Wireshark使用培訓(xùn)手冊課件

1、Wireshark使用培訓(xùn)手冊目 錄第1章Wireshark簡介第2章實時捕捉數(shù)據(jù)包第3章處理已經(jīng)捕捉的包第4章 案例Wireshark簡介Wireshark是世界上最流行的網(wǎng)絡(luò)分析工具，這個強大的工具可以捕捉網(wǎng)絡(luò)中的數(shù)據(jù)，并為用戶提供關(guān)于網(wǎng)絡(luò)和上層協(xié)議的各種信息。Wireshark的原名是Ethereal，新名字是2006年起用的。當(dāng)時Ethereal的主要開發(fā)者決定離開他原來供職的公司，并繼續(xù)開發(fā)這個軟件。但由于Ethereal這個名稱的使用權(quán)已經(jīng)被原來那個公司注冊，Wireshark這個新名字也就應(yīng)運而生了。Wireshark的優(yōu)勢：- 安裝方便，簡單易用的界面開源、免費支持window

2、s、unix等多平臺Wireshark簡介Wireshark主窗口由如下部分組成：菜單用于開始操作。主工具欄提供快速訪問菜單中經(jīng)常用到的項目的功能。Fiter toolbar/過濾工具欄提供處理當(dāng)前顯示過濾得方法。Packet List面板顯示打開文件的每個包的摘要。Packet detail面板示您在Packet list面板中選擇的包的更多詳情。Packet bytes面板顯示您在Packet list面板選擇的包的二進制數(shù)據(jù)。Wireshark簡介-主菜單File:括打開、合并捕捉文件，save/保存,Print/打印, Export/導(dǎo)出捕捉文件的全部或部分,以及退出Wireshark

3、項。Edit:括如下項目：查找包，時間參考，標記一個多個包，設(shè)置預(yù)設(shè)參數(shù)。View:控制捕捉數(shù)據(jù)的顯示方式，包括顏色，字體縮放， 將包顯示在分離的窗口，展開或收縮詳情面版的地樹狀節(jié)點。 GO :包含到指定包的功能。Capture:允許您開始或停止捕捉、編輯過濾器。Analyze:包含處理顯示過濾，允許或禁止分析協(xié)議， 配置用戶指定解碼和追蹤TCP流等功能。Statistics:包括的菜單項用戶顯示多個統(tǒng)計窗口， 包括關(guān)于捕捉包的摘要，協(xié)議層次統(tǒng)計等等。Help:包含一些輔助用戶的參考內(nèi)容。 如訪問一些基本的幫助文件，支持的協(xié)議列表，用戶手冊。目 錄第1章Wireshark簡介第2章實時捕捉數(shù)據(jù)

4、包第3章處理已經(jīng)捕捉的包第4章 案例 實時捕捉數(shù)據(jù)包實時捕捉數(shù)據(jù)包時Wireshar的特色之一Wiershark捕捉引擎具備以下特點 支持多種網(wǎng)絡(luò)接口的捕捉(以太網(wǎng)，令牌環(huán)網(wǎng)，ATM.) 支持多種機制觸發(fā)停止捕捉，例如：捕捉文件的大小，捕捉持續(xù)時間， 捕捉到包的數(shù)量. 捕捉時同時顯示包解碼詳情 設(shè)置過濾，減少捕捉到包的容量。 長時間捕捉時，可以設(shè)置生成多個文件。Wireshark捕捉引擎在以下幾個方面尚有不足 從多個網(wǎng)絡(luò)接口同時實時捕捉，(但是您可以開始多個應(yīng)用程序?qū)嶓w， 捕捉后進行文件合并) 根據(jù)捕捉到的數(shù)據(jù)停止捕捉實時捕捉數(shù)據(jù)包-捕捉接口對話框IP Wireshark能解析的第一個IP地址

5、，如果接口未獲得IP地址（如，不存在可用的DHCP服務(wù)器)， 將會顯示Unkow,如果有超過一個IP的，只顯示第一個(無法確定哪一個會顯示). Packets 打開該窗口后，從此接口捕捉到的包的數(shù)目。如果一直沒有接收到包，則會顯示為灰度 Packets/s 最近一秒捕捉到包的數(shù)目。如果最近一秒沒有捕捉到包，將會是灰度顯示 Stop 停止當(dāng)前運行的捕捉 Capture 從選擇的接口立即開始捕捉，使用最后一次捕捉的設(shè)置。 Options 打開該接口的捕捉選項對話框，進行相應(yīng)的捕捉設(shè)置。Details(僅Win32系統(tǒng)) 打開對話框顯示接口的詳細信息 Close 關(guān)閉對話框 實時捕捉數(shù)據(jù)包-捕捉選項

6、對話框Interface :該字段指定你想用于進行捕捉的借口，一次只能使用一個接口。IP address :表示選擇接口的IP地址。如果系統(tǒng)未指定IP地址，將會顯示為unknown Link-layer header type :除非你有些特殊應(yīng)用，盡量保持此選項默認 Buffer size: n megabyte(s): 輸入用于捕捉的緩層大小。該選項是設(shè)置寫入數(shù)據(jù)到磁盤前保留在核心緩存中捕捉數(shù)據(jù)的大小，如果你發(fā)現(xiàn)丟包。嘗試增大該值。Capture packets in promiscuous mode: 指定Wireshark捕捉包時，設(shè)置接口為混雜模式。如果你未指定該選項，Wiresha

