Wireshark網絡抓包(四)——工具

1、基本信息統計工具

1）捕獲文件屬性（Summary）

1. File：瞭解抓包文件的各類屬性，例如抓包文件的名稱、路徑、文件所含數據包的規模等信息

2. Time：獲悉抓包的開始、結束和持續時間

3. Capture：抓包文件由哪塊網卡生成、OS版本、Wireshark版本等信息

4. Display：剩下的是彙總統計信息，數據包的總數、數量以及佔比狀況、網速等

2）協議分級（Protocol Hierarchy）

1. Protocol：數據包所歸屬的協議名稱

2. % Packets：抓包文件中所含數據包個數在每一種協議類型中的佔比狀況

3. Packets：每一種協議類型數據包的個數

4. % Bytes：抓包文件中所含數據包字節數在每一種協議類型中的佔比狀況

5. Bytes：每一種協議類型數據包的字節數

6. MBit/s：某種協議類型的數據包在抓包時段內的傳輸速率

7. End Packets：隸屬於該協議類型的數據包的純粹數量，例如TCP，純粹指的是TCP頭部以後沒有高層協議頭部（HTTP頭等）

8. End Bytes：隸屬於該協議類型的數據包的純粹字節數

9. End Bits/s：隸屬於該協議類型的數據包在抓包時段內的純粹傳輸速率

3）對話（Conversation）

一次對話是指發生於一對特定端點（主機、服務器或網絡設備）之間的全部流量。

TCP或UDP對話包括了4個特徵（源、目IP地址和源、目端口號）全都匹配的數據包。

1. Ethernet標籤：不一樣MAC地址的主機之間的交流

2. IPv4標籤：不一樣IPv4地址的主機之間的溝通

3. TCP或UDP：不一樣IPv4地址的主機之間創建的各類TCP或UDP，能夠發現某臺主機是否打開過多鏈接，是否與稀奇古怪的端口號創建了鏈接。

4）端點（Endpoints）

此工具用來觀察第2、3、四層端點（Ethernet端點、IP端點、TCP/UDP端點）有關的統計信息。

粗看與對話窗口相似，但對話窗口中會有Address A與Address B兩個，而端點中只有一個。

5）HTTP統計信息

1. 分組計數器（Packet Counter）：展現HTTP數據包的總數，請求數據包和響應數據包的數量。

2. 請求（Requests）：主機請求訪問Web站點的分佈狀況，以及所訪問的Web站點的具體資源。

3. 負載分配（Load Distribution）：HTTP數據包（請求和響應）訪問過哪些站點。

6）IP屬性統計信息

1. All Addresses：全部的地址

2. Destinations and Ports：目的地址和端口號

3. IP Protocol Types：IP協議類型

4. Source and Destination Addresses：源和目的地址

 

2、高級信息統計工具——IO圖表（IO Graphs）

1）IO圖表（IO Graphs）

1. 樣式：Line（線）、Impulse（脈衝）、Fbar（粗線）、Dot（點）

2. X軸配置：

間隔（Tick Interval）取值範圍0.001秒~10分鐘

一天時鐘（View as time of day）勾選後會按一天當中的具體時刻來顯示

3. Y軸配置：

速率單位（Unit）：Pickets、Bytes、Bits、Advanced（包括SUM、MAX等）

平滑速率（Smooth）：每一個計時單位內的平均傳輸速率

2）IO圖表高級配置（Y軸Unit參數Advanced選項）

單位時間：經過選擇X軸參數配置區域內的Tick Interval下拉菜單項來指定

1. SUM(*)：每一個單位時間內實際傳輸的IP數據包總字節數

2. COUNT FRAMES(*)：每一個單位時間內發生匹配該條件的數量，例如重傳數（tcp.analysis.retransmission）

3. COUNT FIELDS(*)：每一個單位時間內所傳數據包中該字段出現的次數

4. MAX(*)：每一個單位時間內所傳數據包相關參數的最高值，例如距離上一個捕獲的包的時間間隔（frame.time_delta）

5. MIN(*)：每一個單位時間內所傳數據包相關參數的最低值

6. AVG(*)：每一個單位時間內所傳數據包相關參數的平均值

7. LOAD(*)：生成與響應時間有關的圖形

 

3、高級信息統計工具——TCP流圖形（TCP StreamGraph）

1）時間序列（Stevens）

在單位時間內，受監控的TCP流在某個方向所傳數據的字節流。

一條連綿不斷的斜線就表示正常的文件傳輸，而斜線時斷時續，表示文件傳輸存在問題；

斜線的角度越大，表示文件的傳輸速率很高，反之，文件傳輸緩慢。

2）時間序列（tcptrace）

監控TCP鏈接的諸多詳細信息。

分析與此TCP有關的種種問題，包括TCP確認、TCP重傳、以及TCP窗口大小等信息。

上面一條表示TCP接收窗口，當兩條曲線之間空間較大的時候，表示接收主機尚有緩存；當近乎重疊的時候，TCP窗口已滿（window-full）不能繼續傳輸數據

下面一條表示在單位時間內，受監控的TCP流在某個方向所傳數據的字節流（也就是Stevens）

圖中每一個小豎條（放大後就能看到）表示TCP數據包起始和終止序列號都與縱座標上的數字相對應。

3）吞吐量（Throughput）

不但能瞭解TCP鏈接的吞吐量，並且還能判斷TCP鏈接是否穩定。

統計單位時間內在某一指定方向上傳輸的數據包的字節數（左邊的Y軸）；

以此統計出來的吞吐量只是某個方向上傳輸的應用程序數據（不含IP頭與TCP頭）的吞吐量，單位爲字節/秒（右邊的Y軸）。

左邊的Y軸就是包中的Len值，對應的是深藍色的點；右邊的Y軸對應的是咖啡色的斜線。

4）往返時間（Round Trip Time）

瞭解某條TCP鏈接中特定方向上的全部TCP報文段的往返時間（RTT）

X軸爲序列號字段值，Y軸爲時間值。

5）窗口尺寸（Window Scaling）

經過統計發送方的接收窗口大小，以此瞭解特定TCP鏈接的性能。

當窗口變小時，相關應用程序的吞吐量會相應下降，窗口的大小徹底受控於創建鏈接的兩個端點（服務器和客戶端），大小的變化與網絡性能無關。

 

4、專家信息（Expert Info）工具

窗口由Errors、Warnings、Notes、Chats等構成。

1）Errors

數據包中有嚴重錯誤。

校驗和錯誤：Ethernet及IP校驗和錯誤。

僞造的數據包：通常涉及具體的應用層協議。

2）Warnings

數據包中有通常性問題。

與TCP窗口有關的事件TCP window full或TCP zero window，通常是鏈接設備忙不過來所致。

與TCP報文段丟失或失序有關的事件，丟失是由於未抓全某個TCP數據流的全部TCP報文段；失序是因其感知到了TCP報文段未按發出的順序到達接收主機。

3）Notes

數據包中有可能會引起故障的異常現象，例如TCP重傳、重複確認、快速重傳等現象。

4）Chats

數據包都符合常規流量的特徵，包括SYN、FIN、RST以及各類狀態碼的HTTP事件。