Wireshark高级特征
创始人
2024-04-21 07:19:17
0

1,端点和网络会话

  • 想要让网络通信正常进行,你必须至少拥有两台设备进行数据流的交互。端点endpoint)就是指网络上能够发送或接收数据的一台设备。两个端点之间的通信被称之为会话conversation)。Wireshark根据交互的特征来标识端点会话。
  • 端点在OSI的不同层级上使用多种不同类型的地址。
    • 如在数据链路层,通常使用物理网卡的MAC地址。每个设备的MAC地址独一无二(虽然也有办法修改)。
    • 在网络层,端点使用IP地址。IP地址可以在任何时间修改。

1.1,查看端点统计

  • Wireshark的Endpoints窗口(统计—>Endpoints),给出了各个端点的许多有用的统计数据,包括每个端点的地址,传输发送数据包的数量和字节数。
    在这里插入图片描述

    在这里插入图片描述

  • 上面图片(Endpoints窗口)顶部的选项卡(TCPEthernetIPv4IPv6UDP)根据协议将当前捕获文件中所有支持和被识别的端口进行分类。单击其中一个选项卡,就可以只显示针对一个具体协议的端口。单击窗口右下角的Endpoints类型多选框,就可以添加额外的协议过滤标签。勾选解析名称多选框,可以开启名称解析功能来查看端点地址。如果在处理大流量且需要过滤出所显示的端点数据,那么可以事先在Wireshark主窗口里应用显示过滤器,然后在端点窗口勾选显示过滤器的限制多选框。此选项会让端点窗口只显示与显示过滤器相匹配的端点。

1.2,查看网络会话

  • 访问Wireshark的会话窗口(统计—>Conversations)来显示所有在捕获文件中的会话。
    在这里插入图片描述

    在这里插入图片描述

    • 会话窗口(上图)展示的是一行两个地址组成的会话,以及每个设备发送或收到的数据包和字节数。地址A列代表着源端点,地址B列代表着目的端口。

1.3,使用端点和会话定位最高用量者

  • 使用捕获文件2022.11.281.pcapng举例。下图展示了在这个捕获文件中以字节数目排序的端点列表。

    在这里插入图片描述

    • 注意:以字节排序后的第一个地址是192.168.0.105(本机地址),此外,拥有这个地址的设备是数据集中最活跃的信息源(进行了最多通信的主机)

    • 第二个地址61.147.236.26是一个公网地址。

    • 有了上述信息,你可以假设:61.147.236.26和192.168.0.105正在各自与很多其他设备进行大量通信,或者这两个IP之间在彼此通信。实际上,最大用量者之间的端点通信是比较常见的。要确定这一点,请打开会话窗口并选中IPv4选项卡,你就可以通过使用字节数对列表进行排序来验证这一点。

    在这里插入图片描述

    • 你可以使用如下显示过滤表达式来检查会话。

      • ip.addr == 61.147.236.26 && ip.addr == 192.168.0.105
        

2,基于协议分层结构的统计

  • 当在与未知的捕获文件打交道时,有时需要知道文件中协议的分布情况,也就是捕获中TCP,IP,DHCP等所占的百分比是多少。Wireshark提供的协议分层统计Protocol Hierarchy Statistics)可以帮助你完成此任务。

  • 以上面的捕获文件2022.11.281.pcapng为例,选择统计Statistics)—>协议分级Protocol Hierarchy)打开协议分层统计窗口。如下。
    在这里插入图片描述

    在这里插入图片描述

  • 协议分层统计窗口就像一张快照,会让你直观地看到网络活动中地各种类型。

3,名称解析

  • 名称解析就是一个协议用来将一个独特的地址转换到另一个的过程,目的是让地址方便记忆。

3.1,开启名称解析

  • Wireshark在显示数据包时,使用名称解析来简化分析。要启用此功能,请选择编辑Edit)->首选项Preferences)->Name Resolution

    在这里插入图片描述

    在这里插入图片描述

  • 上面这里有一些Wireshark名称解析的主要选项。

    1. 解析MAC地址Resolve MAC addresses):
      1. 此类型的名称解析使用ARP协议,试图将第二层数据链路层的MAC地址转换为网络层地址。
      2. 如果这种转换尝试失败,那么Wireshark会使用程序目录中的ethers文件尝试进行转换。Wireshark最后的尝试便是将MAC地址的前三个字节转换为设备IEEE指定的制造商名称。
    2. 解析传输名称Resolve Transport name):
      1. 此类型的名称解析尝试将一个端口号,转换成一个与其相关的名字。比如,将端口80显示为http。
    3. 解析网络名称Resolve Network/IP name):
      1. 此类型的名称解析试图转换第三层网络层的地址。如将IP地址转换为一个易读的域名。
  • 此外Wireshark还提供了其他几个有用的选项

