一站式學習Wireshark(七):Statistics統計工具功能詳解與應用

Wireshark一個強大的功能在于它的統計工具。使用Wireshark的時候,我們有各種類型的工具可供選擇,從簡單的如顯示終端節點和會話到復雜的如Flow和IO圖表。本文將介紹基本網絡統計工具。包括:捕捉文件摘要(Summary),捕捉包的層次結構(Protocol Hirarchy),?會話(Conversations),?終端節點(Endpoints), HTTP。

更多信息

Summary:

從statistics菜單,選擇Summary

如下圖的截屏所示,你會看到:

File:

捕捉文件的一般信息,如文件名和路徑,長度,等等

Time:

第一個包和最后一個包的時間戳,以及抓包過程持續時間

Capture:

顯示文件捕捉于哪一個接口,以及評論窗口

在窗口的較低部分是Display窗口,展示抓包文件統計信息的摘要,包括:

捕捉報文的總數與百分比

顯示報文的數量(加上過濾條件之后)

標記報文的數量

何時使用:

這一菜單簡單收集所有抓包數據,在定義了過濾條件的時候,將呈現過濾后的數據。當想要知道每秒的平均報文數或是字節數時,可以使用此工具。

Protocol Hierarchy:

這一部分闡述如何確知網絡運行數據。從statistics菜單,選擇Protocol Hierarchy

這個窗口現實的是捕捉文件包含的所有協議的樹狀分支。如下圖所示:

Protocol Hierarchy窗口有如下字段:

Protocol:

協議名稱

% Packets:

含有該協議的包數目在捕捉文件所有包所占的比例

Packets:

含有該協議的包的數目

Bytes:

含有該協議的字節數

Mbit/s:

抓包時間內的協議帶寬

End Packets:

該協議中的包的數目(作為文件中的最高協議層)

End Bytes:

該協議中的字節數(作為文件中的最高協議層)

End Mbit/s:

抓包時間內的協議帶寬(作為文件中的最高協議層)

小貼士:

包通常會包含許多協議,有很多協議會在每個包中被統計。End Packets,End Bytes,End Mbit/s列是該層在抓包中作為最后一層協議的統計數據(也就是說,協議處于報文的頂層,并且沒有更高層信息了)。例如,沒有載荷的TCP報文(例如,SYN報文),這一類沒有負載任何上層信息的報文。這就是為什么在Ethernet層,IPv4層和UDP層報文計數為0,因為沒有接收到以這些協議作為最后一層的幀。

何時使用:

值得注意的兩點是:

百分比永遠指的是相同協議層級。例如,

使用要點:

1. Percentage永遠參照的是相同協議層。例如,上例中81.03%是IPv4報文,8.85%是IPv6報文,10.12%是ARP報文。第二層之上的各協議所占百分比總和是100%。

2.?另一方面,TCP占總數據的75.70%,在TCP協議之內,只有12.74%的報文是HTTP,除此之外沒有其他統計。這是由于Wireshark只統計有HTTP頭的報文。它不統計如確認報文或數據報文這樣沒有HTTP頭的報文。

3.?為了使Wireshark同時統計數據報文,例如,TCP報文內部的HTTP報文,關閉Allow sub-dissector選項,對TCP數據流重新統計。可在Preferences菜單或Packet Details面板中右鍵TCP來實現。

Conversations:

1.?在Statistics菜單中,選擇Coversations

2.?會看到以下窗口:

3.?可以選擇第2層以太網統計數據,第3層IP統計數據,或第4層TCP或UDP統計數據。

4.?可以選擇以下統計工具:

  • On layer 2(Ethernet):查找并過濾廣播風暴或
  • On layer 3 or 4(TCP/IP)通過互聯網路由器端口并行連接,查看誰在向ISP傳輸數據

小貼士:

如果你看到互聯網上某一IP地址通過端口80(HTTP)向外傳輸大量數據流,你就需要將該地址復制入瀏覽器并且查看你的用戶與哪一個網站通訊最多。

如果沒有得到結果,只需到標準DNS查詢站點(Google一下DNS lookup)查看哪一種流量占用了你的網線。

5.?也可以通過選擇位于窗口左下方的Limit to display filter復選框將會話統計信息進行顯示過濾。這樣,僅呈現所有通過顯示過濾條件的統計數據。

6.要查看IP地址對應名稱,可以選擇Name resolution復選框。要查看IP名稱解析,進入View | Name Resolution | Enable for Network layer進行激活。

7.?對于TCP或UDP,可以在Packet list中對指定報文進行標記,之后從菜單中選擇Follow TCP StreamFollow UDP Stream。從而定義一個顯示過濾條件,僅顯示指定數據流。

使用要點:

