Wireshark录制及分析.docx

上传人:b****3 文档编号:24777833 上传时间:2023-06-01 格式:DOCX 页数:11 大小:1.39MB
下载 相关 举报
Wireshark录制及分析.docx_第1页
第1页 / 共11页
Wireshark录制及分析.docx_第2页
第2页 / 共11页
Wireshark录制及分析.docx_第3页
第3页 / 共11页
Wireshark录制及分析.docx_第4页
第4页 / 共11页
Wireshark录制及分析.docx_第5页
第5页 / 共11页
点击查看更多>>
下载资源
资源描述

Wireshark录制及分析.docx

《Wireshark录制及分析.docx》由会员分享,可在线阅读,更多相关《Wireshark录制及分析.docx(11页珍藏版)》请在冰豆网上搜索。

Wireshark录制及分析.docx

Wireshark录制及分析

 

Wireshark的录制及分析

 

无线网优中心

2016年06月

1

抓包过滤器

抓包过滤器配置于抓包前,一经应用,Wireshark将只抓取经过抓包过滤器过滤的数据(包或数据帧),其余数据一概不抓。

可以通过CaptureFilter选择常用滤波语句,该语句基于伯克利数据包过滤器(BerkeleyPacketFilter,BPF)的语法,过滤器会对输入进CaptureFilter文本框内的字符串的语法进行检查,不会检查其条件是否满足。

如需了解BPF语法,可查看论文《ANewArchitectureforUser-levelPacketCapture》

2显示过滤器

显示过滤配置抓包之后,此时,Wireshark已抓得所有数据,但只能看到显示滤波器显示的数据。

在抓包开始后“Filter”输入语句就可以进行配置了。

2.1方法一

每条显示过滤器通常都是由若干原词构成,原词之间通过连接符(如and或or等)连接,原词之前可以添加not表示相反的意思,其语法如下:

[not]Expression[and|or][not]Expression…

显示过滤器表达式中条件操作符的作用。

类似于C语言的操作符

简写形式

描述

举例

==

eq

等于

==或

eq

不等于

!

==或

!

=或

ne

高(长、大)于

>64

<

lt

低(短、小)于

<1500

>=

ge

不高(长、大)于

>=64

<=

le

不低(短、小)于

<=1500

ispresent

符合某项参数,满足某个条件,或出现某个现象

contains

包含某个(串)字符

containsbaidu

match

某串字符匹配某个条件

matches

&&

and

逻辑与

==

and

逻辑或

==

or==

逻辑非

notarpandnoticmp

2.2方法二

右键帧信息框中感兴趣的内容,PrepareaFilter–>Select这样就能自动生成对应的过滤器了

3手机抓包法

由于电脑的Wireshark抓包是流经电脑的网络包,而我们感知测试是需要关注由手机基带流出的信息,因此需要用到手机版的Shark。

Sharkforroot设置为“-iany–vv–s0-X”,开始录制。

录制完后会在手机的根目录下生成.Pcap文件,导入电脑用Wireshark分析即可。

4信息统计工具

4.1DNS分析

对于DNS的显示,可以通过在显式滤波器中输入“dns”进行筛选

,DNS查询分为DNS请求和DNS响应。

DNS请求:

Standardquery

DNS响应:

Standardqueryresponse

查看时需要注意,由于可能会有多条DNS查询同时进行,请求信息与响应信息会互相交叠,匹配是需要确认TransactionID是否一致,如图中

对应的TransactionID为“0x7621”。

Figure41

Figure42

如果遇到DNS解析异常的情况需要关注DNS响应消息中的响应代码(RCODE)字段

,上图中该字段值为0,表示DNS解析正常,常见的RCODE字段值及含义如下:

Table41

对于DNS解析所花费的时间,可以借助于WireShark中的IOGraph工具进行查看。

选择Statistics下的IOGraph,在YAxis中的Unit下选择Advanced

,而后在表达式中输入“”

,点击最左测“Graph1”进行显示。

可以看到本次分析的包中平均DNS查询耗时30ms,最长的一次用时80ms。

Figure43

在一般情况下DNS解析时间在100ms之内都为正常;在绝大多数情况下,解析时间在150~200ms之间也算正常;即便偶尔出现DNS解析缓慢的情况,也无需担心,因为极有可能是本地DNS服务器在等待远端的权威名称服务器的应答。

具体情况还是需要分析人员根据实际情况进行判定。

4.2HTTP数据流分析

当完成DNS后接下来要对HTTP数据流进行分析,可以利用“FollowTCPStream”特性来分析HTTP流量。

操作方法:

1.在WireShark抓包主窗口的数据包列表区域中,选择待分析的HTTP数据流中的任意一个数据包,单击右键。

2.选择“FollowTCPStream”项,此时将弹出该数据流的基本信息

Figure44

Ø此次HTTP请求操作使用了GET方式

Ø请求该操作的用户浏览器为U0A1G1D2J3T5M8R3

,(这个包是从手机上抓到的,抓包软件是集团感知APP,所以出来的浏览器会显示一个奇怪的名字,如果是电脑上抓一般会是IE、Chorme之类);

Ø用户请求的主机名称为

ØHTTP对于此次的响应返回是200OK

,表示HTTP请求正常;

Ø提供业务的服务器为Openresty

3.同时在WireShark的显示过滤器中将自动生成过滤公式,如下图

所示,并且数据列表区域将只显示属于该数据流的数据包了。

另外也可以手动于显示过滤器中输入公式,公式的格式为eqX,X的值可以在任意一个HTTP包的TransmissionControlProtocol下的Streamindex查到。

Figure45

4.3排障执行

WireShark内置了一个名为ExpertInfo的工具,它不仅能够在抓包过程中自动识别网络中发生的异常情况,甚至还能够给出导致该异常的具体原因。

选择Analyze菜单,点击下面的ExpertInfo菜单项,ExpertInfo窗口即会弹出。

如图2-6所示,该窗口由Errors、Warmings、Notes、Chats、Details和PachetComments组成。

Errors:

表示Wireshark对于所抓内容识别除的严重错误。

如NewFragmentoverlapsolddata(retransmission?

)表示新的数据与旧的数据重叠,总共出现的次数为4次。

Figure46

Warmings:

表示识别出了一般性问题,如连接重置、报文失序、报文丢失等,这些warming通常反应应用程序问题或者网络通信问题。

像本次抓包中主要的warming有Previoussegmentnotcaptured前一帧未捕获到,thisframeisaout-of-ordersegment报文失序。

对于此类失序情况,建议在各个网络节点上分别设置抓包点,通过各个位置的抓包内容判定失序的引发部位,从而针对性解决。

Figure47

Notes:

表示WireShark检测到可能会引发故障的异常现象,比如,感知到了TCP重传、重复确认。

提醒用户这些数据包有导致错误的嫌疑。

Figure48

Chats:

显示一些符合常规流量的信息,如包含TCPSYN、TCPFIN、TCPRST状态的HTTP事件。

通过ExpertInfos可以快速了解抓包数据中的各类信息数量情况,通过点击信息左侧“+”号,列出详细Packet项,左键单击Packet项即可在WireShark数据包主窗口中定位该包,从而根据上下内容判定具体问题。

5参考书推荐

《WireShark网络分析实战》人民邮电出版社,【以色列】YoramOrzach着,古宏霞孙余强译

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 经管营销 > 金融投资

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1