Wireshark使用培訓(xùn)手冊(cè)課件_第1頁(yè)
Wireshark使用培訓(xùn)手冊(cè)課件_第2頁(yè)
Wireshark使用培訓(xùn)手冊(cè)課件_第3頁(yè)
Wireshark使用培訓(xùn)手冊(cè)課件_第4頁(yè)
Wireshark使用培訓(xùn)手冊(cè)課件_第5頁(yè)
已閱讀5頁(yè),還剩53頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

Wireshark使用培訓(xùn)手冊(cè)Wireshark使用培訓(xùn)手冊(cè)目錄第

1

Wireshark簡(jiǎn)介第

2

實(shí)時(shí)捕捉數(shù)據(jù)包第

3

處理已經(jīng)捕捉的包第4章案例目錄第

1

Wireshark簡(jiǎn)介Wireshark簡(jiǎn)介Wireshark是世界上最流行的網(wǎng)絡(luò)分析工具,這個(gè)強(qiáng)大的工具可以捕捉網(wǎng)絡(luò)中的數(shù)據(jù),并為用戶提供關(guān)于網(wǎng)絡(luò)和上層協(xié)議的各種信息。Wireshark的原名是Ethereal,新名字是2006年起用的。當(dāng)時(shí)Ethereal的主要開(kāi)發(fā)者決定離開(kāi)他原來(lái)供職的公司,并繼續(xù)開(kāi)發(fā)這個(gè)軟件。但由于Ethereal這個(gè)名稱的使用權(quán)已經(jīng)被原來(lái)那個(gè)公司注冊(cè),Wireshark這個(gè)新名字也就應(yīng)運(yùn)而生了。Wireshark的優(yōu)勢(shì):-安裝方便,簡(jiǎn)單易用的界面開(kāi)源、免費(fèi)支持windows、unix等多平臺(tái)Wireshark簡(jiǎn)介Wireshark是世界上最流行的網(wǎng)絡(luò)Wireshark簡(jiǎn)介Wireshark主窗口由如下部分組成:菜單用于開(kāi)始操作。主工具欄提供快速訪問(wèn)菜單中經(jīng)常用到的項(xiàng)目的功能。Fitertoolbar/過(guò)濾工具欄提供處理當(dāng)前顯示過(guò)濾得方法。PacketList面板顯示打開(kāi)文件的每個(gè)包的摘要。Packetdetail面板示您在Packetlist面板中選擇的包的更多詳情。Packetbytes面板顯示您在Packetlist面板選擇的包的二進(jìn)制數(shù)據(jù)。Wireshark簡(jiǎn)介Wireshark主窗口由如下部分組成Wireshark簡(jiǎn)介-主菜單File:括打開(kāi)、合并捕捉文件,save/保存,Print/打印,Export/導(dǎo)出捕捉文件的全部或部分,以及退出Wireshark項(xiàng)。Edit:括如下項(xiàng)目:查找包,時(shí)間參考,標(biāo)記一個(gè)多個(gè)包,設(shè)置預(yù)設(shè)參數(shù)。View:控制捕捉數(shù)據(jù)的顯示方式,包括顏色,字體縮放,

將包顯示在分離的窗口,展開(kāi)或收縮詳情面版的地樹(shù)狀節(jié)點(diǎn)。GO:包含到指定包的功能。Capture:允許您開(kāi)始或停止捕捉、編輯過(guò)濾器。Analyze:包含處理顯示過(guò)濾,允許或禁止分析協(xié)議,

配置用戶指定解碼和追蹤TCP流等功能。Statistics:包括的菜單項(xiàng)用戶顯示多個(gè)統(tǒng)計(jì)窗口,

包括關(guān)于捕捉包的摘要,協(xié)議層次統(tǒng)計(jì)等等。Help:包含一些輔助用戶的參考內(nèi)容。

如訪問(wèn)一些基本的幫助文件,支持的協(xié)議列表,用戶手冊(cè)。Wireshark簡(jiǎn)介-主菜單File:括打開(kāi)、合并捕捉文件目錄第

1

Wireshark簡(jiǎn)介第

2

實(shí)時(shí)捕捉數(shù)據(jù)包第

3

處理已經(jīng)捕捉的包第4章案例目錄第

1

Wireshark簡(jiǎn)介

實(shí)時(shí)捕捉數(shù)據(jù)包實(shí)時(shí)捕捉數(shù)據(jù)包時(shí)Wireshar的特色之一Wiershark捕捉引擎具備以下特點(diǎn)●支持多種網(wǎng)絡(luò)接口的捕捉(以太網(wǎng),令牌環(huán)網(wǎng),ATM...)

●支持多種機(jī)制觸發(fā)停止捕捉,例如:捕捉文件的大小,捕捉持續(xù)時(shí)間,

捕捉到包的數(shù)量...

