晚上好,我的网工朋友。
都懂哈,wireshark是个啥我就不多赘述了,软件功能十分强大就对了。
想安装的可以戳这里:《wireshark下载&安装 》
wireshark作为网工的得力助手,你知道哪些使用技巧?
今天就给你分享8个常用的Wireshark使用技巧,一看就会。
今日文章阅读福利:《Wireshark工具的使用与TCP数据包分析实验》
如果是处理 HTTP,HTTPS 大家还是用还是用 Fiddler,但如果是其他协议比如 TCP,UDP,还是用wireshark。
今天给你准备了一份Wireshark和TCP的实验分析给你,扫码发送暗号“实验”,获取资料。
前30名粉丝 免费加入交流群
01
数据包过滤
a. 过滤需要的IP地址 ip.addr==
b. 在数据包过滤的基础上过滤协议ip.addr==xxx.xxx.xxx.xxx and tcp
c. 过滤端口ip.addr==xxx.xxx.xxx.xxx and http and tcp.port==80
d. 指定源地址 目的地址ip.src==xxx.xxx.xxx.xxx and ip.dst==xxx.xxx.xxx.xxx
e. SEQ字段(序列号)过滤(定位丢包问题)
TCP数据包都是有序列号的,在定位问题的时候,我们可以根据这个字段来给TCP报文排序,发现哪个数据包丢失。
SEQ分为相对序列号和绝对序列号,默认是相对序列号显示就是0 1不便于查看,修改成绝对序列号方法请参考第三式。
02
修改数据包时间显示方式
有些同学抓出来的数据包,时间显示的方式不对,不便于查看出现问题的时间点,可以通过View---time display format来进行修改。
修改前:
修改后:
03
确认数据报文顺序
有一些特殊情况,客户的业务源目的IP 源目的端口 源目的mac 都是一样的,有部分业务出现业务不通,我们在交换机上做流统计就不行了,如下图网络架构。
箭头是数据流的走向,交换机上作了相关策略PC是不能直接访问SER的。
那我们在排查这个问题的时候,我们要了解客户的业务模型和所使用得协议,很巧合这个业务是WEB。
我们从而知道TCP报文字段里是有序列号的,我们可以把它当做唯一标示来进行分析,也可以通过序列号进行排序。
一般抓出来的都是相对序列号0 1不容易分析,这里我们通过如下方式进行修改为绝对序列号。
Edit-----preference------protocols----tcp---relative sequence numbers
修改参数如下:
我拿TCP协议举例。
把TCP的这个选项去除掉。
最后的效果:
04
过滤出来的数据包保存
我们抓取数据包的时候数据量很大,但对于我们有用的只有几个,我们按条件过滤之后,可以把过滤后的数据包单独保存出来,便于以后来查看。
05
数据包计数统计
网络里有泛洪攻击的时候,我们可以通过抓包进行数据包个数的统计,来发现哪些数据包较多来进行分析。
Statistics------conversations
06
数据包解码
IPS发送攻击日至和防病毒日志信息端口号都是30514,SecCenter上只显示攻击日志,不显示防病毒日志。
查看IPS本地有病毒日志,我们可以通过在SecCenter抓包分析确定数据包是否发送过来。
发过来的数据量比较大,而且无法直接看出是IPS日志还是AV日志,我们先把数据包解码。
(由于没有IPS的日志抓包信息,暂用其他代替)
解码前:
解码操作:
解码后:
07
TCP数据报文跟踪
查看TCP的交互过程,把数据包整个交互过程提取出来,便于快速整理分析。
08
通过Wireshark来查看设备的厂家
查看无线干扰源的时候,我们可以看出干扰源的mac地址,我们可以通过Wireshark来查找是哪个厂商的设备,便于我们快速寻找干扰源。
例如:mac地址是A4-4E-31-30-0B-E0
我们通过Wireshark安装目录下的manuf文件来查找。
文章声明
本文素材整理自网络,由网络工程师俱乐部排版成文,转载请注明出处,侵删。
策划制作
策划:一为 丨 监制:山城
编辑:一为 丨 封面图来源:Pexels及网络,侵删
熟悉老杨的小伙伴都知道,只要有空,我答疑都是免费的,不收任何粉丝的红包。
但是,为了筛选出一批真正想跟老杨学习网络的粉丝小友,给你提供一个干净高效的网络圈子,真正回归技术交流;由资深网工老杨带头发起网工圈子[网络工程师俱乐部]知识星球,面向ICT行业技术从业者们。
与1000+网工一起分享技术、经验、资源。星球内有海量项目案例分享、大佬实战经验分享、1v1有问必答、网工岗位内推、还有N多实用工具和资料干货,囊括了各种技术知识点,行业数据分析报告等等。
如果你对网络感兴趣,或者正在学习网络,欢迎加入我的网工高质量交流圈。
如何加入知识星球?