wireshark使用教程

网络会话TCP流绘制

为了便于理解在整个TCP会话期间，TCP 的Seq号和Ack号的工作过程，可使用Wireshark的绘制流功能，选择菜单栏中的 Statistics ->Flow Graph…->TCP flow ，会自动创建一个TCP流的图形。

每行代表一个数据包，左边列显示时间，中间列显示包的方向、TCP端口、包的负载长度和设置的标志位，右边列以10进制的方式显示相关Seq号/Ack号。

Wireshark默认展示的是相对Seq号/Ack号，相对Seq号/Ack号是和TCP会话的初始序列号相关联的。跟真实Seq号/Ack号相比，跟踪更小的相对Seq号/Ack号会相对容易一些。

如果想要关闭相对序列号/确认号，可以选择Wireshark菜单栏中的 Edit -> Preferences ->protocols ->TCP，不勾选Relative sequence number选项即可。

网络数据包的拼接与拆解

包的拆解大家可能都已经很熟悉了，数据包保存时，在对话框下面有一些保存选项，这里可以设置按什么方将包拆解。选好后填好文件名保存即可完成拆解。

包的拼接，点击Wireshark的File->Merge，然后选中一个将要被拼接的包，在该对话框下面设置接接方式和显示过滤器等。如图：

相对时间显示

以一个数据包的时间为基准，后面的数据包显示都是以这个数据包的时间作为基准，这种方式常用于对网络延时的响应判断，是判断服务器还是客户端还是线路的延迟，来解决网络速度问题。有时数据包丢失并非延迟造成，当两台主机间通信很慢时，并没有TCP 重传或者重复ACK 特征，这时需要查看初始连接握手以及接下来的两个数据包。以相对时间显示来查看数据包的延迟情况。

网络协议统计分层信息

使用statistics –> protocol hierarchy statistics，此信息显示的是抓包文件包含的所有协议的树状分支。数据包通常会包含许多协议，有很多协议会在每个包中被统计。End Packets，End Bytes，End Mbit/s列是该层在抓包中作为最后一层协议的统计数据，Percentage参照的是相同协议层的百分比。

网络会话列表

网络会话是两个指定终端之间的数据流，使用statistics—>converstations统计功能分析协议，通过Conversations列表，能看出很多网络问题。

第3层IP统计数据，IP会话是两个IP地址之间的所有数据流，观察源ip和目的ip分布规律可知道ip地址请求报文分布，点击每列表头可得到排序；也可知道包大小，字节大小。通过字节分布，看看是小包攻击还是应用层攻击。

第4层TCP或UDP统计数据：看看主要是tcp攻击还是udp数据包，此列表主要分析tcp的链接次数、源端口和目的端口分布规律，是固定还是随机的。比如每一个PC合理的连接数是10到20个，上百个则是不正常的。

网络端点列表

选择菜单栏中的 Statistics ->Endpoints ，分析IP地址的pps和bps，以及统计每个端点的地址、发送或收到的数据包的数量和字节。少量IP终端节点与大量TCP终端节点：可能的情况是每一台主机有很多个TCP连接，进而推测可能是网络攻击。

ip地址统计列表

使用Statistics—IP Statistics—IP addresss，分析IP地址的排序和百分比

summary统计信息

使用statistics—summary得到数据包当前的包数、字节大小、pps或者bps等信息，以判断攻击流量的大小。

应用层数据包分析

使用statistics-http-packet counte、可以看到http get和post数据包分布规律，发现数据包大部分是get。

使用statistics-http-requests可以看到请求url分布过来，发现get请求的url集中在极个别的url上面，url带有明显特征。

另外再看看get数据是否有代理字段等信息。

wireshark使用教程后续学习到新的小技巧，我们再继续 ^_^。