如果想讓網絡進行正常通信,你必須至少擁有兩臺設備進行數據流交互。端點(endpoint)就是指網絡上能夠發送和接受數據的一臺設備。舉例來說,在TCP/IP的通信中就有兩個斷電:接收和發送數據系統的IP地址,比如192.168.1.25和192.168.1.30。
例如在數據鏈路層,通信時基於兩臺物理網卡和它們的MAC地址進行的。如果接收和發送數據的地址是 00:ff:ac:ce:0b:de 和 00:ff:ac:e0:dc:0f ,那麼這些地址就是通信中的端點,如下圖所示。
網絡上的端點
網絡上的一個會話(conversation),就如同兩個人之間的會話一樣,描述的是兩臺主機(端點)之間進行的通信。舉例來說,小明和丁丁的繪畫可能是這樣子的:“你好嗎?”,“我很好,你呢?”,“我也很好!”。192.168.1.5和192.168.0.8之間的一個會話可能是這樣的:“SYN”,“SYN/ACK”,“ACK”。
1. 查看端點
Wireshark的Endpoints窗口(Statistics->Endpoints、統計->端點)給出了每一端點的許多有用的統計信息,包括每個端點的地址、傳輸發送數據包的數量和字節數。
端點窗口可以讓你查看一個捕獲文件裏的每個端點
這個窗口頂部的選項卡給出了當前捕獲文件中所有支持和被識別的端點。單擊其中一個選項卡,就可以將斷電的列表縮小到某一個協議上。勾選Name Resolution(解析名稱)多選框,可以在端點窗口中開啓名字解析功能。(在Ethernet頁簽下可以開啓,在IPv4選項下開啓不了)。
你可以使用端點窗口將特定的數據包過濾出來,顯示在Packet List面板中。右鍵單擊一個特定的端點,可以看到許多選項,包括創建過濾器以顯示只與這個斷電相關的流量,或者與選定端點無關的所有流量。你也可以直接將端點導出到一個着色規則中。
2.查看網絡會話
Wireshark的會話窗口(Statistics->Conversations、統計->對話),如下圖所示,以地址A(Address A)和地址B(Address B)顯示了會話中端點的地址,以及每個設備發送或接收到的數據包和字節數。
會話窗口可以讓你與捕獲文件中的每個會話進行交互
這個窗口中列出的會話以不同的協議分開,並可以通過窗口頂部的選項卡進行選擇。右鍵單擊一個特定的會話,可以讓你創建一些有用的過濾器,比如顯示由設備A發出的所有流量,設備B收到的所有流量,或者設備A和設備B之間所有的通信流量。
3.使用端點和會話窗口進行問題定位
打開Wireshark開始嗅探,同時我打開了騰訊視頻看起了奔跑吧,然後過了一段時間停止了嗅探,然後打開端點窗口,將數據按照Bytes由大到小進行排序,如下。
可以發現第一個192.168.4.109是我本地的地址,而第二個112.253.11.137應該就是愛奇藝的一個IP地址了。
知道了這些消息,你最活躍的通信端點一定包含了流量最大的會話嗎?如果這時你打開了會話窗口,並選中了IPv4選項卡,你就可以使用字節數對列表排序來驗證這一點。在這個例子中,你可以看到這個流量應該是連續的視頻下載流量,因爲從地址A(112.253.11.137)發出的數據包比從地址B(192.168.4.109)發出的數據包要大得多。
會話窗口中確定了最活躍的兩個信息源實在相互通信