wireshark學(xué)習(xí)筆記(二)——實(shí)用表格

統(tǒng)計(jì)網(wǎng)絡(luò)端點(diǎn)信息

通過上次課程的學(xué)習(xí)爆土,我們已經(jīng)掌握了關(guān)于Wireshark的基礎(chǔ)知識隔躲,那么接下來我 們就有必要來研究一下這款軟件強(qiáng)大的表格功能了乡小。

這里首先講解一下關(guān)于網(wǎng)絡(luò)中的端點(diǎn)以及會話的知識。在網(wǎng)絡(luò)中必搞,如果想讓通信得 到正常的執(zhí)行届案,那么就必須至少擁有兩臺設(shè)備或者說端點(diǎn)(EndPoint)進(jìn)行數(shù) 據(jù)的交互操作。所謂的端點(diǎn),就是指網(wǎng)絡(luò)上用于發(fā)送或者接收數(shù)據(jù)的設(shè)備原叮。比如在 基于TCP/IP協(xié)議的通信中,就包含有兩個端點(diǎn):發(fā)送方和接收方的IP地址巡蘸, 結(jié)合著實(shí)驗(yàn)文件(Lab2-1)可以發(fā)現(xiàn)奋隶,對于捕獲的第1個數(shù)據(jù)包來說,發(fā)送方的IP 地址是180.97.34.134悦荒,而接收方的IP地址是192.168.0.14唯欣。那么這兩個IP地址其 實(shí)就是兩個端點(diǎn):



而在數(shù)據(jù)鏈路層,通信則是基于兩臺主機(jī)中安裝的網(wǎng)卡和它們的MAC地址進(jìn)行 的搬味。依舊分析一下第1個數(shù)據(jù)包境氢,我們在Packet Details面板中展開Ethernet II ,可以看到發(fā)送方的地址是94:de:80:d4:be:c9碰纬,而接收方的地址是 d0:fa:1d:61:0b:0c萍聊。那么這兩個地址就是通信中的端點(diǎn):




我們在實(shí)際分析過程中,面對網(wǎng)絡(luò)流量的時候悦析,可以將問題定位到網(wǎng)絡(luò)中的一個特 定的端點(diǎn)上寿桨。可以在菜單欄中選擇“Statistics”->“Endpoints”來打 開Endpoints窗口:



可以看到强戴,這個窗口給出了端點(diǎn)中的非常多的有用的數(shù)據(jù)亭螟。在其頂部的選項(xiàng)卡中, 顯示了當(dāng)前捕獲文件中所有被支持和識別的端點(diǎn)骑歹,每個選項(xiàng)卡都表示不同的協(xié)議媒佣。灰色的選項(xiàng)卡表示不存在該協(xié)議的統(tǒng)計(jì)信息陵刹。以Ethernet選項(xiàng)卡為例默伍,每列 所表示的信息為:

Address:端點(diǎn)的地址

Packets:在捕獲文件中包含該地址的數(shù)據(jù)包數(shù)量欢嘿。

Bytes:數(shù)據(jù)包的字節(jié)數(shù)據(jù)。

Tx Packets:發(fā)送的數(shù)據(jù)包數(shù)量也糊。

Tx Bytes:發(fā)送的數(shù)據(jù)包的字節(jié)數(shù)炼蹦。

Rx Packets:接收的數(shù)據(jù)包數(shù)量。

Rx Bytes:接收的字節(jié)數(shù)

在這個窗口中還包含有名為“Name resolution”的多選框狸剃,它可以在端點(diǎn)窗 口中打開名字解析的功能掐隐。上圖是包含有名字解析的,下圖則是取消名字解析的情 況:





查看網(wǎng)絡(luò)會話信息

所謂的網(wǎng)絡(luò)會話(Conversation)可以理解為兩個人之間的談話钞馁,只不過網(wǎng)絡(luò) 會話描述的是兩臺主機(jī)(端點(diǎn))之間進(jìn)行的通信活動虑省。對于TCP協(xié)議來說,最常 見的會話就是連接建立時的三次握手了僧凰√骄保可以在菜單欄中選擇“Statistics”->“Conversations”來打開Conversations窗口:





與Endpoints窗口相同,Conversations窗口中所列出的會話同樣以不同的協(xié)議分

布在不同的選項(xiàng)卡中训措,這可以通過頂部的選項(xiàng)卡進(jìn)行切換伪节。如果我們右鍵單擊一個

會話,選擇“Apply as Filter”->“Selected”就可以創(chuàng)建一些非常

實(shí)用的篩選器绩鸣,比如顯示由設(shè)備A發(fā)出的所有數(shù)據(jù)怀大,設(shè)備B收到的所有數(shù)據(jù),或者設(shè)

備A和B之間的所有通信數(shù)據(jù)等呀闻。而一旦我們選擇了其中的某一項(xiàng)篩選條件化借,那么回

到Wireshark主界面時,在篩選條件輸入框中捡多,自動就會添加上剛才選擇的條件:


