”做入。在新打開
的界面中選擇“GeoIP Database Directories”后面的Edit按鈕冒晰,單擊
New,選擇maxmind目錄竟块,再OK壶运。之后重啟Wireshark,那么當(dāng)我們
再次載入Lab2-2.pcap彩郊,打開端點(diǎn)窗口,再選擇IPv4選項(xiàng)卡蚪缀,就會發(fā)現(xiàn)這里添加了
City秫逝、Latitude以及Longitude這幾列的信息:
此時再單擊Map按鈕,就可以將所有數(shù)據(jù)包定位在一張地圖上询枚,點(diǎn)擊地圖上的
圓點(diǎn)违帆,還可以顯示相應(yīng)的信息:
下面我們來分析一下會話窗口。這里有一個問題金蜀,最活躍的通信端點(diǎn)一定包含有流
量最大的會話嗎刷后?不妨驗(yàn)證一下,這里打開會話窗口渊抄,選擇IPv4選項(xiàng)卡尝胆,再用字節(jié)
數(shù)對列表進(jìn)行排序:
在這里可以看到,74.125.103.163這個IP地址發(fā)出的數(shù)據(jù)包要比
172.16.16.128這個地址發(fā)出的數(shù)據(jù)包大得多护桦。說明最活躍的通信端點(diǎn)并不一定包
含有流量最大的會話含衔。我們以后在實(shí)際的分析中,還會用到這兩個窗口二庵。
協(xié)議的分層統(tǒng)計(jì)
當(dāng)我們在分析一個很大的捕獲文件時贪染,我們往往想要知道文件中協(xié)議的分布情況
,或者想要獲取協(xié)議的多層結(jié)構(gòu)信息催享。為了達(dá)到這個目的杭隙,我們可以使用
Wireshark的“協(xié)議分層統(tǒng)計(jì)”功能,它是對網(wǎng)絡(luò)進(jìn)行基準(zhǔn)分析的強(qiáng)有力的工具
因妙。舉個例子來說痰憎,假設(shè)我們網(wǎng)絡(luò)中的ARP流量通常占百分之十票髓,但是某一天經(jīng)過抓
包分析發(fā)現(xiàn)ARP的流量增長到了百分之五十,那么就可以知道一定是某個地方出了
問題信殊。
這里我們依舊研究Lab2-2.pcap這個實(shí)驗(yàn)文件炬称,在菜單欄中選擇“Statistics
”->“Protocol Hierarchy”,打開協(xié)議分層統(tǒng)計(jì)窗口:
這個對話框顯示了捕獲的文件中所包含的所有協(xié)議的樹狀分支涡拘。其中的每一行都
包含一個協(xié)議層次的統(tǒng)計(jì)值玲躯,每列的含義如下:
Protocol:協(xié)議的名稱
%Packets:含有該協(xié)議的數(shù)據(jù)包的數(shù)量在捕獲文件的所有數(shù)據(jù)包中所占的 比例
Packets:含有該協(xié)議的數(shù)據(jù)包的數(shù)量
%Bytes:含有該協(xié)議的字節(jié)數(shù)目在捕獲文件的所有字節(jié)數(shù)目中所占的比例
Bytes:含有該協(xié)議的字節(jié)數(shù)
MBits/s:協(xié)議的帶寬(相對于捕獲時間)
如果大家在學(xué)習(xí)的過程中想要獲取更為詳細(xì)的說明,也可以點(diǎn)擊左下角 的“Help”按鈕鳄乏,從而打開幫助文檔跷车。
其實(shí)協(xié)議分層統(tǒng)計(jì)窗口是我們在進(jìn)行網(wǎng)絡(luò)流量檢查時最先打開的窗口之一,因?yàn)?它能夠提供給我們一個網(wǎng)絡(luò)中活動類型的直觀快照橱野。通過查看這個窗口朽缴,檢查正在 使用的協(xié)議分布情況,從而獲取網(wǎng)絡(luò)中用戶和設(shè)備的情況水援。往往只需要簡單地查看 網(wǎng)段中的流量密强,就可以立刻分辨這個網(wǎng)段屬于哪個部門。比如IT部門網(wǎng)段的流量中 通常有管理協(xié)議蜗元,例如Internet控制報文協(xié)議(ICMP)或者簡單網(wǎng)絡(luò)管理協(xié)議 (SNMP)或渤,而訂單管理部門通常有大量的簡單郵件傳輸協(xié)議(SMTP)的流量。 甚至我們還可以在特定的網(wǎng)段中找到玩網(wǎng)絡(luò)游戲或者看網(wǎng)絡(luò)視頻的流量信息奕扣。