您当前的位置:首页 > 电脑百科 > 软件技术 > 应用软件

Wireshark工作使用小结

时间:2022-04-11 09:47:05  来源:  作者:刘某人的自留地

基本概念

wireshark是个开源的好用软件,用来分析数据包。

数据包:通常就是四层信息

Wireshark工作使用小结

 

物理层数据帧,数据链路层以太帧头部。网络层IP包头部。传输层TCP包头部。最后就是应用层信息。

基础功能使用

打开软件界面。就不介绍了不懂的自己打开看一下吧!

过滤器按照命令填写,基础的筛选与追踪流这种最常用的功能就不说了。

主要想说一下如果不记得筛选的命令怎么填了,可以点击对应的指标,选择作为过滤器应用。

还有时候默认的列,不满足我们需要排查问题需要,可以选择应用为列。

Wireshark工作使用小结

 

比如我们看到TCP流的情况判断是乱序还是丢包了。开启IP层的ID应用为列。就可以清晰的判断问题。

Wireshark工作使用小结

 

简单的过滤条件and与or使用。&&与||。条件记得括号更标准好看。现在直接使用and与or也是可以的了。

常用的排错过滤条件

tcp.analysis.lost_segment:表明已经在抓包中看到不连续的序列号。报文丢失会造成重复的ACK,这会导致重传。

 


tcp.analysis.duplicate_ack:显示被确认过不止一次的报文。大量的重复ACK是TCP端点之间高延时的迹象。

 


tcp.analysis.retransmission:显示抓包中的所有重传。如果重传次数不多的话还是正常的,过多重传可能有问题。这通常意味着应用性能缓慢和/或用户报文丢失。

 


tcp.analysis.window_update:将传输过程中的TCP window大小图形化。如果看到窗口大小下降为零,这意味着发送方已经退出了,并等待接收方确认所有已传送数据。这可能表明接收端已经不堪重负了。

 


tcp.analysis.bytes_in_flight:某一时间点网络上未确认字节数。未确认字节数不能超过你的TCP窗口大小,为了最大化吞吐量你想要获得尽可能接近TCP窗口大小。如果看到连续低于TCP窗口大小,可能意味着报文丢失或路径上其他影响吞吐量的问题。

 

tcp.analysis.ack_rtt:衡量抓取的TCP报文与相应的ACK。如果这一时间间隔比较长那可能表示某种类型的网络延时(报文丢失,拥塞,等等)。

ps:这段直接复制的 嘻嘻

字节流搜索

我在工作中常用的功能。因为XXXXXXX的原因。我会使用解码的关联信息来搜索,如果只有一份,就说明镜像过来的流量有丢包。巴拉巴拉hhh,如果有需要搜索的明文字符串也可以直接搜索。

Wireshark工作使用小结

 

去重与合并数据包

在wirkshark的安装目录下有许多exe文件。

editcap.exe,数据包去重命令为 editcap -d input.pcap output.pcap。(我之前就遇到了镜像之后tap过来的流量同一个ipid有四份,后面查看有两个两对mac流量,筛选一对mac的,之后使用该命令去重,获得一份正常的流量)

mergecap.exe,数据包合并命令为 mergecap -w out.pcap intput1.pcap input2.pcap inputN.pcap。

editcap.exe的数据包截取就算了吧。直接gui界面就可以文件——导出特定分组——range选填。

筛选再筛选

如果我们抓到的数据包很大很大,但是我们仅仅需要部分ip到ip的分析。可以先使用过滤条件之后界面上——文件——导出特定分组——Displayed的。之后再打开那个pcap查看分析。

其他小功能介绍

分析——专家信息(看看就好)

统计——流量图(这个可以看起来比较直观)也支持过滤条件

Wireshark工作使用小结

 

编辑——首选项——Protocols——对于部分协议进行个性化配置

Wireshark工作使用小结

 

编辑——首选项——RSA密钥可以添加之后解密HTTPS信息

常见异常分析说明

Packet size limited during capture:标记了的包没抓全

TCP Previous segment not captured:Wireshark 发现后一个包的 Seq 大于 Seq+Len,就知道中间缺失了一段。

TCP ACKed unseen segment:发现被 Ack 的那个包没被抓到,就会提示。

TCP Out-of-Order:后一个包的 Seq 号小于前一个包的 Seq+Len 时。

TCP Dup ACK:当乱序或丢包发生时,接收方会收到一些 Seq 号比期望值大的包。没收到一个这种包就会 Ack 一次期望的 Seq 值,提现发送方。

TCP Fast Retransmission:三次DUP ACK之后出发快速重传。

TCP Retransmission:发送方只好等到超时了再重传。

TCP zerowindow:0窗口懂得都懂!没法再收。

TCP window Full:窗口耗尽。没法再发!

