wireshark的原名是Ethereal,新名字是2006年起用的。當時Ethereal的主要開發者Gerald決定離開他原來供職的公司NIS,并繼續開發這個軟體。但由于Ethereal這個名稱的使用權已經被原來那個公司注冊,Wireshark這個新名字也就應運而生了。
Wireshark是世界上最流行的網絡分析工具。這個強大的工具可以捕捉網絡中的資料,并為使用者提供關于網絡和上層協定的各種資訊,也是網絡工程師、資訊安全工程師必備的一個工具之一。
Wireshark下載下傳:https://www.wireshark.org/download.html
Wireshark安裝就是傻瓜式的下一步下一步。
一:wireshark主要應用
網絡管理者用來解決網絡問題
網絡安全工程師用來檢測安全隐患
開發人員用來測試執行情況
學習網絡協定
二:界面介紹
1..菜單欄選項介紹
(1)、flie(檔案)欄用于打開,合并檔案,儲存,另存,導出為特殊檔案等等操作
(2)、Edit(編輯)菜單欄,查詢資料包,資料包标志、時間設定等操作
(3)、view(試圖)菜單欄調整主界面資訊
(4)、Capture(捕獲)菜單欄,選擇網卡,開始,停止抓包,過濾器等操作
(5)、Analyze(分析)菜單欄,顯示過濾器,tcp、udp包追蹤等功能
(6)、Statistics(統計)欄,資料彙總資訊,會話選項,節點統計,IO圖,流量圖等,做出很多會話報表
(7)、Telephony(電話)支援語音流量功能
(8)、Tools(工具)
(9)、help幫助界面
2.快捷方式菜單
<a href="http://s1.51cto.com/wyfs02/M01/85/F0/wKiom1ewIRGCQWGtAAA3AhSkJ2c942.png-wh_500x0-wm_3-wmp_4-s_856234675.png" target="_blank"></a>
使用工具中的常用按鈕,分别有:檢視網卡,列出接口選項,啟動,停止,重置,打開,着色…等
3.過濾欄
<a href="http://s4.51cto.com/wyfs02/M02/85/F0/wKioL1ewIZrgewO-AAAN_rWjg-w909.png-wh_500x0-wm_3-wmp_4-s_1943768286.png" target="_blank"></a>
輸入文法過濾出想要的資料包,如過濾基于udp協定的資料包,在filter欄輸入udp,回車,列出基于udp的所有資料包
4.資料包清單區
資料包清單區列出了包的時間流、源IP、目的IP、協定、資訊
5.資料詳細資訊區
在清單區選中資料包的時候,資料包的詳細資訊顯示在下方,我們稱為詳細資訊區
6..比特區
資料包位元組,十六進制資訊,通過比特區看到更詳細的字段資訊
介紹完基本的界面,開始讓wireshark開始工作吧,打開wireshark,選擇網卡,start,開啟抓包之旅。
讓人頭痛的是,這麼多包,怎麼看,從哪看,在上大學時,我們老師向我們介紹wireshark的時候,我同樣的頭疼,每次抓包都不知道怎樣去尋找自己想要的包。後來經過看wireshark和書和視訊,學習他們的使用技巧。
三:wireshark抓包技巧
在拿到一個包,我們總是希望它盡量的小,是以抓包時應該盡量隻抓必要的部分。
1.隻抓標頭
Capture-->Options 輕按兩下網卡資訊,在Limit each packet to 處輸入數值,我在此輸入了80 位元組,也就是說每個包隻抓前 80 位元組。如果問題涉及應用層,就應該再加上應用層協定頭的長度。如果你像我一樣經常忘記不同協定頭的長度,可以輸入一個大點的值。
<a href="http://s2.51cto.com/wyfs02/M02/85/EC/wKioL1eu-3jCHGFaAAEGR9v1ivc763.png-wh_500x0-wm_3-wmp_4-s_2973201889.png" target="_blank"></a>
2.抓包過濾器
Capture-->Options下的Capture Files,抓包過濾器,這是wireshark重要的功能,這裡可以設定抓取特定流量過濾條件,如果你确定過濾條件的文法,直接在Capture Filter區域輸入。在輸入錯誤時,Wireshark通過紅色背景區域表明無法處理過濾條件。
