Wireshark錄制及分析_第1頁(yè)
Wireshark錄制及分析_第2頁(yè)
Wireshark錄制及分析_第3頁(yè)
Wireshark錄制及分析_第4頁(yè)
Wireshark錄制及分析_第5頁(yè)
已閱讀5頁(yè),還剩1頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、Wireshark的錄制及分析無(wú)線網(wǎng)優(yōu)中心2016年06月目錄1 抓包過(guò)濾器2 顯示過(guò)濾器2.1 方法一2.2 方法二3 手機(jī)抓包法4 信息統(tǒng)計(jì)工具 4.1 DN陰析4.2 HTT項(xiàng)據(jù)流分析4.3 排障執(zhí)行4.4 分析用例 5參考書(shū)推薦1抓包過(guò)濾器抓包過(guò)濾器配置于抓包前,一經(jīng)應(yīng)用,Wireshark將只抓取經(jīng)過(guò)抓包過(guò)濾器過(guò)濾的 數(shù)據(jù)(包或數(shù)據(jù)幀),其余數(shù)據(jù)一概不抓??梢酝ㄟ^(guò)Capture Filter選擇常用濾波語(yǔ)句,該語(yǔ)句基于伯克利數(shù)據(jù)包過(guò)濾器(Berkeley Packet Filter , BPE的語(yǔ)法,過(guò)濾器會(huì)對(duì)輸入進(jìn) Capture Filter 文本 框內(nèi)的字符串的語(yǔ)法進(jìn)行檢查,不

2、會(huì)檢查其條件是否滿足。如需了解 BPF語(yǔ)法,可查看論文A New Architecture for User-level Packet Capture »2顯示過(guò)濾器顯示過(guò)濾配置抓包之后,此時(shí),Wireshark已抓得所有數(shù)據(jù),但只能看到顯示濾波 器顯示的數(shù)據(jù)。在抓包開(kāi)始后“ Filter ”輸入語(yǔ)句就可以進(jìn)行配置了。2.1方法一每條顯示過(guò)濾器通常都是由若干原詞構(gòu)成,原詞之間通過(guò)連接符(如 and或or等)連接,原詞之前可以添加not表示相反的意思,其語(yǔ)法如下:not Expression and|or not Expression顯示過(guò)濾器表達(dá)式中條件操作符的作用。類(lèi)似于C語(yǔ)言的操

3、作符簡(jiǎn)寫(xiě)形式描述舉例=eq等于ip或!=ne不等于!i或ip.addr !=或ip>gt高(長(zhǎng)、大)于frame.len > 64<lt低(短、?。┯趂rame.len < 1500>=ge/、高(長(zhǎng)、大)于frame.len >= 64二le不低(短、小)于frame.len <= 1500類(lèi)似于C語(yǔ)言的操作符簡(jiǎn)寫(xiě)形式描述舉例is present符合某項(xiàng)參數(shù),滿足 某個(gè)條件,或出現(xiàn)杲 個(gè)現(xiàn)象http.responsecontains包含某個(gè)(用)字符http.host contains baidumatch某用字符匹配某個(gè)條件http.host ma

4、tches&&and邏輯與|or邏輯或ip.addr!not邏輯非not arp and not icmp2.2方法二右鍵幀信息框中感興趣的內(nèi)容,Prepare a Filter - > Select這樣就能自動(dòng)生成 對(duì)應(yīng)的過(guò)濾器了3手機(jī)抓包法由于電腦的 Wireshark抓包是流經(jīng)電腦的網(wǎng)絡(luò)包,而我們感知測(cè)試是需要關(guān)注由手機(jī)基帶流出的信息,因此需要用到手機(jī)版的Shark。Shark for root 設(shè)置為“-i any - vv - s 0 - X”,開(kāi)始錄制。錄制完后會(huì)在手機(jī)的根目錄下生成.Pcap文件,導(dǎo)入電腦用 Wireshark分析即可。4信息統(tǒng)計(jì)工具4.1

5、DN的析對(duì)于DNS勺顯示,可以通過(guò)在顯式濾波器中輸入“ dns”進(jìn)行篩選O , DNSS詢分 為DNS青求和DNW向應(yīng)。DNS青求:Standard queryDNS向應(yīng):Standard query response查看時(shí)需要注意,由于可能會(huì)有多條DNS查詢同時(shí)進(jìn)行,請(qǐng)求信息與響應(yīng)信息會(huì)互相交疊,匹配是需要確認(rèn) Transaction ID是否一致,如圖中C2對(duì)應(yīng)的Transaction ID 為“ 0x7621” 。Figure 4-1Figure 4-2如果遇到DNSW析異常的情況需要關(guān)注DNW向應(yīng)消息中的響應(yīng)代碼(RCODE字段 上圖中該字段值為0,表示DNSB析正常,常見(jiàn)的RCOD字

