轉載請在文首保留原文出處:EMC中文支持論壇https://community.emc.com/go/chinese
介紹
應用Wireshark顯示過濾器分析特定數據流(下) NEW
應用Wireshark診斷網絡性能 - TCP重傳與重複ACK
應用Wireshark診斷網絡性能 - TCP窗口與擁塞處理
更多信息
按照國際慣例,從最基本的說起。
抓取報文:
下載和安裝好Wireshark之後,啓動Wireshark並且在接口列表中選擇接口名,然後開始在此接口上抓包。例如,如果想要在無線網絡上抓取流量,點擊無線接口。點擊Capture Options可以配置高級屬性,但現在無此必要。
點擊接口名稱之後,就可以看到實時接收的報文。Wireshark會捕捉系統發送和接收的每一個報文。如果抓取的接口是無線並且選項選取的是混合模式,那麼也會看到網絡上其他報文。
上端面板每一行對應一個網絡報文,默認顯示報文接收時間(相對開始抓取的時間點),源和目標IP地址,使用協議和報文相關信息。點擊某一行可以在下面兩個窗口看到更多信息。“+”圖標顯示報文裏面每一層的詳細信息。底端窗口同時以十六進制和ASCII碼的方式列出報文內容。
需要停止抓取報文的時候,點擊左上角的停止按鍵。
色彩標識:
進行到這裏已經看到報文以綠色,藍色,黑色顯示出來。Wireshark通過顏色讓各種流量的報文一目瞭然。比如默認綠色是TCP報文,深藍色是DNS,淺藍是UDP,黑色標識出有問題的TCP報文——比如亂序報文。
報文樣本:
比如說你在家安裝了Wireshark,但家用LAN環境下沒有感興趣的報文可供觀察,那麼可以去Wireshark wiki下載報文樣本文件。
打開一個抓取文件相當簡單,在主界面上點擊Open並瀏覽文件即可。也可以在Wireshark裏保存自己的抓包文件並稍後打開。
過濾報文:
如果正在嘗試分析問題,比如打電話的時候某一程序發送的報文,可以關閉所有其他使用網絡的應用來減少流量。但還是可能有大批報文需要篩選,這時要用到Wireshark過濾器。
最基本的方式就是在窗口頂端過濾欄輸入並點擊Apply(或按下回車)。例如,輸入“dns”就會只看到DNS報文。輸入的時候,Wireshark會幫助自動完成過濾條件。
也可以點擊Analyze菜單並選擇Display Filters來創建新的過濾條件。
另一件很有趣的事情是你可以右鍵報文並選擇Follow TCP Stream。
你會看到在服務器和目標端之間的全部會話。
關閉窗口之後,你會發現過濾條件自動被引用了——Wireshark顯示構成會話的報文。
檢查報文:
選中一個報文之後,就可以深入挖掘它的內容了。
也可以在這裏創建過濾條件——只需右鍵細節並使用Apply as Filter子菜單,就可以根據此細節創建過濾條件。
Wireshark是一個非常之強大的工具,第一節只介紹它的最基本用法。網絡專家用它來debug網絡協議實現細節,檢查安全問題,網絡協議內部構件等等。