●捕捉時(shí)同時(shí)顯示包解碼詳情

●設(shè)置過(guò)濾,減少捕捉到包的容量。

●長(zhǎng)時(shí)間捕捉時(shí),可以設(shè)置生成多個(gè)文件。Wireshark捕捉引擎在以下幾個(gè)方面尚有不足●從多個(gè)網(wǎng)絡(luò)接口同時(shí)實(shí)時(shí)捕捉,(但是您可以開(kāi)始多個(gè)應(yīng)用程序?qū)嶓w,

捕捉后進(jìn)行文件合并)●根據(jù)捕捉到的數(shù)據(jù)停止捕捉實(shí)時(shí)捕捉數(shù)據(jù)包實(shí)時(shí)捕捉數(shù)據(jù)包時(shí)Wireshar的特色實(shí)時(shí)捕捉數(shù)據(jù)包-捕捉接口對(duì)話框IP

Wireshark能解析的第一個(gè)IP地址,如果接口未獲得IP地址(如,不存在可用的DHCP服務(wù)器),

將會(huì)顯示"Unkow",如果有超過(guò)一個(gè)IP的,只顯示第一個(gè)(無(wú)法確定哪一個(gè)會(huì)顯示).Packets

打開(kāi)該窗口后,從此接口捕捉到的包的數(shù)目。如果一直沒(méi)有接收到包,則會(huì)顯示為灰度Packets/s

最近一秒捕捉到包的數(shù)目。如果最近一秒沒(méi)有捕捉到包,將會(huì)是灰度顯示Stop

停止當(dāng)前運(yùn)行的捕捉Capture

從選擇的接口立即開(kāi)始捕捉,使用最后一次捕捉的設(shè)置。Options打開(kāi)該接口的捕捉選項(xiàng)對(duì)話框,進(jìn)行相應(yīng)的捕捉設(shè)置。Details(僅Win32系統(tǒng))

打開(kāi)對(duì)話框顯示接口的詳細(xì)信息Close

關(guān)閉對(duì)話框?qū)崟r(shí)捕捉數(shù)據(jù)包-捕捉接口對(duì)話框IP實(shí)時(shí)捕捉數(shù)據(jù)包-捕捉選項(xiàng)對(duì)話框?qū)崟r(shí)捕捉數(shù)據(jù)包-捕捉選項(xiàng)對(duì)話框Interface:該字段指定你想用于進(jìn)行捕捉的借口,一次只能使用一個(gè)接口。IPaddress:表示選擇接口的IP地址。如果系統(tǒng)未指定IP地址,將會(huì)顯示為"unknown"Link-layerheadertype:除非你有些特殊應(yīng)用,盡量保持此選項(xiàng)默認(rèn)Buffersize:nmegabyte(s):輸入用于捕捉的緩層大小。該選項(xiàng)是設(shè)置寫(xiě)入數(shù)據(jù)到磁盤(pán)前保留在核心緩存中捕捉數(shù)據(jù)的大小,如果你發(fā)現(xiàn)丟包。嘗試增大該值。Capturepacketsinpromiscuousmode:指定Wireshark捕捉包時(shí),設(shè)置接口為混雜模式。如果你未指定該選項(xiàng),Wireshark將只能捕捉進(jìn)出你電腦的數(shù)據(jù)包(不能捕捉整個(gè)局域網(wǎng)段的包)Limiteachpackettonbytes:

指定捕捉過(guò)程中,每個(gè)包的最大字節(jié)數(shù)。在某些地方被稱為。"snaplen".如果禁止該選項(xiàng),默認(rèn)值為65535,這適用于大多數(shù)協(xié)議。CaptureFilter:指定捕捉過(guò)濾,默認(rèn)情況下是空的。同樣你也可以點(diǎn)擊捕捉按鈕,通過(guò)彈出的捕捉過(guò)濾對(duì)話框創(chuàng)建或選擇一個(gè)過(guò)濾器。

實(shí)時(shí)捕捉數(shù)據(jù)包-捕捉選項(xiàng)對(duì)話框Interface:該字段指定你想用于進(jìn)行捕捉的借口,一次實(shí)時(shí)捕捉數(shù)據(jù)包-捕捉過(guò)濾對(duì)話框通過(guò)capture下拉菜單中的CaptureFilter或者點(diǎn)擊捕捉選項(xiàng)對(duì)話框中的capturefilter按鈕進(jìn)行捕捉的過(guò)濾設(shè)置,抓取特定的包展現(xiàn)在PacketList面板中。捕捉過(guò)濾對(duì)話框如左圖所示,其中有部分常用的過(guò)濾規(guī)則,同時(shí)可以通過(guò)NEW的方式新建個(gè)性化的過(guò)濾規(guī)則。實(shí)時(shí)捕捉數(shù)據(jù)包-捕捉過(guò)濾對(duì)話框通過(guò)capture實(shí)時(shí)捕捉數(shù)據(jù)包-捕捉過(guò)濾對(duì)話框基本格式:[protocol][src/dst][host/port]**and/or/not**Capturefilter事例:tcpdstport21

顯示目的TCP端口為21的封包。ipsrchost42

顯示來(lái)源IP地址為42

的封包。host42

顯示目的或來(lái)源IP地址為42

的封包。srcportrange2000-2500

顯示來(lái)源為UDP或TCP,并且端口號(hào)在2000至2500范圍內(nèi)的封包。notimcp

顯示除了icmp以外的所有封包。srchost2andnotdstnet/24

顯示來(lái)源IP地址為2,但目的地不是/24的封包。(srchost2orsrcnet/16)andtcpdstportrange200-10000anddstnet/8

顯示來(lái)源IP為2或者來(lái)源網(wǎng)絡(luò)為/16,目的地TCP端口號(hào)在200至10000之間,并且目的位于網(wǎng)絡(luò)/8內(nèi)的所有封包。實(shí)時(shí)捕捉數(shù)據(jù)包-捕捉過(guò)濾對(duì)話框基本格式:目錄第

1

Wireshark簡(jiǎn)介第

2

實(shí)時(shí)捕捉數(shù)據(jù)包第

3

處理已經(jīng)捕捉的包第4章案例目錄第

1

Wireshark簡(jiǎn)介處理已經(jīng)捕捉的包從整體上看看Wireshark的窗口,主要被分成三部分。上面部分是所有數(shù)據(jù)幀的列表;中間部分是數(shù)據(jù)幀的描述信息;下面部分是幀里面的數(shù)據(jù)。第一列是捕獲數(shù)據(jù)的編號(hào);第二列是捕獲數(shù)據(jù)的相對(duì)時(shí)間,從開(kāi)始捕獲算為0.000秒;第三列是源地址;第四列是目的地址;第五列是數(shù)據(jù)包的協(xié)議類型;第六列是數(shù)據(jù)包信息。處理已經(jīng)捕捉的包從整體上看看Wireshark的窗口,主要被處理已經(jīng)捕捉的包-數(shù)據(jù)包格式以太網(wǎng)幀格式IPv4數(shù)據(jù)包格式處理已經(jīng)捕捉的包-數(shù)據(jù)包格式以太網(wǎng)幀格式IPv4處理已經(jīng)捕捉的包-數(shù)據(jù)包格式TCP報(bào)文段結(jié)構(gòu)UDP報(bào)文段結(jié)構(gòu)處理已經(jīng)捕捉的包-數(shù)據(jù)包格式TCPUDP報(bào)文段結(jié)構(gòu)目錄第

1

Wireshark簡(jiǎn)介第

2

實(shí)時(shí)捕捉數(shù)據(jù)包第

3

處理已經(jīng)捕捉的包第4章案例目錄第

1

Wireshark簡(jiǎn)介案例-AX2500配置導(dǎo)致百度訪問(wèn)異常的問(wèn)題分析第三方出口疏導(dǎo)路由器采用C7609雙上行分別連接城域網(wǎng)核心兩臺(tái)NE5000E,NE5000E上通過(guò)策略路由對(duì)部分網(wǎng)內(nèi)用戶源地址進(jìn)行優(yōu)化,強(qiáng)制疏導(dǎo)至C7609,C7609上配置默認(rèn)路由指向AX2500后連接第三方出口防火墻和緩存系統(tǒng),AX2500負(fù)責(zé)對(duì)出口進(jìn)行選路。由于源地址疏導(dǎo)是將所有流量都強(qiáng)制到C7609,所以在處理引入資源時(shí)也是通過(guò)C7609的默認(rèn)路由進(jìn)入AX2500,AX2500上通過(guò)判斷IP地址歸屬來(lái)分配出口資源,匹配為引入資源時(shí)會(huì)通過(guò)AX2500與NE5000E之間的鏈路返回NE5000E,強(qiáng)制送往省網(wǎng)出口。故障現(xiàn)象通過(guò)NE5000E策略路由方式優(yōu)化的源地址用戶無(wú)法訪問(wèn)百度(IP為:6)第三方出口疏導(dǎo)路由器采用C7609雙上行分別連接1、終端上域名解析正常,ping該IP地址也正常,訪問(wèn)其他網(wǎng)頁(yè)正常,此IP屬于引入資源,源地址優(yōu)化用戶訪問(wèn)時(shí)通過(guò)AX2500后回NE5000E,服務(wù)器回應(yīng)的時(shí)候直接從NE5000E回到用戶,不經(jīng)過(guò)AX2500;2、通過(guò)抓包分析發(fā)現(xiàn)終端上顯示TCP三次握手已經(jīng)完成,進(jìn)入httpget之前又接收到服務(wù)器6發(fā)來(lái)的synack,客戶端又重新發(fā)送了ack報(bào)文,然而在httpget報(bào)文發(fā)送后,還是一直在接收synack和回應(yīng)ack報(bào)文,懷疑服務(wù)器側(cè)仍認(rèn)為三次握手沒(méi)有建立成功導(dǎo)致。1、終端上域名解析正常,ping該IP地址也正常,訪問(wèn)其他網(wǎng)3、在AX2500上debug,發(fā)現(xiàn)@2084975628CLIENT_SYN_RECEIVED:clientnotconnected,savemss_index,buff->mss=1380,conn->mss_index=4,GET_WS_OPT=0,并且終端后續(xù)一直在發(fā)送syn包給服務(wù)器。3、在AX2500上debug,發(fā)現(xiàn)@20849756284、初步判斷故障發(fā)生在AX2500上,經(jīng)對(duì)故障前后AX2500配置進(jìn)行對(duì)比發(fā)現(xiàn),在slb上增加了syn-cookie配置SYNCookie的原理:客戶端發(fā)送SYN報(bào)文,AX2500設(shè)備會(huì)代替服務(wù)器直接響應(yīng)SYNACK,其中TCP序列號(hào)會(huì)根據(jù)源IP等特定參數(shù)產(chǎn)生。正??蛻舳藭?huì)響應(yīng)AX2500SYNACK并發(fā)送

ACK給AX2500;

AX2500在接收到這個(gè)ACK后再使用客戶源IP和目標(biāo)IP創(chuàng)建連接。

相當(dāng)于客戶端和AX2500建立連接,AX2500再和服務(wù)器建立連接;然后在2者之間做個(gè)對(duì)應(yīng)轉(zhuǎn)換。4、初步判斷故障發(fā)生在AX2500上,經(jīng)對(duì)故障前后AX250問(wèn)題就在SYNCookie功能和業(yè)務(wù)流量之間存在矛盾,百度為引入資源,在AX2500上直接返回給NE5000E,不經(jīng)過(guò)第三方出口,在啟用SYNCookie后,AX2500只發(fā)送SYN報(bào)文出去,

NE5000E接收到該報(bào)文轉(zhuǎn)發(fā),服務(wù)器的響應(yīng)回到NE5000E時(shí)會(huì)匹配路由條目直接回復(fù)給客戶端,而不回復(fù)給AX2500,AX2500收不到服務(wù)器回復(fù)的synack無(wú)法與服務(wù)器建立鏈接,服務(wù)器無(wú)響應(yīng)而不處理客戶端發(fā)送的httpget報(bào)文,而客戶端會(huì)接收到多個(gè)SYNACK而且序列號(hào)不一致,導(dǎo)致客戶端無(wú)法和目標(biāo)IP正常處理連接。問(wèn)題就在SYNCookie功能和業(yè)務(wù)流量之間案例-常州電信限制用戶訪問(wèn)移動(dòng)網(wǎng)絡(luò)情況分析現(xiàn)象:1.大量常州電信用戶反映訪問(wèn)常州移動(dòng)MAS、托管主機(jī)速度非常慢;2.大量常州移動(dòng)用戶反映訪問(wèn)常州本地網(wǎng)站網(wǎng)速非常慢;移動(dòng)電信有問(wèn)題電信移動(dòng)有問(wèn)題移動(dòng)移動(dòng)沒(méi)問(wèn)題以MAS平臺(tái)為例,用常州電信ADSL測(cè)試,打開(kāi)頁(yè)面很慢,背景頁(yè)面下載時(shí)間很長(zhǎng);用HttpWatch測(cè)試打開(kāi)網(wǎng)頁(yè)速度,打開(kāi)全部網(wǎng)頁(yè)總計(jì)時(shí)間150.9s;其中,獲取index.jpg文件(大小156KB)大概用時(shí)104.3s;現(xiàn)象:以MAS平臺(tái)為例,用常州電信ADSL測(cè)試,打開(kāi)頁(yè)面很慢從常州電信網(wǎng)內(nèi)traceroute移動(dòng)短信平臺(tái)的地址,各段時(shí)延正常;到達(dá)目的地址時(shí)延337ms,時(shí)延穩(wěn)定,無(wú)明顯丟包現(xiàn)象;電信集團(tuán)至移動(dòng)集團(tuán)出口處延時(shí)307ms,比以前略有上升(3月份為250ms左右),多出的50ms是近期業(yè)務(wù)量上升導(dǎo)致,但是這50ms與打開(kāi)網(wǎng)頁(yè)用時(shí)用掉的104s相比可以忽略不計(jì);因此我們判斷:網(wǎng)絡(luò)延時(shí)偏大不是導(dǎo)致網(wǎng)頁(yè)打開(kāi)慢的主要原因;從常州電信網(wǎng)內(nèi)traceroute移動(dòng)短信平臺(tái)的地址,各段時(shí)使用常州電信ADSL,打開(kāi)網(wǎng)頁(yè)同時(shí)進(jìn)行數(shù)次抓包,并對(duì)抓包結(jié)果進(jìn)行分析;首先電信主機(jī)向移動(dòng)服務(wù)器發(fā)送http請(qǐng)求消息,沒(méi)有收到服務(wù)器響應(yīng),重發(fā)請(qǐng)求(平均1-2次)。原因可以判斷為:請(qǐng)求消息沒(méi)有發(fā)送到服務(wù)器,中途丟失;其次電信主機(jī)與移動(dòng)服務(wù)器建立TCP連接后,開(kāi)始傳輸數(shù)據(jù),但是中間多次發(fā)生TCP數(shù)據(jù)重傳。原因可以判斷為:數(shù)據(jù)傳輸時(shí)有部分丟失,或TCP確認(rèn)消息丟失,服務(wù)器要求重傳;網(wǎng)頁(yè)打開(kāi)慢的原因基本上可以判斷為:電信至移動(dòng)網(wǎng)絡(luò)在傳輸數(shù)據(jù)時(shí)存在問(wèn)題,數(shù)據(jù)包多次丟失,導(dǎo)致重傳。MAS網(wǎng)頁(yè)上156KB的頁(yè)面文件總共傳送了104s,平均1.5KB/s;使用常州電信ADSL,打開(kāi)網(wǎng)頁(yè)同時(shí)進(jìn)行數(shù)次抓包,并對(duì)抓包結(jié)果常州電信網(wǎng)內(nèi)tracert常州移動(dòng)地址(全部),與tracert其他地址(sina、sohu、google)做對(duì)比;根據(jù)tracert結(jié)果可以發(fā)現(xiàn),去往常州移動(dòng)的數(shù)據(jù)包在常州電信網(wǎng)內(nèi)經(jīng)過(guò)的路徑,與其他目的地址的轉(zhuǎn)發(fā)路徑有區(qū)別,紅色圈出部分為多出的跳點(diǎn);可能的原因:以常州移動(dòng)地址為源地址或目標(biāo)地址的數(shù)據(jù)包,到達(dá)常州電信網(wǎng)內(nèi)后,被強(qiáng)制送往某臺(tái)設(shè)備再轉(zhuǎn)發(fā),并且該設(shè)備上做了一些限制;常州電信網(wǎng)內(nèi)tracert常州移動(dòng)地址(全部),與trace常州電信FTP下載結(jié)果常州移動(dòng)網(wǎng)內(nèi)架FTP服務(wù)器,地址為常州移動(dòng)公網(wǎng)地址;常州電信用戶訪問(wèn)該服務(wù)器,連接多次失敗,偶爾連接成功后,下載速率僅為426B/s;可能的原因:常州電信對(duì)常州移動(dòng)訪問(wèn)網(wǎng)內(nèi)資源時(shí)做了帶寬方面的限制;杭州電信FTP下載結(jié)果同時(shí),我們用杭州電信用戶主機(jī)訪問(wèn)常州移動(dòng)FTP,下載速率可達(dá)80KB/s;杭州電信用戶訪問(wèn)常州移動(dòng)網(wǎng)站和MAS機(jī)均正常;這表明:其他運(yùn)營(yíng)商訪問(wèn)均正常,故障現(xiàn)象只發(fā)生在常州電信網(wǎng)內(nèi);常州電信FTP下載結(jié)果常州移動(dòng)網(wǎng)內(nèi)架FTP服務(wù)器,地址為常州臨時(shí)解決辦法1.常州移動(dòng)網(wǎng)內(nèi)架設(shè)代理服務(wù)器(采用新申請(qǐng)的公網(wǎng)IP地址);2.使用網(wǎng)上公開(kāi)的代理服務(wù)器;臨時(shí)解決辦法1.常州移動(dòng)網(wǎng)內(nèi)架設(shè)代理服務(wù)器(采用新申請(qǐng)的公Wireshark使用培訓(xùn)手冊(cè)課件Wireshark使用培訓(xùn)手冊(cè)Wireshark使用培訓(xùn)手冊(cè)目錄第

