二、Wireshark 高级特性
1、网络端点和会话
端点:Wireshark的EndPoints窗口(Statistics->EndPoint),包括每个端点的地址、传输发送数据包的数量和字节数。
会话:Wireshark的会议窗口(Statistics->Conversion),以地址A和地址B显示了会话中端点的地址、以及每个设备发送或收到的数据包和字节数。
2、基于协议分层结构的统计数据
有时需要知道文件中协议的分布情况,也就是捕获中TCP、IP、DHCP等所占的百分比是多少。使用Wireshark的Protocol Hierarchy Statistics(协议分层统计)窗口对网络进行基准分析。
3、名字解析:选择Capture->Options,三种方式:
MAC地址解析:使用ARP协议,将数据链路层MAC转换成网络层地址
网络名字解析:将网络层地址转换成DNS名称
传输名字解析:将端口叼转换成一个与其相关的名字
4、协议解析:将数据包拆分成多个协议区段以便分析。Wireshark对每一个数据包都会使用多个解析器一起进行协议解析,也可以使用它内部的编写逻辑来进行合理猜测,决定使用哪一种协议解析器。比如Wireshark的ICMP协议解析器可能将捕获的原始数据,并以ICMP数据包格式显示出来。
更换解析器:Wireshark选择解析器时并不是每次都可以选对,因此需要更换解析器:选择数据包,右键Decoder As,从中选择相应的解析器。
5、跟踪TCP流:将TCP流重组成容易阅读的格式,将从客户端发往服务器的数据排好顺序使之容易查看。
6、数据包长度:分析数据包长度,做一些对流量合理的猜测。选择Statistics->Packet Lengths,单击Create Stat
7、图形展示
1)IO图:对网络上的吞吐量进行绘图,找到数据吞吐的峰值,找出不同协议的性能时滞,以及用于比较定时数据流。Statistics->IO Graphs
2)双向时间图:确认一个数据包已被成功接收所需的时间,通过用来找到通信中的慢点或者瓶颈,以确定是否存在延迟。Statistics->TCP Stream Graph->Round TripGraphics。
3)数据流图:以列的方式将主机之间的连接显示出来,并将流量组织到一起。Statistics->Flow Graph