使用端點(diǎn)和會話窗口分析網(wǎng)絡(luò)問題

在排解網(wǎng)絡(luò)問題的過程中屏鳍,端點(diǎn)和會話窗口往往扮演著非常重要的角色。當(dāng)我

們試圖尋找網(wǎng)絡(luò)中大規(guī)模流量的源頭局服,或者查找哪臺服務(wù)器最為活躍上面钓瞭,這兩個

窗口往往就能告訴我們一切。這里我們打開Lab2-2.pcap這個實(shí)驗(yàn)文件淫奔,利用篩選

器只保留http協(xié)議的數(shù)據(jù)包山涡。可以發(fā)現(xiàn)唆迁,有多個客戶端在瀏覽互聯(lián)網(wǎng)時產(chǎn)生了大

量的http流量鸭丛。那么現(xiàn)在我們可以使用端點(diǎn)窗口來查看一下具體的情況:



這里我們查看IPv4選項(xiàng)卡,并且以字節(jié)數(shù)從高到低進(jìn)行排序唐责×鄹龋可以看到流量最大的

是172.16.16.128這個地址,其實(shí)也就是本機(jī)地址鼠哥,說明網(wǎng)絡(luò)中的這個設(shè)備是數(shù)

據(jù)集中最活躍的信息源熟菲,也就是進(jìn)行了最多通信的主機(jī)看政。第二個地址是

74.125.103.163,并不是本地地址抄罕,那么就可以假設(shè)本地某一個或者多個客戶端

與這個地址進(jìn)行了一些交互允蚣。利用ip.cn網(wǎng)站查詢這個IP地址的信息如下:


www.ip.cn.



可以發(fā)現(xiàn),這個IP地址屬于美國的谷歌公司呆贿。

或者我們也可以使用GeoLiteCity.dat來輔助我們進(jìn)行分析嚷兔。首先將實(shí)驗(yàn)文件中

的maxmind目錄拷貝到C盤的根目錄下,然后在Wireshark中選擇菜單欄

的“Edit”->“Preferences”->“Name Resolution”做入。在新打開

的界面中選擇“GeoIP Database Directories”后面的Edit按鈕冒晰,單擊

New,選擇maxmind目錄竟块,再OK壶运。之后重啟Wireshark,那么當(dāng)我們

再次載入Lab2-2.pcap彩郊,打開端點(diǎn)窗口,再選擇IPv4選項(xiàng)卡蚪缀,就會發(fā)現(xiàn)這里添加了

City秫逝、Latitude以及Longitude這幾列的信息:



此時再單擊Map按鈕,就可以將所有數(shù)據(jù)包定位在一張地圖上询枚,點(diǎn)擊地圖上的

圓點(diǎn)违帆,還可以顯示相應(yīng)的信息:

下面我們來分析一下會話窗口。這里有一個問題金蜀,最活躍的通信端點(diǎn)一定包含有流

量最大的會話嗎刷后?不妨驗(yàn)證一下,這里打開會話窗口渊抄,選擇IPv4選項(xiàng)卡尝胆,再用字節(jié)

數(shù)對列表進(jìn)行排序:

在這里可以看到,74.125.103.163這個IP地址發(fā)出的數(shù)據(jù)包要比

172.16.16.128這個地址發(fā)出的數(shù)據(jù)包大得多护桦。說明最活躍的通信端點(diǎn)并不一定包

含有流量最大的會話含衔。我們以后在實(shí)際的分析中,還會用到這兩個窗口二庵。

協(xié)議的分層統(tǒng)計(jì)

當(dāng)我們在分析一個很大的捕獲文件時贪染,我們往往想要知道文件中協(xié)議的分布情況

,或者想要獲取協(xié)議的多層結(jié)構(gòu)信息催享。為了達(dá)到這個目的杭隙,我們可以使用

Wireshark的“協(xié)議分層統(tǒng)計(jì)”功能,它是對網(wǎng)絡(luò)進(jìn)行基準(zhǔn)分析的強(qiáng)有力的工具

因妙。舉個例子來說痰憎,假設(shè)我們網(wǎng)絡(luò)中的ARP流量通常占百分之十票髓,但是某一天經(jīng)過抓

包分析發(fā)現(xiàn)ARP的流量增長到了百分之五十,那么就可以知道一定是某個地方出了

問題信殊。

這里我們依舊研究Lab2-2.pcap這個實(shí)驗(yàn)文件炬称,在菜單欄中選擇“Statistics

”->“Protocol Hierarchy”,打開協(xié)議分層統(tǒng)計(jì)窗口:

這個對話框顯示了捕獲的文件中所包含的所有協(xié)議的樹狀分支涡拘。其中的每一行都

包含一個協(xié)議層次的統(tǒng)計(jì)值玲躯,每列的含義如下:

Protocol:協(xié)議的名稱

%Packets:含有該協(xié)議的數(shù)據(jù)包的數(shù)量在捕獲文件的所有數(shù)據(jù)包中所占的 比例

Packets:含有該協(xié)議的數(shù)據(jù)包的數(shù)量

%Bytes:含有該協(xié)議的字節(jié)數(shù)目在捕獲文件的所有字節(jié)數(shù)目中所占的比例

Bytes:含有該協(xié)議的字節(jié)數(shù)