網絡會話是兩個指定終端之間的數據流。例如,IP會話是兩個IP地址之間的所有數據流,TCP會話包含了所有TCP連接。

通過Conversations列表,能看出很多網絡問題。

以太網會話統計

在Ethernet conversations statistics中,查找以下問題:

  • 大量的廣播風暴:可以看見較輕微的廣播風暴;而對于每秒數千甚至數萬個報文的嚴重廣播風暴,Wireshark會停止顯示數據并且屏幕凍結。只有斷開Wireshark連接時才能看見。
  • 如果你看到來自某一MAC地址的大量數據,查看會話第一部分的vendor ID,會給你一些導致問題的線索。即使MAC地址的第一部分標識了vendor,但它并不一定就標識了PC本身。這是由于MAC地址屬于PC上安裝的以太網芯片廠商,而并不一定屬于PC制造商。如果無法識別數據流來源地址,可以ping嫌疑地址并通過ARP獲取它的MAC地址,在交換機中查找該地址,如果有操作系統的話直接用find命令來定位。

IP會話統計

在IP conversations statistics中,查找以下問題:

  • 查看收發大量數據流的IP地址。如果是你知道的服務器(你記得服務器的地址或地址范圍),那問題就解決了;但也有可能只是某臺設備正在掃描網絡,或僅是一臺產生過多數據的PC。
  • 查看掃描模式(scan pattern)。這可能是一次正常的掃描,如SNMP軟件發送ping報文以查找網絡,但通常掃描都不是好事情。
  • 一次典型的掃描模式如下圖所示:

本例中的掃描模式,一個IP地址,192.168.110.58,發送ICMP報文至192.170.3.44, 192.170.3.45, 192.170.3.46, 192.170.3.47,等等(上圖僅顯示掃描的很小一部分)。這種情況下我們有一個蠕蟲病毒感染了網絡上的所有PC,在它感染PC的時候,它就開始產生ICMP請求并將它們發送至網絡。這些窄帶連接(例如:WAN連接)可以很容易地被封鎖。

TCP/UDP會話統計

  • 查看帶有太多TCP連接的設備。每一個PC合理的連接數是10到20個,上百個則是不正常的。
  • 嘗試查找無法辨識的端口號。它可能是正常的,但也可能是有問題的。下圖顯示了一次典型的TCP掃描:

Endpoints:

1.?從statistics菜單,選擇Endpoints

2.?出現以下窗口:

3.?此窗口中,能夠看到第2,3,4層的endpoints,也就是以太網,IP, TCP或UDP。

使用要點:

這一工具列出了Wireshark發現的所有endpoints上的統計信息。可以是以下任意一種情況:

  • 少量以太網endpoints(MAC地址)與大量IP終端節點(IP地址):可能的情況例如,一個路由器從很多遠端設備收發報文,我們會看見路由器的MAC地址及很多IP地址經由此處。
  • 少量IP終端節點與大量TCP終端節點:可能的情況是每一臺主機有很多個TCP連接。可能是有很多連接的服務器的一個正常操作,也可能是一種網絡攻擊(如SYN攻擊)。

以下是一個網絡中心的抓包示例,一個內部網絡有四個HP服務器和一個Cisco路由器,MAC地址的第一部分已經解析了廠商名稱:

當我們查看IPv4:191下的endpoints,我們看到有很多來自192.168.10.0, 192.168.30.0,以及其他網絡地址。

HTTP:

1.?從statistics菜單,選擇HTTP,將會出現以下窗口:

在HTTP子菜單中,可以看到以下信息:

Packet Counter:

每一個網站的報文數量。幫助識別有多少響應和請求。

Requests:

各網站的請求分布。

Load Distribution:

各網站的負載分布。

按照以下操作步驟查看Packet Counter統計信息:

1.?進入Statistics | HTTP | Packet Counter。

2.?顯示以下過濾窗口:

3.?此窗口中,可設置過濾條件以查看符合過濾條件的統計信息。如果想要查看整個抓包文件的統計信息,留白不填。這就會顯示IP層之上的統計信息,也就是所有HTTP報文。

4.?點擊Create Stat按鈕,會看到以下窗口:

如果要查看某一特定節點的HTTP統計信息,可以通過display filter的方式配置過濾條件。

按照以下操作步驟查看HTTP Requests統計信息:

1.?進入Statistics | HTTP | Requests,出現以下窗口:

2.?選擇所需過濾條件。對于所有數據,留白。

3.?點擊Create Stat按鈕,會出現以下窗口:

4.?要獲得指定HTTP主機的統計信息,設置過濾條件http.host contains <host_name>?或?http.host==<host_name>。