1

Wireshark簡(jiǎn)介第

2

實(shí)時(shí)捕捉數(shù)據(jù)包第

3

處理已經(jīng)捕捉的包第4章案例目錄第

1

Wireshark簡(jiǎn)介Wireshark簡(jiǎn)介Wireshark是世界上最流行的網(wǎng)絡(luò)分析工具,這個(gè)強(qiáng)大的工具可以捕捉網(wǎng)絡(luò)中的數(shù)據(jù),并為用戶提供關(guān)于網(wǎng)絡(luò)和上層協(xié)議的各種信息。Wireshark的原名是Ethereal,新名字是2006年起用的。當(dāng)時(shí)Ethereal的主要開(kāi)發(fā)者決定離開(kāi)他原來(lái)供職的公司,并繼續(xù)開(kāi)發(fā)這個(gè)軟件。但由于Ethereal這個(gè)名稱的使用權(quán)已經(jīng)被原來(lái)那個(gè)公司注冊(cè),Wireshark這個(gè)新名字也就應(yīng)運(yùn)而生了。Wireshark的優(yōu)勢(shì):-安裝方便,簡(jiǎn)單易用的界面開(kāi)源、免費(fèi)支持windows、unix等多平臺(tái)Wireshark簡(jiǎn)介Wireshark是世界上最流行的網(wǎng)絡(luò)Wireshark簡(jiǎn)介Wireshark主窗口由如下部分組成:菜單用于開(kāi)始操作。主工具欄提供快速訪問(wèn)菜單中經(jīng)常用到的項(xiàng)目的功能。Fitertoolbar/過(guò)濾工具欄提供處理當(dāng)前顯示過(guò)濾得方法。PacketList面板顯示打開(kāi)文件的每個(gè)包的摘要。Packetdetail面板示您在Packetlist面板中選擇的包的更多詳情。Packetbytes面板顯示您在Packetlist面板選擇的包的二進(jìn)制數(shù)據(jù)。Wireshark簡(jiǎn)介Wireshark主窗口由如下部分組成Wireshark簡(jiǎn)介-主菜單File:括打開(kāi)、合并捕捉文件,save/保存,Print/打印,Export/導(dǎo)出捕捉文件的全部或部分,以及退出Wireshark項(xiàng)。Edit:括如下項(xiàng)目:查找包,時(shí)間參考,標(biāo)記一個(gè)多個(gè)包,設(shè)置預(yù)設(shè)參數(shù)。View:控制捕捉數(shù)據(jù)的顯示方式,包括顏色,字體縮放,