<a href="http://s5.51cto.com/wyfs02/M01/85/EC/wKioL1eu-3iiBqlUAADouOP0xHM802.png-wh_500x0-wm_3-wmp_4-s_2927129292.png" target="_blank"></a>
點選Capture Filter 按鈕檢視并選擇,wireshark其中自身帶一些過濾規則執行個體
<a href="http://s1.51cto.com/wyfs02/M02/85/EC/wKiom1eu-3my5Q4JAABXk1rwKfM109.png-wh_500x0-wm_3-wmp_4-s_3308017853.png" target="_blank"></a>
過濾器規文法:
Protocol + Direction +Host(s) +[Value] +[LogicalOperations] +[Other expression_r]
Protocol(協定): 可能的值ether,fddi,ip,arp,rarp,decnet,lat,sca,moprc,mopdl,tcpandudp. 如果沒有特别指明是什麼協定,則預設使用所有支援的協定。
Direction(方向): 可能的值:src,dst,srcanddst,srcordst。如果沒有特别指明來源或目的地,則預設使用"srcordst"作為關鍵字。
Host(s):可能的值:net,port,host,portrange。如果沒有指定此值,則預設使用"host"關鍵字。
LogicalOperations(邏輯運算): 可能的值:not,and,or。否("not")具有最高的優先級。或("or")和與("and")具有相同的優先級,運算時從坐至右
[Other expression_r]:與邏輯運算連用,其他的過濾語句。
文法執行個體:
(1)、抓取基于MAC的資料流
ether host 6C-58-67-9B-C7-01:抓取發送到/來自6C-58-67-9B-C7-01的資料流
ether src 6C-58-67-9B-C7-01:抓取來自6C-58-67-9B-C7-01的資料流
ether dst 6C-58-67-9B-C7-01:抓取發到6C-58-67-9B-C7-01的資料流
not ether host 6C-58-67-9B-C7-01:抓取除了發到/來自6C-58-67-9B-C7-01以外的所有資料流
ether broadcast或ether dst ff:ff:ff:ff:ff:ff:抓取廣播封包
ether multicast:抓取多點傳播封包
抓取指定以太網類型的封包:ether proto 0800
抓取指定VLAN:vlan (vlan number)
抓取指定幾個VLAN:vlan (vlan number)and vlan (vlan number)
(2)、抓取基于IP的資料流
如果你的抓包環境下有很多主機正在通訊,可以考慮使用所觀察主機的IP位址來進行過濾。以下為IP位址抓包過濾示例:
host 192.168.11.183:抓取發到/來自192.168.11.183的資料流
host 2406:da00:ff00::6b16:f02d:抓取發到/來自IPv6位址2406:da00:ff00::6b16:f02d的資料流
not host 192.168.11.183:抓取除了發到/來自192.168.11.183以外的所有資料流
src host 192.168.11.183:抓取來自192.168.11.183的資料流
dst host 192.168.11.183:抓取發到192.168.11.183的資料流
host 192.168.11.183 or 192.168.11.254:抓取發到/來自192.168.11.183以及與通訊的資料流,抓取發到/來自192.168.11.254以及與通訊的所有資料流
(3)、抓取基于端口的資料流
你可能需要檢視基于一個或幾個應用的資料流。抓包過濾器文法無法識别應用名,是以需要根據端口号來定義應用。通過目标應用的TCP或UDP端口号,将不相關的封包過濾掉。