MBits/s:協(xié)議的帶寬(相對于捕獲時間)

如果大家在學(xué)習(xí)的過程中想要獲取更為詳細(xì)的說明,也可以點(diǎn)擊左下角 的“Help”按鈕鳄乏,從而打開幫助文檔跷车。

其實(shí)協(xié)議分層統(tǒng)計(jì)窗口是我們在進(jìn)行網(wǎng)絡(luò)流量檢查時最先打開的窗口之一,因?yàn)?它能夠提供給我們一個網(wǎng)絡(luò)中活動類型的直觀快照橱野。通過查看這個窗口朽缴,檢查正在 使用的協(xié)議分布情況,從而獲取網(wǎng)絡(luò)中用戶和設(shè)備的情況水援。往往只需要簡單地查看 網(wǎng)段中的流量密强,就可以立刻分辨這個網(wǎng)段屬于哪個部門。比如IT部門網(wǎng)段的流量中 通常有管理協(xié)議蜗元,例如Internet控制報文協(xié)議(ICMP)或者簡單網(wǎng)絡(luò)管理協(xié)議 (SNMP)或渤,而訂單管理部門通常有大量的簡單郵件傳輸協(xié)議(SMTP)的流量。 甚至我們還可以在特定的網(wǎng)段中找到玩網(wǎng)絡(luò)游戲或者看網(wǎng)絡(luò)視頻的流量信息奕扣。

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末薪鹦,一起剝皮案震驚了整個濱河市,隨后出現(xiàn)的幾起案子惯豆,更是在濱河造成了極大的恐慌池磁,老刑警劉巖,帶你破解...
    沈念sama閱讀 211,743評論 6 492
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件楷兽,死亡現(xiàn)場離奇詭異地熄,居然都是意外死亡,警方通過查閱死者的電腦和手機(jī)芯杀,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 90,296評論 3 385
  • 文/潘曉璐 我一進(jìn)店門离斩,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人瘪匿,你說我怎么就攤上這事跛梗。” “怎么了棋弥?”我有些...
    開封第一講書人閱讀 157,285評論 0 348
  • 文/不壞的土叔 我叫張陵核偿,是天一觀的道長。 經(jīng)常有香客問我顽染,道長漾岳,這世上最難降的妖魔是什么轰绵? 我笑而不...
    開封第一講書人閱讀 56,485評論 1 283
  • 正文 為了忘掉前任,我火速辦了婚禮尼荆,結(jié)果婚禮上左腔,老公的妹妹穿的比我還像新娘。我一直安慰自己捅儒,他們只是感情好液样,可當(dāng)我...
    茶點(diǎn)故事閱讀 65,581評論 6 386
  • 文/花漫 我一把揭開白布。 她就那樣靜靜地躺著巧还,像睡著了一般鞭莽。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上麸祷,一...
    開封第一講書人閱讀 49,821評論 1 290
  • 那天澎怒,我揣著相機(jī)與錄音,去河邊找鬼阶牍。 笑死喷面,一個胖子當(dāng)著我的面吹牛,可吹牛的內(nèi)容都是我干的走孽。 我是一名探鬼主播惧辈,決...
    沈念sama閱讀 38,960評論 3 408
  • 文/蒼蘭香墨 我猛地睜開眼,長吁一口氣:“原來是場噩夢啊……” “哼融求!你這毒婦竟也來了咬像?” 一聲冷哼從身側(cè)響起算撮,我...
    開封第一講書人閱讀 37,719評論 0 266
  • 序言:老撾萬榮一對情侶失蹤生宛,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后肮柜,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體陷舅,經(jīng)...
    沈念sama閱讀 44,186評論 1 303
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 36,516評論 2 327
  • 正文 我和宋清朗相戀三年审洞,在試婚紗的時候發(fā)現(xiàn)自己被綠了莱睁。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點(diǎn)故事閱讀 38,650評論 1 340
  • 序言:一個原本活蹦亂跳的男人離奇死亡芒澜,死狀恐怖仰剿,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情痴晦,我是刑警寧澤南吮,帶...
    沈念sama閱讀 34,329評論 4 330
  • 正文 年R本政府宣布,位于F島的核電站誊酌,受9級特大地震影響部凑,放射性物質(zhì)發(fā)生泄漏露乏。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 39,936評論 3 313
  • 文/蒙蒙 一涂邀、第九天 我趴在偏房一處隱蔽的房頂上張望瘟仿。 院中可真熱鬧,春花似錦比勉、人聲如沸劳较。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,757評論 0 21
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽兴想。三九已至,卻和暖如春赡勘,著一層夾襖步出監(jiān)牢的瞬間嫂便,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 31,991評論 1 266
  • 我被黑心中介騙來泰國打工闸与, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留毙替,地道東北人。 一個月前我還...
    沈念sama閱讀 46,370評論 2 360
  • 正文 我出身青樓践樱,卻偏偏與公主長得像厂画,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個殘疾皇子拷邢,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 43,527評論 2 349

推薦閱讀更多精彩內(nèi)容