5.?例如,通過設置過濾條件http.host contains ndi-com.com,可以獲得站點?www.ndi-com.com的統計信息,如下圖所示:

6.?結果如下圖所示:

按照以下操作步驟查看Load Distribution統計信息:

1.?進入Statistics | HTTP | Load Distribution。

2.?出現以下窗口:

3.?選擇所需過濾條件。對于所有數據,留白。

4.?點擊Create Stat按鈕,會出現以下窗口:

使用要點:

當我們打開一個網頁,通常會向若干個URL發送請求。本例中,我們打開的其中一個網頁是www.cnn.com,并將我們導向edition.cnn.com。我們發送了若干個請求:到root URL,到breaking_news URL,以及主頁上兩個其他位置。

轉載于:https://www.cnblogs.com/daxiong2014/p/4382195.html

本文來自互聯網用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。
如若轉載,請注明出處:http://www.pswp.cn/news/257486.shtml
繁體地址,請注明出處:http://hk.pswp.cn/news/257486.shtml
英文地址,請注明出處:http://en.pswp.cn/news/257486.shtml

如若內容造成侵權/違法違規/事實不符,請聯系多彩編程網進行投訴反饋email:809451989@qq.com,一經查實,立即刪除!

相關文章

UIKit框架各個類的簡介

1.UIAcceleration: 被叫做加速事件的一個UIAcceleration類的實例是用來代表即時的三維加速數據。為了接收重力加速度&#xff0c;要注冊一個應用應用程序作為一個共享UIAccelerater對象的委托對象&#xff08;參考UIAcceleromete類&#xff09;。 2. UIAccelerater: UIAccelera…

php堆是什么,PHP 堆與堆排序的詳解

堆排序&#xff1a;堆排序是利用堆的性質進行的一種選擇排序。下面先討論一下堆。1.堆堆實際上是一棵完全二叉樹&#xff0c;其任何一非葉節點滿足性質&#xff1a;Key[i]<key[2i1]&&Key[i]<key[2i2]或者Key[i]>Key[2i1]&&key>key[2i2]即任何一非葉…

Odoo (OpenERP/TinyERP)-10.0 (Debian 8)

平臺&#xff1a; Ubuntu 類型&#xff1a; 虛擬機鏡像 軟件包&#xff1a; odoo-10.0commercial erp odoo open source openerp tinyerp服務優惠價: 按服務商許可協議 云服務器費用:查看費用 立即部署產品詳情 產品介紹Odoo https://www.odoo.com/ &#xff08;前Op…

iOS開發- 藍牙后臺接收數據(BLE4.0)

最近在做一個藍牙相關的項目, 需要在應用進入后臺, 或者手機屬于鎖屏狀態的情況下, 仍然保持藍牙連接, 并且能正常接收數據。 本來以后會很麻煩, 但是學習了下..發現就2步而已。簡單的不能再簡單了。 好了。下面是具體實現辦法。 1.在xxx-info.plist文件中, 新建一行 Required…

貪心(數據結構):COGS 468. [NOI2010]超級鋼琴

★★★☆ 輸入文件&#xff1a;piano.in 輸出文件&#xff1a;piano.out 簡單對比 時間限制&#xff1a;2 s 內存限制&#xff1a;512 MB 超級鋼琴 【問題描述】 小Z是一個小有名氣的鋼琴家&#xff0c;最近C博士送給了小Z一架超級鋼琴&#xff0c;小Z希望能夠用這架…

java實現選擇排序 帶打印,選擇排序算法的JAVA實現

選擇排序算法的JAVA實現package Utils.Sort;/***利用選擇排序法對數組排序&#xff0c;數組中元素必須實現了Comparable接口。*/public class ChooseSort implements SortStrategy{/***對數組obj中的元素以選擇排序算法進行排序*/public void sort(Comparable[] obj){if (obj …

angularjs初始化時不顯示模板內容, 不顯示html, 不顯示template

template的內容可能在需要的數據準備好之前就顯示出來了, ng-cloak可以解決這個問題 ng-cloak <div id"template1" ng-cloak>{{ hello }}</div> <div id"template2" class"ng-cloak">{{ world }}</div>

左右箭頭滑動列表

//slideshow 左右箭頭滑動一組li焦點圖 autoSlide();function autoSlide(){clearAutoSsetInterval(autoFunS,5000);}function autoFunS(){var loc$(".slideshow-box ul").css("left");if(loc"-2370px"){loc"1185";}var newlocparseInt…

20159206《網絡攻防實踐》第四周學習總結

20159206《網絡攻防實踐》第四周學習總結 教材學習內容總結 本章主要介紹了網絡嗅探和協議分析 網絡嗅探是一種常用的竊聽技術&#xff0c;利用計算機的網絡接口截獲目的地為其他計算機的數據報文&#xff0c;以監聽數據流中所包含的用戶賬戶密碼或私密信息等。 網絡泄灘具有很…