Time-to-live exceeded:分片无法正常组装

小想法

除非是客户端上或者服务器上抓出来的包,不然真的可能很多是镜像源的问题。如果你的流量是镜像源过来的,真的不要100%信任它。



Tags:Wireshark   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
Wireshark抓包分析TCP协议:三次握手和四次挥手
前言 面试中我们经常会被问到TCP协议的三次握手和四次挥手的过程,为什么总喜欢问这个问题呢? 其实我们平时使用的很多协议都是应用层协议,比如HTTP协议,https协议,DNS协议,FTP协议...【详细内容】
2023-11-01  Search: Wireshark  点击:(241)  评论:(0)  加入收藏
身为网络工程师,别再只会用Wireshark了
Wireshark是非常流行的网卡抓包软件,具有强大的抓包功能。它可以截取各种网络数据包,并显示数据包详细信息。这也就意味着,它可以查看所有网络的流量发生过什么。它适用的系统...【详细内容】
2022-10-21  Search: Wireshark  点击:(377)  评论:(0)  加入收藏
这年头谁还不会抓包,WireShark 抓包及常用协议分析送给你
WireShark 简介和抓包原理及过程WireShark 简介Wireshark 是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshar...【详细内容】
2022-07-27  Search: Wireshark  点击:(751)  评论:(0)  加入收藏
Wireshark教程:解密HTTPS流量
#概述本教程面向进行流量分析的安全专业人员。本教程假定你已经熟悉Wireshark的基本使用,并使用Wireshark 3.x版。在审查可疑的网络活动时,我们经常会遇到加密的流量。因为大...【详细内容】
2022-06-29  Search: Wireshark  点击:(670)  评论:(0)  加入收藏
wireshark网络抓包详解
一、简介Wireshark是一款非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包详细信息。为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。...【详细内容】
2022-06-06  Search: Wireshark  点击:(795)  评论:(0)  加入收藏
Wireshark抓取Android数据包
用Wireshark来抓取Android应用中的数据包。有服务和客户端的源码。WiresharkWireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细...【详细内容】
2022-05-16  Search: Wireshark  点击:(580)  评论:(0)  加入收藏
渗透测试抓包工具-wireshark
wireshark功能介绍1.抓包嗅探协议分析2.安全专家必备的技能3.抓包引擎Libpcap9----LinuxWinpcap10-----Windows4.解码能力 wireshark基本使用方法1.启动软件2.选择抓包网卡3...【详细内容】
2022-04-19  Search: Wireshark  点击:(585)  评论:(0)  加入收藏
Wireshark工作使用小结
基本概念wireshark是个开源的好用软件,用来分析数据包。数据包:通常就是四层信息 物理层数据帧,数据链路层以太帧头部。网络层IP包头部。传输层TCP包头部。最后就是应用层信息...【详细内容】
2022-04-11  Search: Wireshark  点击:(503)  评论:(0)  加入收藏
wireshark数据包分析工具
wireshark数据包分析工具。非常流行的网络封包分析软件,功能屈指可数。wireshark是开源软件,可以放心使用。使用范围也是非常广的;只要是网络方面的都会用到这款工具。来看下界...【详细内容】
2022-03-04  Search: Wireshark  点击:(456)  评论:(0)  加入收藏
wireshark 如何抓包https
由于https 使用了 TLS/SSL 加密条件,我们无法直接在wireshark的中读取到数据内容,我们先看一下正常的http包的内容。可以直接读取到http的header 和body。 但如果是https 则不...【详细内容】
2021-12-01  Search: Wireshark  点击:(569)  评论:(0)  加入收藏
▌简易百科推荐
系统优化工具,Ultimate Windows Tweaker软件体验
电脑上的Windows优化工具年年都有,每年还会翻着花样地出现新东西,都不带重复的。每个人都可以上来折腾一番Windows...从这个角度来说,Windows系统还挺“稳定”的,经得起各种用户...【详细内容】
2024-04-10  果核剥壳    Tags:系统优化   点击:(4)  评论:(0)  加入收藏
Telegram怎么不显示在线?
在Telegram中,您可以通过进入“设置” -> “隐私与安全” -> “最后在线时间”,然后选择“没有人”或者自定义特定的人群,以隐藏自己的在线状态。这样设置后,其他用户将无法看到...【详细内容】
2024-04-04  HouseRelax    Tags:Telegram   点击:(6)  评论:(0)  加入收藏
谷歌 Gmail 新规生效:为遏制钓鱼 / 欺诈情况,日群发超 5000 封邮件账号需验证
IT之家 4 月 2 日消息,谷歌为了增强对垃圾邮件和网络钓鱼攻击的管控,今天宣布正式启用新措施:对于向 Gmail 邮箱账号日群发数量超过 5000 封的用户,需要其在域名中设置 SPF / DK...【详细内容】
2024-04-02    IT之家  Tags:Gmail   点击:(15)  评论:(0)  加入收藏
钉钉AI升级多模态:能根据图片识人、翻译、创作、多轮问答
新浪科技讯 3月28日午间消息,钉钉AI助理迎来升级,上线图片理解、文档速读、工作流等产品能力,探索多模态、长文本与RPA技术在AI应用的落地。基于阿里通义千问大模型,升级后的钉...【详细内容】
2024-03-28    新浪科技  Tags:钉钉   点击:(16)  评论:(0)  加入收藏
都2024年了,谁还在用QQ聊天啊?
你还在用 QQ 吗?之所以突然这么问,是因为前些天腾讯发了份热气腾腾的财报。随手翻了翻,发现 QQ 这个老企鹅,居然还有5.54 亿多人每个月都在坚持登录。虽说和辉煌时候没法比了,但...【详细内容】
2024-03-26    差评  Tags:QQ   点击:(11)  评论:(0)  加入收藏
腾讯QQ浏览器工具权益卡上线PC端,每月最低6元
IT之家 1 月 29 日消息,腾讯 QQ 浏览器此前在手机端上线工具权益卡,现将部分权益适用范围拓展至 PC 端,每月 10 元,连续包月为 6 元。开通后用户可以在 QQ 浏览器软件内享有由腾...【详细内容】
2024-01-29    IT之家  Tags:QQ浏览器   点击:(85)  评论:(0)  加入收藏
开源工具Ventoy更新:新增对FreeBSD 14.0的支持
近日,开源装机工具Ventoy发布了1.0.97版本的更新。本次更新的主要亮点是新增了对FreeBSD 14.0版本的支持,并修复了启动问题以及解决了几个Linux独有的bug等。同时,官方还修复了...【详细内容】
2024-01-25    中关村在线  Tags:Ventoy   点击:(42)  评论:(0)  加入收藏
微软Copilot Pro来了:个人用户也能在Word里用GPT-4,20美元/月
面向个人用户的微软Copilot会员版来了。一个月多交20刀(约合人民币142元),Microsoft 365个人版/家庭版用户就能在Word、Excel、PPT等Office全家桶中用上GPT-4。就像这样,不用在C...【详细内容】
2024-01-16    量子位  Tags:Copilot Pro   点击:(96)  评论:(0)  加入收藏
微软 Edge 浏览器支持双引擎同时搜索功能,便利与槽点并存
IT之家 1 月 15 日消息,微软广告和网络服务部门首席执行官 Mikhail Parakhin 近日透露了一个微软 Edge 浏览器的隐藏功能:双引擎同时搜索。顾名思义,该功能允许用户同时使用两...【详细内容】
2024-01-16    IT之家  Tags:Edge   点击:(64)  评论:(0)  加入收藏
11个面向设计师的必备AI工具
译者 | 布加迪审校 | 重楼在当今快速发展的设计领域,人工智能(AI)工具已成为不可或缺的创新催化剂。这些工具专门用于提高效率和创造力,从而重新定义传统的设计方法。AI正在彻底...【详细内容】
2024-01-09    51CTO  Tags:AI工具   点击:(105)  评论:(0)  加入收藏
站内最新
站内热门
站内头条