wireshark是一款功能強大的網絡抓包分析工具,用它來排查故障、分析攻擊類型等,可以更快了解和發現問題,下面來看看綠盟科技的工程師給出的wireshark教程
為了便于了解在整個tcp會話期間,tcp 的seq号和ack号的工作過程,可使用wireshark的繪制流功能,選擇菜單欄中的 statistics ->flow graph…->tcp flow ,會自動建立一個tcp流的圖形。
每行代表一個資料包,左邊列顯示時間,中間列顯示包的方向、tcp端口、包的負載長度和設定的标志位,右邊列以10進制的方式顯示相關seq号/ack号。
wireshark預設展示的是相對seq号/ack号,相對seq号/ack号是和tcp會話的初始序列号相關聯的。跟真實seq号/ack号相比,跟蹤更小的相對seq号/ack号會相對容易一些。
如果想要關閉相對序列号/确認号,可以選擇wireshark菜單欄中的 edit -> preferences ->protocols ->tcp,不勾選relative sequence number選項即可。
包的拆解大家可能都已經很熟悉了,資料包儲存時,在對話框下面有一些儲存選項,這裡可以設定按什麼方将包拆解。選好後填好檔案名儲存即可完成拆解。
包的拼接,點選wireshark的file->merge,然後選中一個将要被拼接的包,在該對話框下面設定接接方式和顯示過濾器等。如圖:
以一個資料包的時間為基準,後面的資料包顯示都是以這個資料包的時間作為基準,這種方式常用于對網絡延時的響應判斷,是判斷伺服器還是用戶端還是線路的延遲,來解決網絡速度問題。有時資料包丢失并非延遲造成,當兩台主機間通信很慢時,并沒有tcp 重傳或者重複ack 特征,這時需要檢視初始連接配接握手以及接下來的兩個資料包。以相對時間顯示來檢視資料包的延遲情況。
使用statistics –> protocol hierarchy statistics,此資訊顯示的是抓封包件包含的所有協定的樹狀分支。資料包通常會包含許多協定,有很多協定會在每個包中被統計。end packets,end bytes,end mbit/s列是該層在抓包中作為最後一層協定的統計資料,percentage參照的是相同協定層的百分比。
網絡會話是兩個指定終端之間的資料流,使用statistics—>converstations統計功能分析協定,通過conversations清單,能看出很多網絡問題。
第3層ip統計資料,ip會話是兩個ip位址之間的所有資料流,觀察源ip和目的ip分布規律可知道ip位址請求封包分布,點選每清單頭可得到排序;也可知道包大小,位元組大小。通過位元組分布,看看是小包攻擊還是應用層攻擊。
第4層tcp或udp統計資料:看看主要是tcp攻擊還是udp資料包,此清單主要分析tcp的連結次數、源端口和目的端口分布規律,是固定還是随機的。比如每一個pc合理的連接配接數是10到20個,上百個則是不正常的。
選擇菜單欄中的 statistics ->endpoints ,分析ip位址的pps和bps,以及統計每個端點的位址、發送或收到的資料包的數量和位元組。少量ip終端節點與大量tcp終端節點:可能的情況是每一台主機有很多個tcp連接配接,進而推測可能是網絡攻擊。
使用statistics—ip statistics—ip addresss,分析ip位址的排序和百分比
使用statistics—summary得到資料包目前的包數、位元組大小、pps或者bps等資訊,以判斷攻擊流量的大小。
使用statistics-http-packet counte、可以看到http get和post資料包分布規律,發現資料包大部分是get。
使用statistics-http-requests可以看到請求url分布過來,發現get請求的url集中在極個别的url上面,url帶有明顯特征。
另外再看看get資料是否有代理字段等資訊。
wireshark使用教程後續學習到新的小技巧,我們再繼續 ^_^。
原文釋出時間:2017年3月24日
本文由:綠盟科技部落格 釋出,版權歸屬于原作者
原文連結:http://toutiao.secjia.com/wireshark-tutorial
本文來自雲栖社群合作夥伴安全加,了解相關資訊可以關注安全加網站