將包顯示在分離的窗口,展開(kāi)或收縮詳情面版的地樹(shù)狀節(jié)點(diǎn)。GO:包含到指定包的功能。Capture:允許您開(kāi)始或停止捕捉、編輯過(guò)濾器。Analyze:包含處理顯示過(guò)濾,允許或禁止分析協(xié)議,

配置用戶指定解碼和追蹤TCP流等功能。Statistics:包括的菜單項(xiàng)用戶顯示多個(gè)統(tǒng)計(jì)窗口,

包括關(guān)于捕捉包的摘要,協(xié)議層次統(tǒng)計(jì)等等。Help:包含一些輔助用戶的參考內(nèi)容。

如訪問(wèn)一些基本的幫助文件,支持的協(xié)議列表,用戶手冊(cè)。Wireshark簡(jiǎn)介-主菜單File:括打開(kāi)、合并捕捉文件目錄第

1

Wireshark簡(jiǎn)介第

2

實(shí)時(shí)捕捉數(shù)據(jù)包第

3

處理已經(jīng)捕捉的包第4章案例目錄第

1

Wireshark簡(jiǎn)介

實(shí)時(shí)捕捉數(shù)據(jù)包實(shí)時(shí)捕捉數(shù)據(jù)包時(shí)Wireshar的特色之一Wiershark捕捉引擎具備以下特點(diǎn)●支持多種網(wǎng)絡(luò)接口的捕捉(以太網(wǎng),令牌環(huán)網(wǎng),ATM...)

●支持多種機(jī)制觸發(fā)停止捕捉,例如:捕捉文件的大小,捕捉持續(xù)時(shí)間,

捕捉到包的數(shù)量...

●捕捉時(shí)同時(shí)顯示包解碼詳情

●設(shè)置過(guò)濾,減少捕捉到包的容量。

●長(zhǎng)時(shí)間捕捉時(shí),可以設(shè)置生成多個(gè)文件。Wireshark捕捉引擎在以下幾個(gè)方面尚有不足●從多個(gè)網(wǎng)絡(luò)接口同時(shí)實(shí)時(shí)捕捉,(但是您可以開(kāi)始多個(gè)應(yīng)用程序?qū)嶓w,

捕捉后進(jìn)行文件合并)●根據(jù)捕捉到的數(shù)據(jù)停止捕捉實(shí)時(shí)捕捉數(shù)據(jù)包實(shí)時(shí)捕捉數(shù)據(jù)包時(shí)Wireshar的特色實(shí)時(shí)捕捉數(shù)據(jù)包-捕捉接口對(duì)話框IP

Wireshark能解析的第一個(gè)IP地址,如果接口未獲得IP地址(如,不存在可用的DHCP服務(wù)器),

將會(huì)顯示"Unkow",如果有超過(guò)一個(gè)IP的,只顯示第一個(gè)(無(wú)法確定哪一個(gè)會(huì)顯示).Packets

打開(kāi)該窗口后,從此接口捕捉到的包的數(shù)目。如果一直沒(méi)有接收到包,則會(huì)顯示為灰度Packets/s

最近一秒捕捉到包的數(shù)目。如果最近一秒沒(méi)有捕捉到包,將會(huì)是灰度顯示Stop

停止當(dāng)前運(yùn)行的捕捉Capture

從選擇的接口立即開(kāi)始捕捉,使用最后一次捕捉的設(shè)置。Options打開(kāi)該接口的捕捉選項(xiàng)對(duì)話框,進(jìn)行相應(yīng)的捕捉設(shè)置。Details(僅Win32系統(tǒng))