    1. Use captured DNS packet data for address resolution
      1. 从已捕获的DNS数据包中解析出了IP地址和DNS域名之间的映射。
    2. Use an external network name resolver
      1. 允许Wireshark为你当前的分析机器使用的外网DNS服务器生成查询,从而获得IP地址和DNS域名之间的映射。
      2. 当捕获的文件里没有DNS解析数据而你还需要DNS域名解析时,此功能就比较实用。
    3. Maximum concurrent requests
      1. 该参数会限制当前的一次最多DNS请求数量。当你的捕获文件将产生大量的DNS查询而你并不想让DNS查询占用过多带宽的时候,请使用此功能。
    4. Only use the profile “hosts” file
      1. 把DNS解析限制在与活动Wireshark文档关联的host文件中。

3.2,名称解析的潜在弊端

  1. 网络名称解析可能会失败,尤其是当没有可用的DNS服务器时。
  2. 名称解析的信息是不会保存在捕获文件里的,所以在你每次打开一个捕获文件的时候都要重新进行一次名称解析。
  3. 如果你在一个网络环境下捕获了流量,那么在另一个网络环境中打开该捕获文件时,你的系统可能访问不到之前的DNS服务器。
  4. 名称解析会带来额外的处理开销,当你的内存不剩多少的时候,可能需要关闭名称解析,以节约系统资源。
  5. DNS名称解析的依赖会产生额外的数据包,也就是说你的捕获文件可能会被解析那些基于DNS地址的流量所占据。如果在你分析的捕获文件中含有恶意IP地址,那么试图去解析它们会生成对攻击者控制的基础架构的查询,这样攻击者就有可能知道你的动作,甚至把你自己变成靶子。要避免跟攻击者打交道,请在名称解析选项对话框中关掉Use an external network name resolver

4,协议解析

  • Wireshark最大的优势就是对上千种协议解析的支持。
  • Wireshark中的协议解析器允许你将数据包拆分成多个协议区段以便分析。

4.1,更换解析器

  1. 在协议列右键单击其中一个数据包,选择Decode As。这时会弹出一个对话框,从中选择你想要使用的解析器。
    在这里插入图片描述

    在这里插入图片描述

  2. 选好之后点击ok,就可以立刻将修改应用到捕获文件中去。

  • 你可以在同一个捕获文件中多次使用强制解码功能。Wireshark将在**Decode As…**对话框中跟踪你的强制解码操作。
  • 在默认情况下,当你关掉捕获文件时强制解码的设置不会保存。补救方法就是在Decode As…对话框中单击Save按钮。这会将协议解码规则保存到你的Wireshark用户配置文件中,因此你使用该配置文件打开任意捕获文件时,它们将会生效。要移除之前保存的解码规则,你可以在对话框中单击减号按钮。

5,流跟踪

  • Wireshark分析功能中令人满意的一点就是它能够将来自不同包的数据重组成统一易读的格式,一般称作packet transcript

  • 流跟踪功能可以把从客户端发网服务器的数据都排好序使其变得更易查看。

  • 现有四种类型的流可以被跟踪。

    1. TCP流:重组使用TCP协议的数据,比如HTTP和FTP。
    2. UDP流:重组使用UDP协议的数据,比如DNS。
    3. SSL流:重组加密的协议,比如HTTPS。你必须提供密钥来解密流量。
    4. HTTP流:从HTTP协议中重组和解压数据。当使用TCP流跟踪但又没有完全解码出HTTP数据时,这个功能就派上用场了。
  • 如一个简单的HTTP交互举例来说,选中一个HTTP或TCP数据包,右键单击这个文件并选择追踪流。此时会打开一个新窗口。
    在这里插入图片描述

    在这里插入图片描述

    • 注意这个窗口中的文字以两个颜色显示,其中红色用来标记从源地址前往目标地址的流量,而蓝色用来区分出相反方向,也就是从目标地址到源地址的流量。这里的颜色标记以哪方先开始通信为准。

6,数据包长度

  • 一个或一组数据包的大小可以了解很多情况。在正常情况下,一个以太网上的帧最大长度为1518字节,除去以太网,IP以及TCP头,还剩下1460字节以供应用层协议的头或者数据使用。如果你知道报文传输的最小需求,那么我们可以通过一个捕获文件中数据包长度的分布情况,做一些对流量的合理猜测。Wireshark提供了数据包长度窗口,帮助你查看数据包基于其长度的分布情况。

  • 依次点击统计Statistics)-> 分组长度packet Lengths
    在这里插入图片描述

    在这里插入图片描述

  • 特别需要注意那些大小为1280~2559字节的数据包统计的行。这些较大的数据包通常表示数据传输,而较小的数据包则表示协议控制序列。

  • 剩下的大多数数据包都是在40~79字节范围内,而处于这个范围的数据包通常是不含数据的TCP控制数据包。

7,图形展示

7.1,查看IO图

  • WiresharkIO图窗口允许你对网络上的吞吐量进行绘图。可以利用这些图,找到数据吞吐的峰值,找出不同协议中的性能时滞,以及比较实时数据流。

  • 选择统计(Statistics)—>IO Graphs
    在这里插入图片描述

    在这里插入图片描述

7.2,双向时间图

  • Wireshark中的另一个绘图功能就是对给定捕获文件的双向时间绘图。双向时间(Round-Trip Time,RTT)就是接收数据包确认所需的时间。对双向时间的分析通常被用来寻找通信中的慢点或者瓶颈,以确定是否存在延迟。