7、rk 將只能捕捉進出你電腦的數(shù)據(jù)包(不能捕捉整個局域網(wǎng)段的包)Limit each packet to n bytes: 指定捕捉過程中，每個包的最大字節(jié)數(shù)。在某些地方被稱為。snaplen.如果禁止該選項，默認值為65535，這適用于大多數(shù)協(xié)議。Capture Filter：指定捕捉過濾，默認情況下是空的。同樣你也可以點擊捕捉按鈕，通過彈出的捕捉過濾對話框創(chuàng)建或選擇一個過濾器。 實時捕捉數(shù)據(jù)包-捕捉選項對話框?qū)崟r捕捉數(shù)據(jù)包-捕捉過濾對話框 通過capture下拉菜單中的Capture Filter或者點擊捕捉選項對話框中的capture filter按鈕進行捕捉的過濾設(shè)置，抓取特定的包展現(xiàn)在

8、Packet List面板中。捕捉過濾對話框如左圖所示，其中有部分常用的過濾規(guī)則，同時可以通過NEW的方式新建個性化的過濾規(guī)則。實時捕捉數(shù)據(jù)包-捕捉過濾對話框基本格式：protocol src/dst host/port * and/or/not *Capture filter事例：tcp dst port 21 顯示目的TCP端口為21的封包。ip src host 42 顯示來源IP地址為42 的封包。host 42 顯示目的或來源IP地址為42 的封包。src portrange 2000-2500 顯示來源為UDP或TCP，并且端口號在2000至2500范圍內(nèi)的封包。not imcp

9、顯示除了icmp以外的所有封包。src host 2 and not dst net /24 顯示來源IP地址為2，但目的地不是/24的封包。(src host 2 or src net /16) and tcp dst portrange 200-10000 and dst net /8顯示來源IP為2或者來源網(wǎng)絡(luò)為/16，目的地TCP端口號在200至10000之間，并且目的位于網(wǎng)絡(luò)/8內(nèi)的所有封包。目 錄第1章Wireshark簡介第2章實時捕捉數(shù)據(jù)包第3章處理已經(jīng)捕捉的包第4章 案例處理已經(jīng)捕捉的包從整體上看看Wireshark的窗口，主要被分成三部分。上面部分是所有數(shù)據(jù)幀的列表；中間部

10、分是數(shù)據(jù)幀的描述信息；下面部分是幀里面的數(shù)據(jù)。第一列是捕獲數(shù)據(jù)的編號；第二列是捕獲數(shù)據(jù)的相對時間，從開始捕獲算為0.000秒；第三列是源地址；第四列是目的地址；第五列是數(shù)據(jù)包的協(xié)議類型；第六列是數(shù)據(jù)包信息。處理已經(jīng)捕捉的包-數(shù)據(jù)包格式以太網(wǎng)幀格式IPv4數(shù)據(jù)包格式處理已經(jīng)捕捉的包-數(shù)據(jù)包格式TCP報文段結(jié)構(gòu)UDP報文段結(jié)構(gòu)目 錄第1章Wireshark簡介第2章實時捕捉數(shù)據(jù)包第3章處理已經(jīng)捕捉的包第4章 案例案例-AX2500 配置導(dǎo)致百度訪問異常的問題分析 第三方出口疏導(dǎo)路由器采用C7609雙上行分別連接城域網(wǎng)核心兩臺NE5000E，NE5000E上通過策略路由對部分網(wǎng)內(nèi)用戶源地址進行優(yōu)化，

11、強制疏導(dǎo)至C7609,C7609上配置默認路由指向AX2500后連接第三方出口防火墻和緩存系統(tǒng)，AX2500負責(zé)對出口進行選路。 由于源地址疏導(dǎo)是將所有流量都強制到C7609，所以在處理引入資源時也是通過C7609的默認路由進入AX2500，AX2500上通過判斷IP地址歸屬來分配出口資源，匹配為引入資源時會通過AX2500與NE5000E之間的鏈路返回NE5000E，強制送往省網(wǎng)出口。故障現(xiàn)象通過NE5000E策略路由方式優(yōu)化的源地址用戶無法訪問百度（IP為：6）1、終端上域名解析正常，ping該IP地址也正常，訪問其他網(wǎng)頁正常，此IP屬于引入資源，源地址優(yōu)化用戶訪問時通過AX2500后回N

12、E5000E，服務(wù)器回應(yīng)的時候直接從NE5000E回到用戶，不經(jīng)過AX2500；2、通過抓包分析發(fā)現(xiàn)終端上顯示TCP三次握手已經(jīng)完成，進入http get之前又接收到服務(wù)器6發(fā)來的syn ack，客戶端又重新發(fā)送了ack報文，然而在http get報文發(fā)送后，還是一直在接收syn ack 和回應(yīng)ack報文，懷疑服務(wù)器側(cè)仍認為三次握手沒有建立成功導(dǎo)致。3、在AX2500上debug，發(fā)現(xiàn)2084975628 CLIENT_SYN_RECEIVED: client not connected, save mss_index, buff-mss=1380, conn-mss_index=4, GET