port 53:抓取發到/來自端口53的UDP/TCP資料流(典型是DNS資料流)
not port 53:抓取除了發到/來自端口53以外的UDP/TCP資料流
port 80:抓取發到/來自端口80的UDP/TCP資料流(典型是HTTP資料流)
udp port 67:抓取發到/來自端口67的UDP資料流(典型是DHCP據流)
tcp port 21:抓取發到/來自端口21的TCP資料流(典型是FTP指令通道)
portrange 1-80:抓取發到/來自端口1-80的所有UDP/TCP資料流
tcp portrange 1-80:抓取發到/來自端口1-80的所有TCP資料流
(4)、當你需要抓取多個不連續端口号的資料流,将它們通過邏輯符号連接配接起來。
port 20 or port 21:抓取發到/來自端口20或21的UDP/TCP資料流(典型是FTP資料和指令端口)
host 10.3.1.1 and port 80:抓取發到/來自10.3.1.1端口80的資料流
host 10.3.1.1 and not port 80:抓取發到/來自10.3.1.1除了端口80以外的資料流
udp src port 68 and udp dst port 67:抓取從端口68到端口67的所有UDP資料流(典型是從DHCP用戶端到DHCP伺服器)
udp src port 67 and udp dst port 68:抓取從端口67到端口68的所有UDP資料流(典型是從DHCP伺服器到DHCP用戶端)
抓取TCP連接配接的開始(SYN)和結束(FIN)封包,配置tcp[tcpflags] & (tcp-syn|tcp-fin)!=0
抓取所有RST(Reset)标志位為1的TCP封包,配置tcp[tcpflags] & (tcp-rst)!=0
less (length):抓取小于等于某一長度的封包,等同于len <=(length)
greater (length):抓取大于等于某一長度的封包,等同于len >=(length)
(5)、抓取基于指定協定的資料流
你可能需要檢視基于一個或幾個協定的資料流。通過目标應用的TCP、UDP或在TCP、UDP後加上端口号,将不相關的封包過濾掉。
icmp:抓取發到/來自icmp的資料流
(6)、聯合查詢
運用邏輯運算符的聯合查詢
src host 192.168.11.183 && dst port 80:過濾源位址為192.168.11.183,目的通路80的流量
3.顯示過濾器:
通常經過捕捉過濾器過濾後的資料還是很複雜。此時您可以使用顯示過濾器進行更加細緻的查找。它的功能比捕捉過濾器更為強大,而且在您想修改過濾器條件時,并不需要重新捕捉一次。
文法:
Protocol +[strng] +[Comparisonoperators] +Value +[LogicalOperations] +[Other expression_r]
Protocol(協定): 您可以使用大量位于OSI模型第2至7層的協定。點選"Expression..."按鈕後,能看到一系列的表達式。
<a href="http://s1.51cto.com/wyfs02/M02/85/F1/wKiom1ewJtOxE9HaAACAIiuj-Hs178.png-wh_500x0-wm_3-wmp_4-s_3759683556.png" target="_blank"></a>
strng:子協定,輸入協定下的子協定,如輸入tcp下的子協定,圖中下拉出它的子協定,用"."引出,可層層多次包含子協定。
<a href="http://s1.51cto.com/wyfs02/M02/85/F0/wKioL1ewJ5-jGuhkAACriNXO5DE771.png-wh_500x0-wm_3-wmp_4-s_3548304292.png" target="_blank"></a>
Comparisonoperators(比較運算符)
英語寫法
c語言寫法
含義
eq
==
等于
ne
!=
不等于
gt
>
大于
It
<
小于
ge
>=
大于等于
Ie
<=
小于等于
Logicalexpression_rs(邏輯運算符):
and
&&
邏輯與
or
||
邏輯或
xor
^^
邏輯異或
not
!
