1、工具介紹
2、主要應用
wireshark的原名是ethereal,新名字是2023年起用的。當時ethereal的主要開發者gerald決定離開他原來供職的公司nis,並繼續開發這個軟體。但由於ethereal這個名稱的使用權已經被原來那個公司註冊,wireshark這個新名字也就應運而生了。
wireshark是世界上最流行的網路分析工具。這個強大的工具可以捕捉網路中的資料,並為使用者提供關於網路和上層協議的各種資訊。與很多其他網路工具一樣,wireshark也使用pcap network library來進行包捕捉。
1、wireshark統計功能
2、捕捉檔案摘要
3、捕捉包層次結構
4、會話統計
5、網路節點統計
實驗環境描述
1、學生機與實驗室網路直連;
2、vpc1與實驗室網路直連;
3、學生機與vpc1物理鏈路連通;
pc機:windows7旗艦版
開啟桌面上的wireshark工具,
wireshark的乙個強大的功能在於他的統計工具,使用wireshark的時候我們有各種型別的工具可供選擇,這裡介紹基本網路統計工
具。包括:捕捉檔案摘要(summary)、捕捉包層次結構(protocol hirarchy)、會話(conversations)、網路節點(endpoints)、http
1、捕捉檔案摘要對抓取的資料報進行全域性統計,staristics–>summary
2、這一選單簡單收集所有抓包資料,在定義了過濾條件的時候,將呈現過濾後的資料,當想要知道每秒的平均報文數或位元組數時,使用此工具
file:捕捉檔案的一般資訊,如檔名和路徑,長度,等等。
tme:第乙個包和最後乙個包的時間戳,以及抓包過程持續時間。
display視窗,展示抓包檔案統計資訊的摘要,包括:捕捉報文總數與百分比,顯示報文數量(加上過濾條件之後),標記報文數量
1、捕捉包層次結構統計了通訊流量中不同協議占用額百分比,通過這個工具可以對全網流量有直觀的了解,到底整個網路那些流量占用最多,那些占用最少等等。開啟statistics–>protocol hierarchy
圖中我們可以看出,ethernet的流量包括ipv4和ipv6,ipv4包括udp和tcp,這幾個分項的和就是乙太網百分百的流量
protocol:協議名稱
% packets:含有該協議的包數目在捕捉檔案所有包所佔的比例
packets:含有該協議的包的數目、bytes含有該協議的位元組數
mbit/s:抓包時間內的協議頻寬、end packets 該協議中的包的數目(作為檔案中的最高協議層)
end bytes:該協議中的位元組數(作為檔案中的最高協議層)
end mbit/s :抓包時間內的協議頻寬(作為檔案中的最高協議層)
2、在網路異常的時候,通過分析這些資料報占用的流量我們可以判斷網路問題,如圖這是乙個正常的網路占用百分比,例如網路發生了arp攻擊,那麼arp在這裡的占用也許會顯示20%或者30%
1、會話統計功能,統計通訊會話之間接收和傳送的資料報和位元組數,通過這個工具可以找出網路中哪個會話(ip位址或埠號)最占用頻寬,進一步作出網路策略。開啟statistics–>conversations
2、進入介面可以選擇2層乙太網統計資料,第3層ip統計資料,或4層tcp或udp統計資料。
3、在乙太網回話統計中可以查詢以下問題:(1) 可以看見較輕微的廣播風暴;而對於每秒數千甚至數萬個報文的嚴重廣播風暴,wireshark會停止顯示資料並且螢幕凍結。只有斷開wireshark連線時才能看見。 (2)如果你看到來自某一mac位址的大量資料,檢視會話第一部分的vendor id,會給你一些導致問題的線索。即使mac位址的第一部分標識了vendor,但它並不一定就標識了pc本身。這是由於mac位址屬於pc上安裝的乙太網晶元廠商,而並不一定屬於pc製造商。如果無法識別資料流**位址,可以ping嫌疑位址並通過arp獲取它的mac位址,在交換機中查詢該位址,如果有作業系統的話直接用find命令來定位。
在ip會話統計中可以查詢一下問題:(1)檢視收發大量資料流的ip位址。如果是你知道的伺服器(你記得伺服器的位址或位址範圍),那問題就解決了;但也有可能只是某台裝置正在掃瞄網路,或僅是一台產生過多資料的pc。(2) 檢視掃瞄模式(scan pattern)。這可能是一次正常的掃瞄,如snmp軟體傳送ping報文以查詢網路,但通常掃瞄都不是好事情。
在tcp/udp會話統計中可以檢視以下問題(1) 檢視帶有太多tcp連線的裝置。每乙個pc合理的連線數是10到20個,上百個則是不正常的(2)嘗試查詢無法辨識的埠號。它可能是正常的,但也可能是有問題的。
1、網路節點功能,統計通訊會話中每個節點接收和傳送的資料報和位元組數,通過這個工具可以找出網路中哪個節點(ip位址或埠號)最占用頻寬。開啟statistics–>endpoints
2、如下圖所示,在此視窗中能夠看到2,3,4層的endpoints,也就是乙太網。ip,tcp或udp,終端節點統計是面向ip的,可以檢視具體某乙個ip傳送的流量以及占用頻寬
3、這一工具列出了wireshark發現的所有endpoints上的統計資訊,可以是一下任意一種情況:
少量ip終端節點與大量tco終端節點:可能的情況是每一台主機有很多個tcp連線。可能是有很多連線到額伺服器的乙個正常操作,也可能是一種網路攻擊(如syn攻擊)
1、從statistic選單,選擇http,將會出現以下視窗
2、在http子選單中,可以看到以下資訊
檢視packet couter統計資訊,顯示以下過濾視窗,在此視窗中,可設定過濾條件以檢視符合條件的統計資訊。資訊想要檢視整個抓包檔案的統計資訊,不新增資訊就會顯示ip層之上的統計資訊,也就是所有http報文,點選create stat。
3、如下圖所示,顯示了http requests,http responses資訊
4、檢視requests資訊,選擇所需過濾條件,不輸入過濾條件則對於所有資料
5、點選create stat按鈕,會出現以下視窗
6、檢視load distribution統計資訊,出現以下視窗。暫時不輸入任何過濾條件,點選create stat按鈕
7、當我們開啟乙個網頁,通常會向若干個url發出請求,這裡記錄了我們傳送的若干個請求,到root url,到breaking_news url,以及主頁上的其他位置。
Wireshark教程之介面介紹
1 工具介紹 2 主要應用 1 網路管理員用來解決網路問題 2 網路安全工程師用來檢測安全隱患 3 開發人員用來測試執 況 4 學習網路協議 1 選單欄選項介紹 2 快捷方式選單 3 過濾欄 4 資料報列表區 5 資料詳細資訊區 6 比特區 實驗環境描述 1 學生機與實驗室網路直連 2 vpc1與實...
Wireshark資料抓包教程之認識捕獲分析資料報
當我們對wireshark主視窗各部分作用了解了,學會捕獲資料了,接下來就該去認識這些捕獲的資料報了。wireshark將從網路中捕獲到的二進位制資料按照不同的協議包結構規範,顯示在packet details面板中。為了幫助使用者能夠清楚的分析資料,本節將介紹識別資料報的方法。在wireshark...
wireshark使用教程
wireshark是分析網路環境的乙個非常不錯的介面工具,其使用方式如下,以mac版本示例 一 設定選項進行本地抓包 在上面的紅色標註 options 按鈕中,可以進行input選擇抓哪個網絡卡,output選擇輸出到哪個檔案,options是一些選項 上面有實時更新,在底部自動滾屏,顯示mac名稱...