wireshark简单运用笔记(三)
我们在使用wireshark进行抓包的时候,有时会要对各个端点IP地址的流量进行统计,这时我们就要用到wireshark中的查看端点的功能。当我们抓包结束后,选择Statistics中的Endpoints就可以看到各端点(IP地址)的流量统计,如下图:
通过wireshark的这个功能,我们可以直观的看到捕获的流量的统计信息,这对于我们分析当前网络的行为有不小的帮助。
而如果我们想要知道地址A与地址B之间的会话流量统计信息,则可以选择Statistics中的Conversation,出现如下窗口:
通过这个窗口,我们可以很好的看到各地址间的会话流量,同时我们也可以通过这些会话流量来粗略分析地址间的会话行为。、
我们有时也需要对捕获的流量中协议的分布情况进行分析,如TCP、ICMP等所有的百分比例,在wireshark中,我们可以选择Statistics中的Protocol Hierarchy,在弹出窗口中,我们可以非常清晰的看到各协议流量所占的比例。如图:
这个功能在运用中会有不错的功效,对我们初步判断网络是否出现故障时有很大帮助,像网络中ARP流量通常占百分之十,而如果我们捕获的流量中ARP的比例过大或过小,那么我们就知道一定是哪里出问题了,我们就可以进一步分析问题的所在。
在流量分析中,有时可能会出现协议解析失败或错误的情况,因为wireshark中的解析器解析各协议都是默认的协议端口号,如SSL流量默认是443端口等。而当会话主机改变了默认端口,那么就有可能导致错误的解析了。如把FTP流量通过443端口来传输,那么,在wireshark捕获的流量中,这本来应该是FTP流量的将会被显示为SSL流量,这时我们该如何分析知道这是FTP流量呢?
只要我们查看该流量,我们就可以发现,其中明文出现了账户名或者密码,这时,我们就可以知道这应该是FTP这类明文传输的协议流量。
那么如何解决这个问题呢?其实,我们可以强制wireshark对这个数据包使用FTP协议解析器进行解析,这叫做强制解码。
首先我们选中一个数据包,右键选择Decode As,在弹出对话框中的下拉菜单选择destination(443),并在Transport中选择FTP,这样wireshark就会对所有端口号为443的TCP流量使用FTP解析器进行解码。
在捕获的流量中,我们也经常会对TCP流量进行跟踪,而如果一个数据包一个数据包的去慢慢的查看分析的话就太麻烦了,在wireshark中提供了非常方便的TCP流跟踪功能,只需要右键其中一个TCP或HTTP数据包,选择Follow TCP Stream,就可以在弹出窗口中清晰的看到该TCP流量的走向信息,如图: