1. 前言
emmm��,說起網絡知識學習肯定離不來wireshark工具��,這個工具能夠幫助我們快速地定位網絡問題以及幫助正在學習網絡協議這塊的知識的同學驗證理論與實際的一大利器,平時更多的只是停留在初步的使用階段��。也是利用部門內部的網絡興趣小組的討論機會��,私下對wireshark的一些進階功能��,比如專家模式、圖表等功能進行調研,并結合實際場景抓包分析對功能進行對照說明�。Qyn28資訊網——每日最新資訊28at.com
2. wireshark中的分析菜單——專家模式
2.1什么是專家模式���?
Wireshark的專家信息是非常強大的一個分析模塊���,分別對錯誤����、警告�����、注意�����、對話等數據信息做出分類和注釋,對網絡故障分析提供了強有力的信息依據,讓你準確快速地判斷出故障點,并進行下一步處理�。Qyn28資訊網——每日最新資訊28at.com
Qyn28資訊網——每日最新資訊28at.com
2.2 嚴重性級別的每種分類分別代表什么含義���?
?對話(Chat):關于正常通信的基本信息;Qyn28資訊網——每日最新資訊28at.com
?注意(Note):正常通信時的異常數據包;Qyn28資訊網——每日最新資訊28at.com
?警告(Warn):不是正常通信中的異常數據包(個人理解為:非正常的通信產生的數據包)�����;Qyn28資訊網——每日最新資訊28at.com
?錯誤(Error):數據包中的錯誤,或者解析器解析時的錯誤;Qyn28資訊網——每日最新資訊28at.com
2.3 除了嚴重性級別之外�,專家信息項還按組進行了分類:
?假設(Assumption):協議字段的數據不完整��,根據假定值進行了剖析Qyn28資訊網——每日最新資訊28at.com
?檢驗和(Checksum):校驗和無效Qyn28資訊網——每日最新資訊28at.com
?注釋(Comment):數據包注釋Qyn28資訊網——每日最新資訊28at.com
?調試(Debug):調試信息,你不應該在wireshark的發布版本中看到這個組Qyn28資訊網——每日最新資訊28at.com
?解密(Decryption):解密問題Qyn28資訊網——每日最新資訊28at.com
?已棄用(Deprecated):協議字段已經被棄用Qyn28資訊網——每日最新資訊28at.com
?畸形的(Malformed):格式錯誤的數據包或者解析程序有錯誤。此數據報的解析已中止Qyn28資訊網——每日最新資訊28at.com
?協議(Protocol):違反協議規范(比如無效字段值或者非法長度)?�?赡軙^續對該數據包進行解析Qyn28資訊網——每日最新資訊28at.com
?重新組裝():重新組裝時出現問題�。比如,不是所有的碎片都可用,或者在重新組裝期間發生異常Qyn28資訊網——每日最新資訊28at.com
?請求代碼(Request Code):一個應用程序請求�����。通常分配聊天級別��。Qyn28資訊網——每日最新資訊28at.com
?響應代碼(Response Code):應用程序響應代碼表示潛在問題���,比如找不到HTTP 404Qyn28資訊網——每日最新資訊28at.com
?安全(Security):安全問題���,比如不安全的實現Qyn28資訊網——每日最新資訊28at.com
?序列(Sequence):協議序列號可疑��,比如它不連續或者檢測到重傳Qyn28資訊網——每日最新資訊28at.com
?未編碼(Undecoded):解析不完整或者數據因為其他問題無法解碼Qyn28資訊網——每日最新資訊28at.com
2.4 TCP的14種專家模式?
?對話消息(Chat):Qyn28資訊網——每日最新資訊28at.com
窗口更新(window update):由接收者發送,用來通知發送者TCP接收窗口的大小已經發生變化�����。Qyn28資訊網——每日最新資訊28at.com
Qyn28資訊網——每日最新資訊28at.com
?注意消息(Note):Qyn28資訊網——每日最新資訊28at.com
? 重復ACK(Duplicate ACK ):當一臺主機沒有收到下一個期望序列號的數據包時�,會生成最近一次收到的數據的重復ACK。Qyn28資訊網——每日最新資訊28at.com
注意:其實重復確認本身并不是問題��,但如果接收方連續發送多個重復確認���,則可以視為網絡擁塞的信號���。TCP協議中定義了一種擁塞控制機制����,在發現網絡擁塞時會觸發這個機制�����,以減緩數據傳輸的速度�����,從而避免擁塞的加劇。 快速重傳:當TCP接收方連續發送三個重復確認時�,發送方就會認為一個數據包已經丟失���,并立即進行快速重傳(Fast Retransmit)操作���。它會重新發送那個沒有收到確認的數據包��,而不是等待超時時間后再重傳。這樣做可以盡快地填補丟失的數據包����,提高數據傳輸速度和效率���。Qyn28資訊網——每日最新資訊28at.com
Qyn28資訊網——每日最新資訊28at.com
Qyn28資訊網——每日最新資訊28at.com
?TCP重傳(retransmission):數據包丟失的結果����。發生在收到重傳的ACK, 或者數據包的重傳計時器超時的時候����。Qyn28資訊網——每日最新資訊28at.com
Qyn28資訊網——每日最新資訊28at.com
?零窗口探查:在一個零窗口包被發送出去后�����,用來監視TCP接收窗口的狀態��。Qyn28資訊網——每日最新資訊28at.com
?零窗口探查ACK:用來響應零窗口探查數據包。Qyn28資訊網——每日最新資訊28at.com
??��;睿═CP Keep-Alive Segment ):當一個連接的保活數據出現時觸發。Qyn28資訊網——每日最新資訊28at.com
??����;預CK(ACK to Tcp keep-alive):用來響應保活數據包��。Qyn28資訊網——每日最新資訊28at.com
Qyn28資訊網——每日最新資訊28at.com
?窗口已滿:用來通知傳輸主機接受者的TCP窗口已滿�。Qyn28資訊網——每日最新資訊28at.com
?警告信息(Warn):Qyn28資訊網——每日最新資訊28at.com
?上一段丟失(Previous segments not captured):指明數據包丟失。發生在當數據流中一個期望序列號被跳過時����。Qyn28資訊網——每日最新資訊28at.com
Qyn28資訊網——每日最新資訊28at.com
?收到丟失數據包的ACK(ACKed segment that was not captured):發生在當一個數據包被確認丟失但在之后收到了這個已經被確認丟失的數據包的ACK數據包���。Qyn28資訊網——每日最新資訊28at.com
?零窗口(TCP Zero Window):當接收方已經達到TCP接收窗口大小時�����,發出一個零窗口通知,要求發送方停止傳輸數據���。可能是網絡擁塞或接收方未及時處理數據等原因導致的���。Qyn28資訊網——每日最新資訊28at.com
?亂序:當數據包被亂序接收時,會利用序列號進行檢測����。Qyn28資訊網——每日最新資訊28at.com
Qyn28資訊網——每日最新資訊28at.com
?快速重傳輸:一次重傳會在收到一個重復ACK的20毫秒內進行。Qyn28資訊網——每日最新資訊28at.com
3. 統計菜單——IO圖表、數據流圖
3.1 IO圖表的用途?
Wireshark IO Graph能把原始數據過濾并把數據以圖表的形式展示出來�,是一個非常好用的工具����。 基本的Wireshark IO Graph會顯示抓包文件中的整體流量情況���。X軸為時間����,Y軸是每一時間間隔的報文數。默認情況下,X軸時間單位為1s,Y軸是Packet/tick,可以自己調節單位。通過調節單位,對于查看流量中的波峰/波谷很有幫助。Qyn28資訊網——每日最新資訊28at.com
3.2 一些常用的排錯過濾條件�����?
對于排查網絡延時/應用問題有一些過濾條件是非常有用的���,下面羅列了一些常用的過濾條件:Qyn28資訊網——每日最新資訊28at.com
?tcp.analysis.lost_segment:表明已經在抓包中看到不連續的序列號����。報文丟失會造成重復的ACK,這會導致重傳����。Qyn28資訊網——每日最新資訊28at.com
?tcp.analysis.duplicate_ack:顯示被確認過不止一次的報文����。大量的重復ACK是TCP端點之間高延時的跡象�。Qyn28資訊網——每日最新資訊28at.com
?tcp.analysis.retransmission:顯示抓包中的所有重傳。如果重傳次數不多的話還是正常的,過多重傳可能有問題�����。這通常意味著應用性能緩慢和/或用戶報文丟失�。Qyn28資訊網——每日最新資訊28at.com
?tcp.analysis.window_update:將傳輸過程中的TCP window大小圖形化���。如果看到窗口大小下降為零�����,這意味著發送方已經退出了��,并等待接收方確認所有已傳送數據。這可能表明接收端已經不堪重負了����。Qyn28資訊網——每日最新資訊28at.com
?tcp.analysis.bytes_in_flight:某一時間點網絡上未確認字節數����。未確認字節數不能超過你的TCP窗口大小(定義于最初3此TCP握手)��,為了最大化吞吐量你想要獲得盡可能接近TCP窗口大小��。如果看到連續低于TCP窗口大小��,可能意味著報文丟失或路徑上其他影響吞吐量的問題。Qyn28資訊網——每日最新資訊28at.com
?tcp.analysis.ack_rtt:衡量抓取的TCP報文與相應的ACK。如果這一時間間隔比較長那可能表示某種類型的網絡延時(報文丟失,擁塞���,等等)。Qyn28資訊網——每日最新資訊28at.com
