wireshark是一款功能强大的网络抓包分析工具,用它来排查故障、分析攻击类型等,可以更快理解和发现问题,下面来看看绿盟科技的工程师给出的wireshark教程
为了便于理解在整个tcp会话期间,tcp 的seq号和ack号的工作过程,可使用wireshark的绘制流功能,选择菜单栏中的 statistics ->flow graph…->tcp flow ,会自动创建一个tcp流的图形。
每行代表一个数据包,左边列显示时间,中间列显示包的方向、tcp端口、包的负载长度和设置的标志位,右边列以10进制的方式显示相关seq号/ack号。
wireshark默认展示的是相对seq号/ack号,相对seq号/ack号是和tcp会话的初始序列号相关联的。跟真实seq号/ack号相比,跟踪更小的相对seq号/ack号会相对容易一些。
如果想要关闭相对序列号/确认号,可以选择wireshark菜单栏中的 edit -> preferences ->protocols ->tcp,不勾选relative sequence number选项即可。
包的拆解大家可能都已经很熟悉了,数据包保存时,在对话框下面有一些保存选项,这里可以设置按什么方将包拆解。选好后填好文件名保存即可完成拆解。
包的拼接,点击wireshark的file->merge,然后选中一个将要被拼接的包,在该对话框下面设置接接方式和显示过滤器等。如图:
以一个数据包的时间为基准,后面的数据包显示都是以这个数据包的时间作为基准,这种方式常用于对网络延时的响应判断,是判断服务器还是客户端还是线路的延迟,来解决网络速度问题。有时数据包丢失并非延迟造成,当两台主机间通信很慢时,并没有tcp 重传或者重复ack 特征,这时需要查看初始连接握手以及接下来的两个数据包。以相对时间显示来查看数据包的延迟情况。
使用statistics –> protocol hierarchy statistics,此信息显示的是抓包文件包含的所有协议的树状分支。数据包通常会包含许多协议,有很多协议会在每个包中被统计。end packets,end bytes,end mbit/s列是该层在抓包中作为最后一层协议的统计数据,percentage参照的是相同协议层的百分比。
网络会话是两个指定终端之间的数据流,使用statistics—>converstations统计功能分析协议,通过conversations列表,能看出很多网络问题。
第3层ip统计数据,ip会话是两个ip地址之间的所有数据流,观察源ip和目的ip分布规律可知道ip地址请求报文分布,点击每列表头可得到排序;也可知道包大小,字节大小。通过字节分布,看看是小包攻击还是应用层攻击。
第4层tcp或udp统计数据:看看主要是tcp攻击还是udp数据包,此列表主要分析tcp的链接次数、源端口和目的端口分布规律,是固定还是随机的。比如每一个pc合理的连接数是10到20个,上百个则是不正常的。
选择菜单栏中的 statistics ->endpoints ,分析ip地址的pps和bps,以及统计每个端点的地址、发送或收到的数据包的数量和字节。少量ip终端节点与大量tcp终端节点:可能的情况是每一台主机有很多个tcp连接,进而推测可能是网络攻击。
使用statistics—ip statistics—ip addresss,分析ip地址的排序和百分比
使用statistics—summary得到数据包当前的包数、字节大小、pps或者bps等信息,以判断攻击流量的大小。
使用statistics-http-packet counte、可以看到http get和post数据包分布规律,发现数据包大部分是get。
使用statistics-http-requests可以看到请求url分布过来,发现get请求的url集中在极个别的url上面,url带有明显特征。
另外再看看get数据是否有代理字段等信息。
wireshark使用教程后续学习到新的小技巧,我们再继续 ^_^。
原文发布时间:2017年3月24日
本文由:绿盟科技博客 发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/wireshark-tutorial
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站