文章目录
wireshark协议解析错误
原因:网络上的协议使用了不同标准时,wireshark解析错误,这时我们需要更改wireshark协议解析方式!
解决方法:根据包里的数据判断该数据包应该是使用什么协议,然后对该数据包设置使用正确的协议的解析器来解析。
因为wireshark是一款开源的软件,所以我们也可以分析wireshark软件的源代码来找出协议解析错误的原因哟~
查看两个主机通信过程
点击容易TCP数据包——右键——follow tcp stream
在该框不仅能查看两个主机通信过程还能实现文本搜索、保存文件、打印等功能。
查看所有数据包长度分布
通过一个捕获文件中数据包的长度情况来对流量进行分析,是对一个文件概览的很好方法,如果发现了很多大的数据包则很可能是进行了大量数据传输,如果绝大部分的数据包都很小可以认为这里面有很多的控制命令不存在大量数据传输。
选择菜单栏的统计——数据包长度——Create Stat
专家信息
因为整个网络中TCP信息都会被wireshark中的专家信息所记录,如丢包、网络阻塞等等,针对每个协议的解析器都会有专家信息,我们可以通过专家信息窗口查看使用该协议的数据包中的特定状态错误、警告以及提示等信息。这些状态可以分为四类:
专家信息窗口:点击Analyze——Export InfoComposite
TCP的14种专家模式
专家信息窗口出现的常见提示如下:
-
对话消息(Chat)
窗口更新(window update):由接收者发送,用来通知发送者TCP接收窗口的大小已经发生变化。
-
注意消息(Note)
retransmission(TCP重传):数据包丢失的结果。发生在收到重传的ACK,或者数据包的重传计时器超时的时候。
Duplicate ACK(重复ACK):当一台主机没有收到下一个期望序列号的数据包时,会生成最近一次收到的数据的重复ACK。
零窗口探查:在一个零窗口包被发送出去后,用来监视TCP接收窗口的状态。
保活ACK(ACK to Tcp keep-alive):用来响应保活数据包
零窗口探查ACK:用来响应零窗口探查数据包。
窗口已满:用来通知传输主机接受者的TCP窗口已满。 -
警告信息(Warn)
上一段丢失:指明数据包丢失。发生在当数据流中一个期望序列号被跳过时。
收到丢失数据包的ACK:发生在当一个数据包被确认丢失但在之后收到了这个已经被确认丢失的数据包的ACK数据包。
保活:当一个连接的保活数据出现时触发。
零窗口:当接收方已经达到TCP接收窗口大小时,发出一个零窗口通知,要求发送方停止传输数据。
乱序:当数据包被乱序接收时,会利用序列号进行检测。 -
错误信息(Error)
Packet size limited during capture:说明被标记的那个数据包没有抓全。
Wireshark命令行模式
在实际的分析中,为了得到精准的分析结果,往往需要通过编写脚本程序来实现我们的目的。在 Wireshark 程序目录中,包含两个命令行捕获工具。这两个工具分别是 Dumpcap 和 Tshark。当不能以图形界面方式捕获数据时,可以在命令行使用 dumpcap 或 tshark 程序实施捕获。
使用命令行优势
环境:虚拟机,如kali
功能:tshark.exe和dumpcap命令行工具就能用来引入相关脚本程序
位置:在安装wireshark目录下会有tshark.exe、dumpcap.exe工具以及两款工具的帮助信息
运行tshark.exe或dumpcap.exe:
Tshark.exe
常用操作如下:
1、在kali的终端
2、切换到 Wireshark 目录,执行 tshark -D
命令,查看可用的接口
3、开始捕获数据。
如:文件路径为e:\file\Wireshark\,文件名为mytshark.pcapng,指定捕获4号接口,捕获3个文件后自动停止,10秒后捕获下一个文件。tshark -i4 -a files:3 -b duration:10 -w e:\file\Wireshark\mytshark.pcapng
4、查看生成的捕获文件
dir e:\file\Wireshark\mytshark*
其中文件路径为e:\file\Wireshark\,文件名为mytshark.pcapng
5、查找含某个字符串的数据包
在kali的控制台中输入命令行tshark -r 文件路径/文件名称 | grep -e 查找的字符
,回车
如:
Dumpcap.exe
常用操作如下:
进入控制台再命令进入Dumpcap.exe文件目录下
1、查看参数详情dumpcap -h
2、查看本机可用的接口dumpcap -D
3、捕获数据,可以使用-c 或 -a选项指定停止捕获数据包的条件。
如:捕获第2个接口上的数据,并且当捕获文件达到100KB时自动停止捕获,文件路径为e:\file\Wireshark\,文件名为mytshark.pcapng,命令dumpcap -i 2 -a filesize:100 -w e:\file\Wireshark\myshark.pcapng
4、查看生成捕获文件 myshark.pcapng 的大小。dir e:\file\Wireshark\myshark.pcapng
利用命令行对捕获文件进行调优分析
进行性能调优主要是对Summary(概述信息)、Service Response Time(服务响应时间)以及Expert Info Composite(专家信息整合)的内容进行分析
- Summary(概述信息)可以通过capinfos.exe进行查询
- Service Response Time(服务响应时间)获取则需要视不同的协议而定。
和其它软件一样,命令行往往比图形界面快得多。
比如现在有一个捕获文件,里面有众多的数据包,但是我只对IP地址为74.125.23.102的数据包感兴趣。
掌握命令行工具的常用命令
统计重传的状况:使用tcp.analysis.retransmission命令:
tshark -n -q -r 所分析文件路径\分析文件名称 -z "io,stat,0,tcp.analysis.retransmission"
如果想查看乱序的情况,使用命令:
tshark -n -q -r 所分析文件路径\分析文件名称 -z "io,stat,0,tcp.analysis.out_of_order"
查看会话信息:利用”conv,xxx”就可以做到。其中的xxx可以是tcp、udp或者ip。比如查看TCP的会话信息:
tshark -n -q -r 所分析文件路径\分析文件名称 -z "conv,tcp"
最后,如果我们遇到了一个非常大的捕获文件,使用tshark无法打开该怎么办?
以上是我整理wireshark知识的第二份笔记,记录下来温故知新,希望也能帮助到你~