邏輯非
Other expression_r:同抓包過濾器一樣,其他的過濾語句,同邏輯運算符連用。
顯示特定資料流執行個體:
顯示過濾器可基于協定,應用,域名,或字元,對大小寫敏感。絕大多數簡單的顯示過濾器由小寫字母組成。與捕捉過濾器使用的BPF文法不同,顯示過濾器使用的是Wireshark特定的格式。除了某些特例之外,Wireshark顯示過濾器和捕捉過濾器有很大的差別。
(1)、基于IP位址或主機封包過濾
對于IPv4資料流,我們使用字段名ip.src,ip.dst,ip.addr;對于IPv6資料流,使用ipv6.src,ipv6.dst,ipv6.host以及ipv6.addr。
ip.addr==192.168.11.183顯示在IP源位址字段或IP目的位址字段包含192.168.11.183的幀。
ip.src==192.168.11.183顯示所有來自192.168.11.183的資料流。
ip.dst==192.168.11.183顯示所有發往192.168.11.183的資料流
!ip.addr==192.168.11.183顯示除了在IP源位址字段或IP目的位址字段包含192.168.11.183以外的幀
例如在filter欄輸入ip.dst == 192.168.11.183
(2)、基于端口号的過濾
tcp.port == 80過濾tcp的80端口。
(3)、協定過濾器
arp:顯示所有包括ARP請求和回複在内的所有ARP資料流。
ip:顯示内含IPv4頭在内的(如ICMP目的位址不可達封包,在ICMP封包頭之後傳回到來方向的IPv4頭)IP資料流。
ipv6:顯示所有IPv6資料流,包括内含IPv6封包頭的IPv4封包,如6to4,Teredo,以及ISATAP資料流。
tcp:顯示所有基于TCP的資料流。
(4)、字元過濾器:
tcp.analysis.flags:顯示所有包含TCP分析辨別的所有封包,包括封包丢失,重傳,或零視窗辨別。
tcp.analysis,zero_window:顯示含有表明發送方的接收緩存用完辨別的封包
例tcp.flags.syn == 1:過濾三次握手fsyn=1的資料包
回想之前所說的文法,也能感受到wireshark顯示過濾器文法的繁瑣,估計wireashark的開發者也意識到了這個,于是乎,就有了一下的功能
Prepare a Filter-->Selected ,就會在 Filter 框中自動生成過濾表達式。
Apply as Filter-->Selected ,則該過濾表達式生成之後還會自動執行。
<a href="http://s1.51cto.com/wyfs02/M01/85/F1/wKiom1ewLBiQF-pHAAIj5ixF4dM665.png-wh_500x0-wm_3-wmp_4-s_2876294625.png" target="_blank"></a>
4.個性化設定:
我們還可以通過自定義顔色,把更加關心的協定通過 View -->Coloring Rules 來設定顔色。
<a href="http://s4.51cto.com/wyfs02/M00/85/F1/wKiom1ewKjnyFf0BAACmqu0iRfs276.png-wh_500x0-wm_3-wmp_4-s_298116186.png" target="_blank"></a>
曾在論壇看到又來了在咨詢:Wireshark 是按照什麼過濾出一個 TCP/UDP Stream 的?
單擊 Wireshark 的 Statistics--
>Conversations ,再單擊 TCP 或者 UDP 标簽就可以看到所有的 Stream
<a href="http://s2.51cto.com/wyfs02/M01/85/F0/wKioL1ewKviBYqNWAADLiG9WGao811.png-wh_500x0-wm_3-wmp_4-s_3011025190.png" target="_blank"></a>
可以看到兩端的 IP 加 port 。
四:wireshark進階功能
1.讓wireshark自動分析
單擊 Wireshark 的 Analyze-->Expert Info ,就可以在不同标簽下看到不同級别的提示資訊。比如重傳的統計、連接配接的建立和重置統計,等等。在分析網絡性能和連接配接問題時,我們經常需要借助這個功能。