打開(kāi)對(duì)話框顯示接口的詳細(xì)信息Close

關(guān)閉對(duì)話框?qū)崟r(shí)捕捉數(shù)據(jù)包-捕捉接口對(duì)話框IP實(shí)時(shí)捕捉數(shù)據(jù)包-捕捉選項(xiàng)對(duì)話框?qū)崟r(shí)捕捉數(shù)據(jù)包-捕捉選項(xiàng)對(duì)話框Interface:該字段指定你想用于進(jìn)行捕捉的借口,一次只能使用一個(gè)接口。IPaddress:表示選擇接口的IP地址。如果系統(tǒng)未指定IP地址,將會(huì)顯示為"unknown"Link-layerheadertype:除非你有些特殊應(yīng)用,盡量保持此選項(xiàng)默認(rèn)Buffersize:nmegabyte(s):輸入用于捕捉的緩層大小。該選項(xiàng)是設(shè)置寫(xiě)入數(shù)據(jù)到磁盤(pán)前保留在核心緩存中捕捉數(shù)據(jù)的大小,如果你發(fā)現(xiàn)丟包。嘗試增大該值。Capturepacketsinpromiscuousmode:指定Wireshark捕捉包時(shí),設(shè)置接口為混雜模式。如果你未指定該選項(xiàng),Wireshark將只能捕捉進(jìn)出你電腦的數(shù)據(jù)包(不能捕捉整個(gè)局域網(wǎng)段的包)Limiteachpackettonbytes:

指定捕捉過(guò)程中,每個(gè)包的最大字節(jié)數(shù)。在某些地方被稱為。"snaplen".如果禁止該選項(xiàng),默認(rèn)值為65535,這適用于大多數(shù)協(xié)議。CaptureFilter:指定捕捉過(guò)濾,默認(rèn)情況下是空的。同樣你也可以點(diǎn)擊捕捉按鈕,通過(guò)彈出的捕捉過(guò)濾對(duì)話框創(chuàng)建或選擇一個(gè)過(guò)濾器。

實(shí)時(shí)捕捉數(shù)據(jù)包-捕捉選項(xiàng)對(duì)話框Interface:該字段指定你想用于進(jìn)行捕捉的借口,一次實(shí)時(shí)捕捉數(shù)據(jù)包-捕捉過(guò)濾對(duì)話框通過(guò)capture下拉菜單中的CaptureFilter或者點(diǎn)擊捕捉選項(xiàng)對(duì)話框中的capturefilter按鈕進(jìn)行捕捉的過(guò)濾設(shè)置,抓取特定的包展現(xiàn)在PacketList面板中。捕捉過(guò)濾對(duì)話框如左圖所示,其中有部分常用的過(guò)濾規(guī)則,同時(shí)可以通過(guò)NEW的方式新建個(gè)性化的過(guò)濾規(guī)則。實(shí)時(shí)捕捉數(shù)據(jù)包-捕捉過(guò)濾對(duì)話框通過(guò)capture實(shí)時(shí)捕捉數(shù)據(jù)包-捕捉過(guò)濾對(duì)話框基本格式:[protocol][src/dst][host/port]**and/or/not**Capturefilter事例:tcpdstport21

顯示目的TCP端口為21的封包。ipsrchost42

顯示來(lái)源IP地址為42

的封包。host42

顯示目的或來(lái)源IP地址為42

的封包。srcportrange2000-2500

顯示來(lái)源為UDP或TCP,并且端口號(hào)在2000至2500范圍內(nèi)的封包。notimcp

顯示除了icmp以外的所有封包。srchost2andnotdstnet/24

顯示來(lái)源IP地址為2,但目的地不是/24的封包。(srchost2orsrcnet/16)andtcpdstportrange200-10000anddstnet/8

顯示來(lái)源IP為2或者來(lái)源網(wǎng)絡(luò)為/16,目的地TCP端口號(hào)在200至10000之間,并且目的位于網(wǎng)絡(luò)/8內(nèi)的所有封包。實(shí)時(shí)捕捉數(shù)據(jù)包-捕捉過(guò)濾對(duì)話框基本格式:目錄第

1

Wireshark簡(jiǎn)介第

2

實(shí)時(shí)捕捉數(shù)據(jù)包第

3

處理已經(jīng)捕捉的包第4章案例目錄第

1

Wireshark簡(jiǎn)介處理已經(jīng)捕捉的包從整體上看看Wireshark的窗口,主要被分成三部分。上面部分是所有數(shù)據(jù)幀的列表;中間部分是數(shù)據(jù)幀的描述信息;下面部分是幀里面的數(shù)據(jù)。第一列是捕獲數(shù)據(jù)的編號(hào);第二列是捕獲數(shù)據(jù)的相對(duì)時(shí)間,從開(kāi)始捕獲算為0.000秒;第三列是源地址;第四列是目的地址;第五列是數(shù)據(jù)包的協(xié)議類型;第六列是數(shù)據(jù)包信息。處理已經(jīng)捕捉的包從整體上看看Wireshark的窗口,主要被處理已經(jīng)捕捉的包-數(shù)據(jù)包格式以太網(wǎng)幀格式IPv4數(shù)據(jù)包格式處理已經(jīng)捕捉的包-數(shù)據(jù)包格式以太網(wǎng)幀格式IPv4處理已經(jīng)捕捉的包-數(shù)據(jù)包格式TCP報(bào)文段結(jié)構(gòu)UDP報(bào)文段結(jié)構(gòu)處理已經(jīng)捕捉的包-數(shù)據(jù)包格式TCPUDP報(bào)文段結(jié)構(gòu)目錄第