四六級php,詳解四六級查詢API+網頁

這個API是第三方API&#xff0c;第三方API的工作原理大都基于此&#xff0c;本文主要起一反三之作用&#xff0c;代碼的不處周之還望及時指出。開發環境&#xff1a;WinServer2012 php7.0 Apache2.4.8思路&#xff1a;向官方查詢界面傳遞參數&#xff0c;使用curl抓取結果網頁…

終于把joomla 的 protostar 模版的菜單,從垂直改到水平了

protostar-applying-menu-class-suffixes-horizontal-vs-vertical-menus.html joomla 3.7.5 附帶的這個template , 菜單丑的要死。 估計是新改的。 看網上的其他站點都沒這毛病。 最后終于找到解決方法了。“ nav-pills“ 前面是有空格的 To make the menu horizonal, you can …

Find non-overlap jobs with max cost

Given a set of n jobs with [start time, end time, cost] find a subset so that no 2 jobs overlap and the cost is maximum.Job: &#xff08;start_time, end_time] --- cost 如果只是求maxCost, 一維就可以做。 但是如果要知道有選了哪些job&#xff0c;則需要存成二維。…

php 跨區域,PHP跨時區的功能實現

現在有一個跨時區的應用&#xff0c;不同時區登錄的用戶需要看到自己時區的時間&#xff0c;同時也要能夠進行時區的切換。我的思路是&#xff0c;系統中所有存儲的時間都是GMT(UTC)時間&#xff0c;用戶登錄時&#xff0c;根據用戶所在的時區進行對應的顯示。首先了解一下PHP中…

js實現向上滾動效果

源碼&#xff1a;<style type"text/css"> #up_zzjs{border:1px solid #ccc;width:170px;height:182px;line-height:20px;overflow:hidden;} #up_zzjs #up_li{list-style-type:none;margin:0;padding:0;margin-left:6px;} /*系統支持ie8就選line-heigh…

利用數據的商業智能分析工具

商業智能可以定義為獲取和轉換原始數據的技術和工具&#xff0c;這些信息可以為業務運營提供有意義的好處。 商業智能的發展 商業智能&#xff08;BI&#xff09;是一個可追溯到19世紀中期的術語&#xff0c;基本上是一樣的定義。但作為結構化數據的自動化處理的參考&#xff0…

管理之道(三) - 不要吝惜贊美

多一句贊美 人們相互希望得越多&#xff0c;想要給予對方的越多……就必定越親密。   幾天前&#xff0c;我和一位朋友在紐約搭計程車&#xff0c;下車時&#xff0c;朋友對司機說&#xff1a;“謝謝&#xff0c;搭你的車十分舒適。”這司機聽了愣了一愣&#xff0c;然后說&a…

優酷視頻整段代理php,thinkphp仿優酷帶數據源碼|php仿優酷視頻源碼帶后臺功能強大...

本項目是仿優酷官網&#xff0c;優酷官網是一個集多種知識面為一體的網站&#xff0c;能全面的鍛煉我們的技能,所以我們決定仿優酷網。本項目后臺主要實現了&#xff1a;用戶管理、分類管理、視頻管理、評論管理、權限管理、輪播管理、網站配置和廣告管理以及登錄退出等模塊。前…

Centos7安裝Oracle JDK

查看Linux是否自帶的JDK&#xff0c;如有openJDK&#xff0c;則卸載1 java -version 1 rpm -qa | grep -E ^open[jre|jdk]|j[re|dk] 卸載openjdk1 su root 2 3 yum -y remove java java-1.7.0-openjdk 下載oracle jdk1 wget --no-cookies --header "Cookie: oraclelice…

前端每周清單第 30 期:WebVR 指南,Vue 代碼分割范式,理想的 React 架構特性

前端每周清單專注前端領域內容&#xff0c;以對外文資料的搜集為主&#xff0c;幫助開發者了解一周前端熱點&#xff1b;分為新聞熱點、開發教程、工程實踐、深度閱讀、開源項目、巔峰人生等欄目。歡迎關注【前端之巔】微信公眾號&#xff08;ID&#xff1a;frontshow&#xff…

Oracle(3)——Oracle圖形界面工具創建數據庫

具體操作步驟詳情&#xff1a; 1.圖形界面工具首界面 Database Configuration Assistant 點擊下一步 2.默認 點擊下一步 3.默認 點擊下一步 4.設置全局數據庫名、SID 為新建數據庫起一個“全局數據庫名”&#xff0c;比如這里對數據庫名和SID&#xff1a;FKXT 點擊下一步 5.設置…