13、_WS_OPT=0，并且終端后續(xù)一直在發(fā)送syn包給服務(wù)器。4、初步判斷故障發(fā)生在AX2500上，經(jīng)對故障前后AX2500配置進行對比發(fā)現(xiàn)，在slb上增加了syn-cookie配置SYN Cookie的原理: 客戶端發(fā)送SYN報文，AX2500設(shè)備會代替服務(wù)器直接響應(yīng)SYN ACK,其中TCP序列號會根據(jù)源IP等特定參數(shù)產(chǎn)生。 正常客戶端會響應(yīng)AX2500 SYN ACK并發(fā)送 ACK 給AX2500； AX2500在接收到這個ACK后再使用客戶源IP和目標IP創(chuàng)建連接。 相當(dāng)于客戶端和AX2500建立連接，AX2500再和服務(wù)器建立連接；然后在2者之間做個對應(yīng)轉(zhuǎn)換。 問題就在SYN Cook

14、ie功能和業(yè)務(wù)流量之間存在矛盾，百度為引入資源，在AX2500上直接返回給NE5000E ，不經(jīng)過第三方出口，在啟用SYN Cookie后，AX2500只發(fā)送SYN報文出去， NE5000E接收到該報文轉(zhuǎn)發(fā)，服務(wù)器的響應(yīng)回到NE5000E時會匹配路由條目直接回復(fù)給客戶端，而不回復(fù)給AX2500，AX2500收不到服務(wù)器回復(fù)的syn ack無法與服務(wù)器建立鏈接，服務(wù)器無響應(yīng)而不處理客戶端發(fā)送的http get報文，而客戶端會接收到多個SYN ACK 而且序列號不一致，導(dǎo)致客戶端無法和目標IP正常處理連接。案例-常州電信限制用戶訪問移動網(wǎng)絡(luò)情況分析現(xiàn)象：1. 大量常州電信用戶反映訪問常州移動MAS

15、、托管主機速度非常慢；2. 大量常州移動用戶反映訪問常州本地網(wǎng)站網(wǎng)速非常慢；移動電信 有問題電信移動 有問題移動移動 沒問題以MAS平臺為例，用常州電信ADSL測試，打開頁面很慢，背景頁面下載時間很長；用HttpWatch測試打開網(wǎng)頁速度，打開全部網(wǎng)頁總計時間150.9s；其中，獲取index.jpg文件（大小156KB）大概用時104.3s；從常州電信網(wǎng)內(nèi)traceroute移動短信平臺的地址，各段時延正常；到達目的地址時延337ms，時延穩(wěn)定，無明顯丟包現(xiàn)象；電信集團至移動集團出口處延時307ms，比以前略有上升（3月份為250ms左右），多出的50ms是近期業(yè)務(wù)量上升導(dǎo)致，但是這50ms

16、與打開網(wǎng)頁用時用掉的104s相比可以忽略不計；因此我們判斷：網(wǎng)絡(luò)延時偏大不是導(dǎo)致網(wǎng)頁打開慢的主要原因；使用常州電信ADSL，打開網(wǎng)頁同時進行數(shù)次抓包，并對抓包結(jié)果進行分析；首先電信主機向移動服務(wù)器發(fā)送http請求消息，沒有收到服務(wù)器響應(yīng)，重發(fā)請求（平均1-2次）。原因可以判斷為：請求消息沒有發(fā)送到服務(wù)器，中途丟失；其次電信主機與移動服務(wù)器建立TCP連接后，開始傳輸數(shù)據(jù)，但是中間多次發(fā)生TCP數(shù)據(jù)重傳。原因可以判斷為：數(shù)據(jù)傳輸時有部分丟失，或TCP確認消息丟失，服務(wù)器要求重傳；網(wǎng)頁打開慢的原因基本上可以判斷為：電信至移動網(wǎng)絡(luò)在傳輸數(shù)據(jù)時存在問題，數(shù)據(jù)包多次丟失，導(dǎo)致重傳。MAS網(wǎng)頁上156KB的頁面文件總共傳送了104s，平均1.5KB/s；常州電信網(wǎng)內(nèi)tracert常州移動地址（全部），與tracert其他地址（sina、sohu、google）做對比；根據(jù)tracert結(jié)果可以發(fā)現(xiàn)，去往常州移動的數(shù)據(jù)包在常州電信網(wǎng)內(nèi)經(jīng)過的路徑，與其他目的地址的轉(zhuǎn)發(fā)路徑有區(qū)別，紅色圈出部分為多出的跳點；可能的原因：以常州移動地址為源地址或目標地址的數(shù)據(jù)包，到達常州電信網(wǎng)內(nèi)后，被強制送往某臺設(shè)備再轉(zhuǎn)發(fā)，并且該設(shè)備上做了一些限制；常