1

Wireshark簡(jiǎn)介第

2

實(shí)時(shí)捕捉數(shù)據(jù)包第

3

處理已經(jīng)捕捉的包第4章案例目錄第

1

Wireshark簡(jiǎn)介案例-AX2500配置導(dǎo)致百度訪問(wèn)異常的問(wèn)題分析第三方出口疏導(dǎo)路由器采用C7609雙上行分別連接城域網(wǎng)核心兩臺(tái)NE5000E,NE5000E上通過(guò)策略路由對(duì)部分網(wǎng)內(nèi)用戶源地址進(jìn)行優(yōu)化,強(qiáng)制疏導(dǎo)至C7609,C7609上配置默認(rèn)路由指向AX2500后連接第三方出口防火墻和緩存系統(tǒng),AX2500負(fù)責(zé)對(duì)出口進(jìn)行選路。由于源地址疏導(dǎo)是將所有流量都強(qiáng)制到C7609,所以在處理引入資源時(shí)也是通過(guò)C7609的默認(rèn)路由進(jìn)入AX2500,AX2500上通過(guò)判斷IP地址歸屬來(lái)分配出口資源,匹配為引入資源時(shí)會(huì)通過(guò)AX2500與NE5000E之間的鏈路返回NE5000E,強(qiáng)制送往省網(wǎng)出口。故障現(xiàn)象通過(guò)NE5000E策略路由方式優(yōu)化的源地址用戶無(wú)法訪問(wèn)百度(IP為:6)第三方出口疏導(dǎo)路由器采用C7609雙上行分別連接1、終端上域名解析正常,ping該IP地址也正常,訪問(wèn)其他網(wǎng)頁(yè)正常,此IP屬于引入資源,源地址優(yōu)化用戶訪問(wèn)時(shí)通過(guò)AX2500后回NE5000E,服務(wù)器回應(yīng)的時(shí)候直接從NE5000E回到用戶,不經(jīng)過(guò)AX2500;2、通過(guò)抓包分析發(fā)現(xiàn)終端上顯示TCP三次握手已經(jīng)完成,進(jìn)入httpget之前又接收到服務(wù)器6發(fā)來(lái)的synack,客戶端又重新發(fā)送了ack報(bào)文,然而在httpget報(bào)文發(fā)送后,還是一直在接收synack和回應(yīng)ack報(bào)文,懷疑服務(wù)器側(cè)仍認(rèn)為三次握手沒(méi)有建立成功導(dǎo)致。1、終端上域名解析正常,ping該IP地址也正常,訪問(wèn)其他網(wǎng)3、在AX2500上debug,發(fā)現(xiàn)@2084975628CLIENT_SYN_RECEIVED:clientnotconnected,savemss_index,buff->mss=1380,conn->mss_index=4,GET_WS_OPT=0,并且終端后續(xù)一直在發(fā)送syn包給服務(wù)器。3、在AX2500上debug,發(fā)現(xiàn)@20849756284、初步判斷故障發(fā)生在AX2500上,經(jīng)對(duì)故障前后AX2500配置進(jìn)行對(duì)比發(fā)現(xiàn),在slb上增加了syn-cookie配置SYNCookie的原理:客戶端發(fā)送SYN報(bào)文,AX2500設(shè)備會(huì)代替服務(wù)器直接響應(yīng)SYNACK,其中TCP序列號(hào)會(huì)根據(jù)源IP等特定參數(shù)產(chǎn)生。正常客戶端會(huì)響應(yīng)AX2500SYNACK并發(fā)送

ACK給AX2500;

AX2500在接收到這個(gè)ACK后再使用客戶源IP和目標(biāo)IP創(chuàng)建連接。

相當(dāng)于客戶端和AX2500建立連接,AX2500再和服務(wù)器建立連接;然后在2者之間做個(gè)對(duì)應(yīng)轉(zhuǎn)換。4、初步判斷故障發(fā)生在AX2500上,經(jīng)對(duì)故障前后AX250問(wèn)題就在SYNCookie功能和業(yè)務(wù)流量之間存在矛盾,百度為引入資源,在AX2500上直接返回給NE5000E,不經(jīng)過(guò)第三方出口,在啟用SYNCookie后,AX2500只發(fā)送SYN報(bào)文出去,

NE5000E接收到該報(bào)文轉(zhuǎn)發(fā),服務(wù)器的響應(yīng)回到NE5000E時(shí)會(huì)匹配路由條目直接回復(fù)給客戶端,而不回復(fù)給AX2500,AX2500收不到服務(wù)器回復(fù)的synack無(wú)法與服務(wù)器建立鏈接,服務(wù)器無(wú)響應(yīng)而不處理客戶端發(fā)送的httpget報(bào)文,而客戶端會(huì)接收到多個(gè)SYNACK而且序列號(hào)不一致,導(dǎo)致客戶端無(wú)法和目標(biāo)IP正常處理連接。問(wèn)題就在SYNCookie功能和業(yè)務(wù)流量之間案例-常州電信限制用戶訪問(wèn)移動(dòng)網(wǎng)絡(luò)情況分析現(xiàn)象:1.大量常州電信用戶反映訪問(wèn)常州移動(dòng)MAS、托管

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論