  • 选择统计Statistics)—>TCP流图形TCP Stram Graph)—>往返时间Round Trip Time Graph
    在这里插入图片描述

    在这里插入图片描述

  • 图中每一点都代表了一个数据包的双向时间。在默认情况下,这些值以其序列号排序。可以单击这个图中的任何一个点,并在Packet List面板中看到相应的数据包。

7.3,数据流图

  • 数据流绘图功能对于可视化连接以及显示一定时间的数据流非常有用,这些信息使你可以更轻松地了解设备的通信方式。数据流图基本上以列的方式,将主机之间的连接显示出来,并将流量组织到一起,以便于你更直观地解读。

  • 选择统计Statistics)—>流量图
    在这里插入图片描述

    在这里插入图片描述

相关内容

热门资讯

鸿蒙怎样还原安卓系统,系统切换... 你有没有想过,鸿蒙系统竟然能还原安卓系统?这听起来是不是有点像魔法一样神奇?没错,今天就要带你一探究...
电脑安卓转苹果系统,系统迁移攻... 你有没有想过,有一天你的安卓手机突然变成了苹果的忠实粉丝,想要跳槽到iOS的阵营呢?这可不是什么天方...
安卓xp系统下载地址,轻松获取... 你有没有想过,手机系统也能穿越时空?没错,今天我要给你揭秘的就是这样一个神奇的存在——安卓XP系统。...
安卓系统怎么清理相册,安卓系统... 手机里的相册是不是越来越臃肿了?每次打开都感觉像是在翻山越岭,找一张照片都要费老鼻子劲。别急,今天就...
安卓系统安装ios转移,轻松实... 你有没有想过,手机系统之间的转换竟然也能如此神奇?没错,今天就要来聊聊安卓系统安装iOS转移这个话题...
安卓系统与ios系统的优势,系... 你有没有想过,为什么你的手机里装的是安卓系统而不是苹果的iOS系统呢?或者反过来,为什么你的朋友用的...
安卓系统游戏如何升级,轻松实现... 亲爱的安卓玩家们,你是否也和我一样,对安卓系统游戏升级这件事充满了好奇和期待呢?每次游戏更新,都仿佛...
安卓系统蛋仔派对,安卓系统下的... 你有没有发现,最近你的手机里多了一个超级好玩的游戏?没错,就是安卓系统上的“蛋仔派对”!这款游戏可是...
坚果3安卓原生系统,深度体验原... 你有没有听说过坚果3这款手机?它可是最近在数码圈里火得一塌糊涂呢!今天,我就要来给你详细介绍一下这款...
安卓子系统点不开,排查与解决指... 最近是不是你也遇到了安卓子系统点不开的烦恼?这可真是让人头疼啊!别急,今天就来给你详细解析一下这个问...
安卓系统经常误删文件,如何有效... 你有没有遇到过这种情况?手机里的文件突然不见了,找来找去,怎么也找不到。别急,这可能是安卓系统的小调...
安卓51系统如何破解,轻松解锁... 安卓51系统如何破解——探索未知的技术边界在数字化时代,手机已经成为我们生活中不可或缺的一部分。而安...
安卓系统怎么换回主题,安卓系统... 亲爱的手机控们,你是不是也和我一样,对安卓系统的主题换换换乐此不疲呢?不过,有时候换着换着,突然发现...
黑莓安卓系统 太垃圾,令人失望... 你有没有用过黑莓的安卓系统?别告诉我你没有,因为现在这个系统真的是太垃圾了!是的,你没听错,就是那个...
修改安卓系统权限代码,安卓系统... 你有没有想过,你的安卓手机里那些神秘的系统权限代码?它们就像隐藏在手机里的秘密通道,有时候让你觉得既...
虚拟大师安卓系统教程,教程详解... 你有没有想过,手机里的世界可以变得更加神奇?今天,就让我带你一起探索虚拟大师安卓系统的奥秘吧!想象你...
基于安卓系统个人博客,轻松构建... 你有没有想过,在这个信息爆炸的时代,拥有一片属于自己的网络小天地是多么酷的事情啊!想象每天都能在这里...
安卓怎么传到苹果系统,从安卓到... 你是不是也有过这样的烦恼:手机里存了好多好用的安卓应用,可是一换到苹果系统,就发现这些宝贝们都不见了...
安卓改系统字体app,安卓系统... 你有没有想过,手机上的字体也能变得个性十足?没错,就是那个安卓改系统字体app,它可是让手机界面焕然...
安卓系统重启密码错误,破解与预... 手机突然重启了,屏幕上竟然出现了密码输入的界面!这可怎么办?别急,让我来帮你一步步解决这个安卓系统重...