《Wireshark录制及分析.docx》由会员分享,可在线阅读,更多相关《Wireshark录制及分析.docx(6页珍藏版)》请在三一文库上搜索。
1、Wireshark的录制及分析无线网优中心2016年06月目录1 抓包过滤器2 显示过滤器2.1 方法一2.2 方法二3 手机抓包法4 信息统计工具 4.1 DN阴析4.2 HTT项据流分析4.3 排障执行4.4 分析用例 5参考书推荐1抓包过滤器抓包过滤器配置于抓包前,一经应用,Wireshark将只抓取经过抓包过滤器过滤的 数据(包或数据帧),其余数据一概不抓。可以通过Capture Filter选择常用滤波语句,该语句基于伯克利数据包过滤器(Berkeley Packet Filter , BPE的语法,过滤器会对输入进 Capture Filter 文本 框内的字符串的语法进行检查,不
2、会检查其条件是否满足。如需了解 BPF语法,可查看论文A New Architecture for User-level Packet Capture 2显示过滤器显示过滤配置抓包之后,此时,Wireshark已抓得所有数据,但只能看到显示滤波 器显示的数据。在抓包开始后“ Filter ”输入语句就可以进行配置了。2.1方法一每条显示过滤器通常都是由若干原词构成,原词之间通过连接符(如 and或or等)连接,原词之前可以添加not表示相反的意思,其语法如下:not Expression and|or not Expression显示过滤器表达式中条件操作符的作用。类似于C语言的操作符简写形式
3、描述举例=eq等于ip或!=ne不等于!i或ip.addr !=或ipgt高(长、大)于frame.len 64lt低(短、小)于frame.len =ge/、高(长、大)于frame.len = 64二le不低(短、小)于frame.len Select这样就能自动生成 对应的过滤器了3手机抓包法由于电脑的 Wireshark抓包是流经电脑的网络包,而我们感知测试是需要关注由手机基带流出的信息,因此需要用到手机版的Shark。Shark for root 设置为“-i any - vv - s 0 - X”,开始录制。录制完后会在手机的根目录下生成.Pcap文件,导入电脑用 Wireshar
4、k分析即可。4信息统计工具4.1 DN的析对于DNS勺显示,可以通过在显式滤波器中输入“ dns”进行筛选O , DNSS询分 为DNS青求和DNW向应。DNS青求:Standard queryDNS向应:Standard query response查看时需要注意,由于可能会有多条DNS查询同时进行,请求信息与响应信息会互相交叠,匹配是需要确认 Transaction ID是否一致,如图中C2对应的Transaction ID 为“ 0x7621” 。Figure 4-1Figure 4-2如果遇到DNSW析异常的情况需要关注DNW向应消息中的响应代码(RCODE字段 上图中该字段值为0,表
5、示DNSB析正常,常见的RCOD字段值及含义如下:Table 4-1对于DNSW析所花费的时间,可以借助于 WireShark中的IO Graph工具进行查看。 选择Statistics下的IO Graph ,在Y Axis中的Unit下选择Advanced,而后在表达式中输入“ dns.time (5 ,点击最左测“ Graph1”进行显示。可以看到本次分析的 包中平均DNSS询耗时30ms最长的一次用时80m&Figure 4-3在一般情况下DNS解析时间在100ms之内都为正常;在绝大多数情况下,解析时 间在150200ms之间也算正常;即便偶尔出现 DNS解析缓慢的情况,也无需担心,因
6、 为极有可能是本地DNS服务器在等待远端的权威名称服务器的应答。具体情况还是需 要分析人员根据实际情况进行判定。4.2 HTT吸据流分析当完成DNSt接下来要对HTT嘤据流进行分析,可以利用“ Follow TCPStream” 特性来分析HTTPW量。操作方法:1. 在WireShark抓包主窗口的数据包列表区域中,选择待分析的HTTP数据流中的任意一个数据包,单击右键。2. 选择“ Follow TCP Stream ”项,此时将弹出该数据流的基本信息Figure 4-4此次HTTP青求操作使用了 GETJ式;请求该操作的用户浏览器为 U0A1G1D2J3T5M8R3J (这个包是从手机上
7、抓到的, 抓包软件是集团感知APP所以出来的浏览器会显示一个奇怪的名字,如果是 电脑上抓一般会是IE、Chorme之类);用户请求的主机名称为 (3;HTTP寸于此次的响应返回是200 OK,表示HTTP青求正常;提供业务的服务器为Openresty(5;3. 同时在WireShark的显示过滤器中将自动生成过滤公式,如下图。6所示,并且数据列表区域将只显示属于该数据流的数据包了。 另外也可以手动于显示过滤器中输入公式,公式的格式为 tcp.stream eq X , X 的值可以在任意一个 HTTPfe的 Transmission Control Protocol 下的 Stream ind
8、ex 查至U。Figure 4-54.3 排障执行WireShark 内置了一个名为 Expert Info 的工具, 它不仅能够在抓包过程中自动识 别网络中发生的异常情况,甚至还能够给出导致该异常的具体原因。选择 Analyze 菜单, 点击下面的 Expert Info 菜单项, Expert Info 窗口即会弹出。 如图 2-6 所示, 该窗口由 Errors 、 Warmings、 Notes 、 Chats 、 Details 和 Pachet Comments 组成。Errors :表示 Wireshark 对于所抓内容识别除的严重错误。如 New Fragment overla
9、ps old data (retransmission?) 表示新的数据与旧的数据重叠,总共出现的 次数为 4 次。Figure 4-6Warmings:表示识别出了一般性问题,如连接重置、报文失序、报文丢失等,这些 warming 通常反应应用程序问题或者网络通信问题。像本次抓包中主要的 warming 有 Previous segment not captured 前一帧未捕获到, this frame is a out-of-order segment 报文失序。对于此类失序情况, 建议在各个网络节点上分别设置抓包点, 通过各个位置的抓包内容判定失序的引发部位,从而针对性解决。Figur
10、e 4-7Notes :表示 WireShark 检测到可能会引发故障的异常现象,比如,感知到了 TCP重传、重复确认。提醒用户这些数据包有导致错误的嫌疑。Figure 4-8Chats:显示一些符合常规流量的信息,如包含 TCP SYN TCP FIN、TCP RST犬态 的HTT对件。通过 Expert Infos 可以快速了解抓包数据中的各类信息数量情况,通过点击信息左侧“+”号,列出详细Packet 项,左键单击Packet 项即可在 WireShark 数据包主窗口中定位该包,从而根据上下内容判定具体问题。5 参考书推荐WireShark 网络分析实战人民邮电出版社, 【以色列】 YoramOrzach 着,古宏霞 孙余强 译