<a href="http://s4.51cto.com/wyfs02/M01/85/F0/wKioL1ewLMGhTaUhAABYkcb1tTg170.png-wh_500x0-wm_3-wmp_4-s_1098929559.png" target="_blank"></a>
2.搜尋功能
Wireshark 也可以通過 “Ctrl+F” 搜尋關鍵字。假如我們懷疑包裡含有 “error” 一詞,就可以按下 “Ctrl+F” 之後選中 “String” 單選按鈕,然後在 Filter 中輸入 “error” 進行搜尋,很多應用層的錯誤都可以靠這個方法鎖定問題包。
<a href="http://s1.51cto.com/wyfs02/M02/85/F1/wKiom1ewLQqwA7tlAABF6NOuJCM496.png-wh_500x0-wm_3-wmp_4-s_289751613.png" target="_blank"></a>
3.資料流追蹤功能
資料流追蹤将tcp、udp、ssl等資料流進行重組并完整呈現出來analyze–>follow tcp stream,紅色部分通過get包,浏覽器,用戶端,網址等資訊,藍色代表官網的回報資訊
<a href="http://s4.51cto.com/wyfs02/M02/85/F0/wKioL1ewLaugsM3sAAD-2rY09KI467.png-wh_500x0-wm_3-wmp_4-s_4168382627.png" target="_blank"></a>
4.解碼能力
HTTP預設的端口是80端口,當我們通路http服務時,通路的端口是不是80端口,wireshark是不會按照HTTP協定去解析資料包,此時,我們就可以指定協定,去解析資料包。analyze–>Decode As...并選擇HTTP協定
<a href="http://s4.51cto.com/wyfs02/M01/85/F1/wKiom1ewOzeh1RblAABIOtYHhXg763.png-wh_500x0-wm_3-wmp_4-s_956402052.png" target="_blank"></a>
五、Wireshark統計功能
Wireshark的一個強大的功能在于他的統計工具,使用Wireshark的時候我們有各種類型的工具可供選擇,這裡介紹基本網絡統計工具。包括:捕捉檔案摘要(Summary)、捕捉包層次結構(Protocol Hirarchy)、會話(Conversations)、網絡節點(Endpoints)、HTTP
1.捕捉檔案摘要
捕捉檔案摘要對抓取的資料包進行全局統計,Staristics–>Summary,顯示資料包的名稱,大小,格式,時間,作業系統,版本,抓包接口說明,顯示網卡,平均每秒的包,平均每個包的結構……
<a href="http://s1.51cto.com/wyfs02/M00/85/F0/wKioL1ewLtfh65d8AAC_E-qt0JE479.png-wh_500x0-wm_3-wmp_4-s_2907297367.png" target="_blank"></a>
這一菜單簡單收集所有抓包資料,在定義了過濾條件的時候,将呈現過濾後的資料,當想要知道每秒的平均封包數或位元組數時,使用此工具
File:捕捉檔案的一般資訊,如檔案名和路徑,長度,等等。
Tme:第一個包和最後一個包的時間戳,以及抓包過程持續時間。
Capure:顯示檔案捕捉于哪一個接口,以及評論視窗。
Display視窗,展示抓封包件統計資訊的摘要,包括:捕捉封包總數與百分比,顯示封包數量(加上過濾條件之後),标記封包數量
2.捕捉包層次結構
捕捉包層次結構統計了通信流量中不同協定占用額百分比,通過這個工具可以對全網流量有直覺的了解,到底整個網絡那些流量占用最多,那些占用最少等等。打開statistics–>protocol hierarchy
<a href="http://s5.51cto.com/wyfs02/M00/85/F1/wKiom1ewLy-jUYd-AACeEqBHjQY783.png-wh_500x0-wm_3-wmp_4-s_3709420721.png" target="_blank"></a>
圖中我們可以看出,Ethernet的流量包括IPv4和IPv6,IPv4包括UDP和TCP,這幾個分項的和就是以太網百分百的流量
Protocol:協定名稱
% Packets:含有該協定的包數目在捕捉檔案所有包所占的比例
Packets:含有該協定的包的數目、Bytes含有該協定的位元組數
Mbit/s:抓包時間内的協定帶寬、End Packets 該協定中的包的數目(作為檔案中的最高協定層)
End Bytes:該協定中的位元組數(作為檔案中的最高協定層)
End Mbit/s :抓包時間内的協定帶寬(作為檔案中的最高協定層)
在網絡異常的時候,通過分析這些資料包占用的流量我們可以判斷網絡問題,如圖這是一個正常的網絡占用百分比,例如網絡發生了ARP攻擊,那麼ARP在這裡的占用也許會顯示20%或者30%
3.會話統計
會話統計功能,統計通信會話之間接收和發送的資料包和位元組數,通過這個工具可以找出網絡中哪個會話(IP位址或端口号)最占用帶寬,進一步作出網絡政策。打開Statistics–>Conversations
<a href="http://s5.51cto.com/wyfs02/M02/85/F1/wKioL1ewL4-Qy6WLAADLiG9WGao754.png-wh_500x0-wm_3-wmp_4-s_1967600506.png" target="_blank"></a>
Ethernet以太網統計功能包括:mac通信統計,通信序包數,通信位元組數;IPv4統計功能包括:IP通信統計,檢視通信包數量,位元組數;ipv6統計;tcp統計包括:源IP源端口,目的IP目的端口,檢視包數量;udp會話統計包括:源IP源端口,目的IP目的端口,檢視包數量
在tcp、udp裡還提供了流追蹤,圖形化A->B,圖形化B->A
我們可以通過wireshark會話統計發現很多問題
在以太網回話統計中可以查找以下問題:
(1) 可以看見較輕微的廣播風暴;而對于每秒數千甚至數萬個封包的嚴重廣播風暴,Wireshark會停止顯示資料并且螢幕當機。隻有斷開Wireshark連接配接時才能看見。
(2)如果你看到來自某一MAC位址的大量資料,檢視會話第一部分的vendor ID,會給你一些導緻問題的線索。即使MAC位址的第一部分辨別了vendor,但它并不一定就辨別了PC本身。這是由于MAC位址屬于PC上安裝的以太網晶片廠商,而并不一定屬于PC制造商。如果無法識别資料流來源位址,可以ping嫌疑位址并通過ARP擷取它的MAC位址,在交換機中查找該位址,如果有作業系統的話直接用find指令來定位。
在IP會話統計中可以查找一下問題:
(1)檢視收發大量資料流的IP位址。如果是你知道的伺服器(你記得伺服器的位址或位址範圍),那問題就解決了;但也有可能隻是某台裝置正在掃描網絡,或僅是一台産生過多資料的PC。
(2) 檢視掃描模式(scan pattern)。這可能是一次正常的掃描,如SNMP軟體發送ping封包以查找網絡,但通常掃描都不是好事情。
在tcp/udp會話統計中可以檢視以下問題
(1) 檢視帶有太多TCP連接配接的裝置。每一個PC合理的連接配接數是10到20個,上百個則是不正常的
(2)嘗試查找無法辨識的端口号。它可能是正常的,但也可能是有問題的。
4、網絡節點統計
網絡節點功能,統計通信會話中每個節點接收和發送的資料包和位元組數,通過這個工具可以找出網絡中哪個節點(IP位址或端口号)最占用帶寬。打開statistics–>Endpoints,終端節點統計是面向IP的,可以檢視具體某一個IP發送的流量以及占用帶寬
<a href="http://s2.51cto.com/wyfs02/M00/85/F1/wKiom1ewMMLACo_4AADAM3lfy3c126.png-wh_500x0-wm_3-wmp_4-s_3102499948.png" target="_blank"></a>
顯示按照長度劃分的序包。大部分包的正常長度為40~5119。例如,網絡中有一種小型幀或巨型幀的攻擊方式,利用發送資料包小于40或大于5119的包進行攻擊,這時候可以在這裡檢視資料包長度統計觀察這些異常包的百分比,找出網絡問題
在此視窗中能夠看到2,3,4層的endpoints,也就是以太網。IP,tcp或udp,終端節點統計是面向IP的,可以檢視具體某一個IP發送的流量以及占用帶寬
這一工具列出了Wireshark發現的所有endpoints上的統計資訊,可以是一下任意一種情況:
(1.)少量以太網endpoints(MAC位址)與大量IP終端節點(IP位址):可能的情況例如,一個路由器從很多遠端裝置收發封包,我們會看見路由器的MAC位址以及很多IP位址經由此處。
(2.)少量IP終端節點與大量tco終端節點:可能的情況是每一台主機有很多個tcp連接配接。可能是有很多連接配接到額伺服器的一個正常操作,也可能是一種網絡攻擊(如SYN攻擊)
5、HTTP
從statistic菜單,選擇HTTP,将會出現以下視窗
在http子菜單中,可以看到以下資訊
<a href="http://s1.51cto.com/wyfs02/M00/85/F1/wKioL1ewMaPR4MphAAGID20mJKM854.png-wh_500x0-wm_3-wmp_4-s_1831070391.png" target="_blank"></a>
Packet Counter:每一個網站的封包數量。幫助識别有多少響應和請求。
Requests:各網站的請求分布
Load Distribution:各網站的負載分布
檢視Packet Couter統計資訊,顯示以下過濾視窗,在此視窗中,可設定過濾條件以檢視符合條件的統計資訊。資訊想要檢視整個抓封包件的統計資訊,不添加資訊就會顯示IP層之上的統計資訊,也就是所有http封包,點選Create Stat。
要獲得指定HTTP主機的統計資訊,設定過濾條件http.host contains(host_name)或http.host ==(host_name)通過設定過濾條件http.host contains baidu.com,可以獲得站點baidu.com的統計資訊,點選Create Stat按鈕
<a href="http://s1.51cto.com/wyfs02/M01/85/F1/wKiom1ewMaSxkc_aAABPYOYB_eQ053.png-wh_500x0-wm_3-wmp_4-s_2200677900.png" target="_blank"></a>
6、圖表分析-IO Graph
IO Graph對網絡中的吞吐量進行實時圖形顯示。在wireshark抓包過程中打開statistic–>IO Graph
<a href="http://s2.51cto.com/wyfs02/M02/85/F1/wKioL1ewNEHDHJXUAACY9YSQTqw448.png-wh_500x0-wm_3-wmp_4-s_1513424628.png" target="_blank"></a>
IO圖表展示了吞吐量過程,X軸表示時間流,y軸表示資料包,圖表預設情況下統計網卡的吞吐量
Craphs預設允許展示五條報表,例如在filter 過濾器中輸入http檢視http在網絡中占用的吞吐量,點選Graph2,顯示出一條紅色的波線就是http圖表的吞吐量。管理者可以根據網絡環境,在filter過濾器中添加更多的過濾條件
7、圖表分析-Flow Gragh
Flow Gragh 資料流圖,将會話通信過程圖形可視化出來。打開statistics–>flow graph,選擇all對所有的包進行圖表分析,displayed packets對過濾出來的包進行圖表分析
<a href="http://s3.51cto.com/wyfs02/M02/85/F1/wKiom1ewNQLA4Uc-AAEb06YVGys049.png-wh_500x0-wm_3-wmp_4-s_1696011591.png" target="_blank"></a>
圖表分析界面,掃描時間點,源IP,目的IP,具體包内容都以圖形化的方式顯示出來
對于wireshark抓完的包想儲存下來,以便下次分析,儲存時最好儲存為pcap格式,因為幾乎所有抓包軟體相容。
一般,我對于大量的資料包,我先觀察wireshark的統計功能給我統計出來的資訊,然後針對相應的協定,自己需要的包,再用顯示過濾器給抓取出來。遺憾的是,對于詳細的包的内容,也是隻能看懂部分,與其說怪自己英語不好,不如說抓的包少了,分析的少了。不過學習畢竟是一步一步慢慢積累沉澱下來的。之後的學習還需多多努力了!
在此,我所了解的wireshark已經全部說完了,可以打開wireshark,開啟你的抓包之旅了。由于本人水準有限,文中若有錯誤,多多包涵,并且歡迎一起交流學習技術。
本文轉自 wt7315 51CTO部落格,原文連結:http://blog.51cto.com/wt7315/1837836