6、段值及含義如下:Table 4-1對(duì)于DNSW析所花費(fèi)的時(shí)間,可以借助于 WireShark中的IO Graph工具進(jìn)行查看。 選擇Statistics下的IO Graph ,在Y Axis中的Unit下選擇Advanced®,而后在表達(dá)式中輸入“ dns.time "(5 ,點(diǎn)擊最左測(cè)“ Graph1”進(jìn)行顯示??梢钥吹奖敬畏治龅?包中平均DNSS詢耗時(shí)30ms最長(zhǎng)的一次用時(shí)80m&Figure 4-3在一般情況下DNS解析時(shí)間在100ms之內(nèi)都為正常;在絕大多數(shù)情況下,解析時(shí) 間在150200ms之間也算正常;即便偶爾出現(xiàn) DNS解析緩慢的情況,也無(wú)需擔(dān)心,因

7、為極有可能是本地DNS服務(wù)器在等待遠(yuǎn)端的權(quán)威名稱服務(wù)器的應(yīng)答。具體情況還是需 要分析人員根據(jù)實(shí)際情況進(jìn)行判定。4.2 HTT吸據(jù)流分析當(dāng)完成DNSt接下來(lái)要對(duì)HTT嚶?lián)鬟M(jìn)行分析,可以利用“ Follow TCPStream” 特性來(lái)分析HTTPW量。操作方法:1. 在WireShark抓包主窗口的數(shù)據(jù)包列表區(qū)域中,選擇待分析的HTTP數(shù)據(jù)流中的任意一個(gè)數(shù)據(jù)包,單擊右鍵。2. 選擇“ Follow TCP Stream ”項(xiàng),此時(shí)將彈出該數(shù)據(jù)流的基本信息Figure 4-4此次HTTP青求操作使用了 GETJ式;請(qǐng)求該操作的用戶瀏覽器為 U0A1G1D2J3T5M8R3J (這個(gè)包是從手機(jī)上抓

8、到的, 抓包軟件是集團(tuán)感知APP所以出來(lái)的瀏覽器會(huì)顯示一個(gè)奇怪的名字,如果是 電腦上抓一般會(huì)是IE、Chorme之類(lèi));用戶請(qǐng)求的主機(jī)名稱為 (3;HTTP寸于此次的響應(yīng)返回是200 OK,表示HTTP青求正常;提供業(yè)務(wù)的服務(wù)器為Openresty(5;3. 同時(shí)在WireShark的顯示過(guò)濾器中將自動(dòng)生成過(guò)濾公式,如下圖。6所示,并且數(shù)據(jù)列表區(qū)域?qū)⒅伙@示屬于該數(shù)據(jù)流的數(shù)據(jù)包了。 另外也可以手動(dòng)于顯示過(guò)濾器中輸入公式,公式的格式為 tcp.stream eq X , X 的值可以在任意一個(gè) HTTPfe的 Transmission Control Protocol 下的 Stream inde

9、x 查至U。Figure 4-54.3 排障執(zhí)行WireShark 內(nèi)置了一個(gè)名為 Expert Info 的工具, 它不僅能夠在抓包過(guò)程中自動(dòng)識(shí) 別網(wǎng)絡(luò)中發(fā)生的異常情況,甚至還能夠給出導(dǎo)致該異常的具體原因。選擇 Analyze 菜單, 點(diǎn)擊下面的 Expert Info 菜單項(xiàng), Expert Info 窗口即會(huì)彈出。 如圖 2-6 所示, 該窗口由 Errors 、 Warmings、 Notes 、 Chats 、 Details 和 Pachet Comments 組成。Errors :表示 Wireshark 對(duì)于所抓內(nèi)容識(shí)別除的嚴(yán)重錯(cuò)誤。如 New Fragment overlap

10、s old data (retransmission?) 表示新的數(shù)據(jù)與舊的數(shù)據(jù)重疊,總共出現(xiàn)的 次數(shù)為 4 次。Figure 4-6Warmings:表示識(shí)別出了一般性問(wèn)題,如連接重置、報(bào)文失序、報(bào)文丟失等,這些 warming 通常反應(yīng)應(yīng)用程序問(wèn)題或者網(wǎng)絡(luò)通信問(wèn)題。像本次抓包中主要的 warming 有 Previous segment not captured 前一幀未捕獲到, this frame is a out-of-order segment 報(bào)文失序。對(duì)于此類(lèi)失序情況, 建議在各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)上分別設(shè)置抓包點(diǎn), 通過(guò)各個(gè)位置的抓包內(nèi)容判定失序的引發(fā)部位,從而針對(duì)性解決。Figure 4-7Notes :表示 WireShark 檢測(cè)到可能會(huì)引發(fā)故障的異?,F(xiàn)象,比如,感知到了 TCP重傳、重復(fù)確認(rèn)。提醒用戶這些數(shù)據(jù)包有導(dǎo)致錯(cuò)誤的嫌疑。Figure 4-8Chats:顯示一些符合常規(guī)流量的信息,如包含 TCP SYN TCP FIN、TCP RST犬態(tài) 的HTT對(duì)件。通過(guò) Expert I

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論