3.3 IO圖表中的一些常用的函數?
IO Graphs有六個可用函數:SUM, MIN, AVG, MAX, COUNT, LOAD。Qyn28資訊網——每日最新資訊28at.com
?MIN(), AVG(), MAX()Qyn28資訊網——每日最新資訊28at.com
MIN�、AVG��、MAX分別表示幀/報文之間的最小、平均、最大時間�,對于查看幀/報文之間的延時非常有用���。Qyn28資訊網——每日最新資訊28at.com
我們可以將這些函數結合“frame.time_delta”過濾條件看清楚幀延時�����,并使得往返延時更為明顯��。如果抓包文件中包含不同主機之間的多個會話�����,而只想知道其中一個pair,可將“frame.time_delta”結合源和目標主機條件如“ip.addr==x.x.x.x &&ip.addr==y.y.y.y”�����。Qyn28資訊網——每日最新資訊28at.com
Qyn28資訊網——每日最新資訊28at.com
Qyn28資訊網——每日最新資訊28at.com
從上圖可見����,在第106秒時數據流的MAX frame.delta_time達到0.7秒,這是一個嚴重延時并且導致了報文丟失����。Qyn28資訊網——每日最新資訊28at.com
?Count()Qyn28資訊網——每日最新資訊28at.com
此函數計算時間間隔內事件發生的次數�,在查看TCP分析標識符時很有用�����,例如重傳��。Qyn28資訊網——每日最新資訊28at.com
Qyn28資訊網——每日最新資訊28at.com
?Sum()Qyn28資訊網——每日最新資訊28at.com
該函數統計事件的累加值。有兩種常見的用例是看在捕獲TCP數據量���,以及檢查TCP序列號。Qyn28資訊網——每日最新資訊28at.com
參數設置:分別使用客戶端IP 192.168.1.4為源����、目的地址����,并將SUM功能結合tcp.len過濾條件���;Qyn28資訊網——每日最新資訊28at.com
Qyn28資訊網——每日最新資訊28at.com
從圖表中我們可以看到��,發送到客戶端的數據量(IP.DST = = 192.168.1.4過濾條件)比來自客戶端的數據量要高。在圖中紅色表示。黑條顯示從客戶端到服務器的數據,相對數據量很小�����。這是有道理的��,因為客戶只是請求文件和收到之后發送確認數據����,而服務器發送大文件��。很重要的一點是���,如果你交換了圖的順序����,把客戶端的IP作為圖1的目標地址����,并且客戶端IP作為圖2的源地址���,采用了FBAR的時候可能看不到正確的數據顯示��。因為圖編號越低表示在前臺顯示,可能會覆蓋較高圖號����。Qyn28資訊網——每日最新資訊28at.com
4. 實例場景分析
參數設置:1是HTTP總體流量,顯示形式為packets/tick,時間間隔1秒。圖2是TCP丟失報文片段�����。圖3是TCP 重復ACK����。圖4是TCP重傳。Qyn28資訊網——每日最新資訊28at.com
圖1:HTTP總體流量圖Qyn28資訊網——每日最新資訊28at.com
圖2:TCP丟失報文片段圖Qyn28資訊網——每日最新資訊28at.com
圖3:TCP 重復ACKQyn28資訊網——每日最新資訊28at.com
Qyn28資訊網——每日最新資訊28at.com
從這張圖可以看到:整體的HTTP流量,TCP重傳以及重復ACK的流量��,這些事件發生的時間點��,以及在整體流量中所占的比例���。Qyn28資訊網——每日最新資訊28at.com
?數據包丟失和延遲的TCP序列號場景:我們可以在下面的圖中看到若干峰值和下降�����,表示TCP傳輸有問題。Qyn28資訊網——每日最新資訊28at.com
圖4:數據包丟失和延遲的TCP序列號場景Qyn28資訊網——每日最新資訊28at.com
與正常TCP報文比較:Qyn28資訊網——每日最新資訊28at.com
Qyn28資訊網——每日最新資訊28at.com
Qyn28資訊網——每日最新資訊28at.com
這張圖可以看到TCP序列號相當穩定地增加,表示傳輸平穩�,沒有過多重傳或丟包��。Qyn28資訊網——每日最新資訊28at.com
?對比視頻會議在網絡卡頓與流暢時的IO圖表實例場景:Qyn28資訊網——每日最新資訊28at.com
https://zhiliao.h3c.com/Theme/details/104284Qyn28資訊網——每日最新資訊28at.com
5. 總結
如果只是簡單的排查網絡問題,只需要使用wireshark中簡單的添加過濾規則,通過觀察抓取到的數據包就可以達到定位問題的目的����,其實這幾個進階的功能��,無論是專家模式、還是IO圖表,底層其實還是需要配置規則��,亦或者是通過wireshark的內置規則做了一個集成�。針對一些場景,比如觀測網絡是否擁塞,可以通過IO圖表直觀的進行判斷,,,,,以上。Qyn28資訊網——每日最新資訊28at.com
作者:京東科技 宋慧超Qyn28資訊網——每日最新資訊28at.com
來源:京東云開發者社區 轉載請注明來源Qyn28資訊網——每日最新資訊28at.com
本文鏈接:http://www.tebozhan.com/showinfo-26-15310-0.html聊聊wireshark的進階使用功能
聲明:本網頁內容旨在傳播知識�����,若有侵權等問題請及時與本網聯系����,我們將在第一時間刪除處理�����。郵件:2376512515@qq.com
上一篇: 運行 Python 腳本/代碼的幾種方式
下一篇: 通過Opencv進行各種驗證碼圖片識別
津公網安備 12010102000574號