一、基本信息統計工具
1)捕獲文件屬性(Summary)
1. File:瞭解抓包文件的各種屬性,例如抓包文件的名稱、路徑、文件所含數據包的規模等信息
2. Time:獲悉抓包的開始、結束和持續時間
3. Capture:抓包文件由哪塊網卡生成、OS版本、Wireshark版本等信息
4. Display:剩下的是彙總統計信息,數據包的總數、數量以及佔比情況、網速等
2)協議分級(Protocol Hierarchy)
1. Protocol:數據包所歸屬的協議名稱
2. % Packets:抓包文件中所含數據包個數在每一種協議類型中的佔比情況
3. Packets:每一種協議類型數據包的個數
4. % Bytes:抓包文件中所含數據包字節數在每一種協議類型中的佔比情況
5. Bytes:每一種協議類型數據包的字節數
6. MBit/s:某種協議類型的數據包在抓包時段內的傳輸速率
7. End Packets:隸屬於該協議類型的數據包的純粹數量,例如TCP,純粹指的是TCP頭部之後沒有高層協議頭部(HTTP頭等)
8. End Bytes:隸屬於該協議類型的數據包的純粹字節數
9. End Bits/s:隸屬於該協議類型的數據包在抓包時段內的純粹傳輸速率
3)對話(Conversation)
一次對話是指發生於一對特定端點(主機、服務器或網絡設備)之間的所有流量。
TCP或UDP對話包括了4個特徵(源、目IP地址和源、目端口號)全都匹配的數據包。
1. Ethernet標籤:不同MAC地址的主機之間的交流
2. IPv4標籤:不同IPv4地址的主機之間的溝通
3. TCP或UDP:不同IPv4地址的主機之間建立的各種TCP或UDP,可以發現某臺主機是否打開過多連接,是否與稀奇古怪的端口號建立了連接。
4)端點(Endpoints)
此工具用來觀察第二、三、四層端點(Ethernet端點、IP端點、TCP/UDP端點)有關的統計信息。
粗看與對話窗口類似,但對話窗口中會有Address A與Address B兩個,而端點中只有一個。
5)HTTP統計信息
1. 分組計數器(Packet Counter):展示HTTP數據包的總數,請求數據包和響應數據包的數量。
2. 請求(Requests):主機請求訪問Web站點的分佈情況,以及所訪問的Web站點的具體資源。
3. 負載分配(Load Distribution):HTTP數據包(請求和響應)訪問過哪些站點。
6)IP屬性統計信息
1. All Addresses:所有的地址
2. Destinations and Ports:目的地址和端口號
3. IP Protocol Types:IP協議類型
4. Source and Destination Addresses:源和目的地址
二、高級信息統計工具——IO圖表(IO Graphs)
1)IO圖表(IO Graphs)
1. 樣式:Line(線)、Impulse(脈衝)、Fbar(粗線)、Dot(點)
2. X軸配置:
間隔(Tick Interval)取值範圍0.001秒~10分鐘
一天時鐘(View as time of day)勾選後會按一天當中的具體時刻來顯示
3. Y軸配置:
速率單位(Unit):Pickets、Bytes、Bits、Advanced(包括SUM、MAX等)
平滑速率(Smooth):每個計時單位內的平均傳輸速率
2)IO圖表高級配置(Y軸Unit參數Advanced選項)
單位時間:通過選擇X軸參數配置區域內的Tick Interval下拉菜單項來指定
1. SUM(*):每個單位時間內實際傳輸的IP數據包總字節數
2. COUNT FRAMES(*):每個單位時間內發生匹配該條件的數量,例如重傳數(tcp.analysis.retransmission)
3. COUNT FIELDS(*):每個單位時間內所傳數據包中該字段出現的次數
4. MAX(*):每個單位時間內所傳數據包相關參數的最高值,例如距離上一個捕獲的包的時間間隔(frame.time_delta)
5. MIN(*):每個單位時間內所傳數據包相關參數的最低值
6. AVG(*):每個單位時間內所傳數據包相關參數的平均值
7. LOAD(*):生成與響應時間有關的圖形
三、高級信息統計工具——TCP流圖形(TCP StreamGraph)
1)時間序列(Stevens)
在單位時間內,受監控的TCP流在某個方向所傳數據的字節流。
一條連綿不斷的斜線就表示正常的文件傳輸,而斜線時斷時續,表示文件傳輸存在問題;
斜線的角度越大,表示文件的傳輸速率很高,反之,文件傳輸緩慢。
2)時間序列(tcptrace)
監控TCP連接的諸多詳細信息。
分析與此TCP有關的種種問題,包括TCP確認、TCP重傳、以及TCP窗口大小等信息。
上面一條表示TCP接收窗口,當兩條曲線之間空間較大的時候,表示接收主機尚有緩存;當近乎重疊的時候,TCP窗口已滿(window-full)不能繼續傳輸數據
下面一條表示在單位時間內,受監控的TCP流在某個方向所傳數據的字節流(也就是Stevens)
圖中每個小豎條(放大後就能看到)表示TCP數據包起始和終止序列號都與縱座標上的數字相對應。
3)吞吐量(Throughput)
不但能瞭解TCP連接的吞吐量,而且還能判斷TCP連接是否穩定。
統計單位時間內在某一指定方向上傳輸的數據包的字節數(左邊的Y軸);
以此統計出來的吞吐量只是某個方向上傳輸的應用程序數據(不含IP頭與TCP頭)的吞吐量,單位爲字節/秒(右邊的Y軸)。
左邊的Y軸就是包中的Len值,對應的是深藍色的點;右邊的Y軸對應的是咖啡色的斜線。
4)往返時間(Round Trip Time)
瞭解某條TCP連接中特定方向上的所有TCP報文段的往返時間(RTT)
X軸爲序列號字段值,Y軸爲時間值。
5)窗口尺寸(Window Scaling)
通過統計發送方的接收窗口大小,以此瞭解特定TCP連接的性能。
當窗口變小時,相關應用程序的吞吐量會相應降低,窗口的大小完全受控於建立連接的兩個端點(服務器和客戶端),大小的變化與網絡性能無關。
四、專家信息(Expert Info)工具
窗口由Errors、Warnings、Notes、Chats等構成。
1)Errors
數據包中有嚴重錯誤。
校驗和錯誤:Ethernet及IP校驗和錯誤。
僞造的數據包:一般涉及具體的應用層協議。
2)Warnings
數據包中有一般性問題。
與TCP窗口有關的事件TCP window full或TCP zero window,一般是連接設備忙不過來所致。
與TCP報文段丟失或失序有關的事件,丟失是因爲未抓全某個TCP數據流的所有TCP報文段;失序是因其感知到了TCP報文段未按發出的順序到達接收主機。
3)Notes
數據包中有可能會引發故障的異常現象,例如TCP重傳、重複確認、快速重傳等現象。
4)Chats
數據包都符合常規流量的特徵,包括SYN、FIN、RST以及各種狀態碼的HTTP事件。
