wireshark简单运用笔记(三)-创新互联

我们在使用wireshark进行抓包的时候,有时会要对各个端点IP地址的流量进行统计,这时我们就要用到wireshark中的查看端点的功能。当我们抓包结束后,选择Statistics中的Endpoints就可以看到各端点(IP地址)的流量统计,如下图:

创新互联建站坚持“要么做到,要么别承诺”的工作理念,服务领域包括:网站设计、做网站、企业官网、英文网站、手机端网站、网站推广等服务,满足客户于互联网时代的翠屏网站设计、移动媒体设计的需求,帮助企业找到有效的互联网解决方案。努力成为您成熟可靠的网络建设合作伙伴!

wireshark简单运用笔记(三)

通过wireshark的这个功能,我们可以直观的看到捕获的流量的统计信息,这对于我们分析当前网络的行为有不小的帮助。

而如果我们想要知道地址A与地址B之间的会话流量统计信息,则可以选择Statistics中的Conversation,出现如下窗口:

wireshark简单运用笔记(三)

通过这个窗口,我们可以很好的看到各地址间的会话流量,同时我们也可以通过这些会话流量来粗略分析地址间的会话行为。、

我们有时也需要对捕获的流量中协议的分布情况进行分析,如TCP、ICMP等所有的百分比例,在wireshark中,我们可以选择Statistics中的Protocol Hierarchy,在弹出窗口中,我们可以非常清晰的看到各协议流量所占的比例。如图:

wireshark简单运用笔记(三)

这个功能在运用中会有不错的功效,对我们初步判断网络是否出现故障时有很大帮助,像网络中ARP流量通常占百分之十,而如果我们捕获的流量中ARP的比例过大或过小,那么我们就知道一定是哪里出问题了,我们就可以进一步分析问题的所在。

在流量分析中,有时可能会出现协议解析失败或错误的情况,因为wireshark中的解析器解析各协议都是默认的协议端口号,如SSL流量默认是443端口等。而当会话主机改变了默认端口,那么就有可能导致错误的解析了。如把FTP流量通过443端口来传输,那么,在wireshark捕获的流量中,这本来应该是FTP流量的将会被显示为SSL流量,这时我们该如何分析知道这是FTP流量呢?

只要我们查看该流量,我们就可以发现,其中明文出现了账户名或者密码,这时,我们就可以知道这应该是FTP这类明文传输的协议流量。

那么如何解决这个问题呢?其实,我们可以强制wireshark对这个数据包使用FTP协议解析器进行解析,这叫做强制解码。

首先我们选中一个数据包,右键选择Decode As,在弹出对话框中的下拉菜单选择destination(443),并在Transport中选择FTP,这样wireshark就会对所有端口号为443的TCP流量使用FTP解析器进行解码。

wireshark简单运用笔记(三)

在捕获的流量中,我们也经常会对TCP流量进行跟踪,而如果一个数据包一个数据包的去慢慢的查看分析的话就太麻烦了,在wireshark中提供了非常方便的TCP流跟踪功能,只需要右键其中一个TCP或HTTP数据包,选择Follow TCP Stream,就可以在弹出窗口中清晰的看到该TCP流量的走向信息,如图:

wireshark简单运用笔记(三)

另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


分享文章:wireshark简单运用笔记(三)-创新互联
分享链接:http://cdiso.cn/article/csjesc.html

其他资讯