网站建设怎样可以快速,南昌seo排名技术,wordpress多图片,网站用哪个做中午好#xff0c;我的网工朋友。抓包工具Wireshark大家都知道#xff0c;它可以截获和分析网络数据封包#xff0c;检测网络上的问题#xff0c;比如网络延迟、数据丢失、拥堵等#xff0c;以及评估网络性能。 当网络里发现恶意攻击、某人下载流量过大、设备互联丢包、协…中午好我的网工朋友。抓包工具Wireshark大家都知道它可以截获和分析网络数据封包检测网络上的问题比如网络延迟、数据丢失、拥堵等以及评估网络性能。 当网络里发现恶意攻击、某人下载流量过大、设备互联丢包、协议交互失败等等情况时通过Wireshark抓包定位问题根源是最直接有效的手段。 虽然Wireshark功能强大但是很多网工使用时一知半解会碰到许多问题。 比如问题出现时间极不固定甚至10天才出现一次你会一直守着抓数据流量太大才抓几秒钟就达到了几百兆的抓包文件然后系统卡死要怎样操作报文抓到了但是报文杂乱无章该从何看起……
如果你也有以上问题那这篇文章你一定要看。今日文章阅读福利《 Wireshark网络分折-全套经典书籍.pdf 》 搭配这篇我还给你准备了两本关于Wireshark的经典书籍。私信我发送暗号“Wireshark”即可获取书籍资料。
01 过滤器捕获技巧
我们都知道wireshark可以实现本地抓包同时Wireshark也支持remote packet capture protocolrpcapd协议远程抓包只要在远程主机上安装相应的rpcapd服务例程就可以实现在本地电脑执行wireshark 捕获远程电脑的流量了。 有些网工可能会出现这种情况在某企业网发现外网用户telnet到出口设备不定时出现回显不全所以决定抓取telnet数据包分析。 用Wireshark捕获了接口所有数据包2分钟后抓包的电脑死机了由于流量很大有用的数据包却一个都没有。 这时候捕获过滤器只捕获特定的流量或者不捕获某些流量而捕获其他所有的流量就显得很有必要。 使用过滤器的操作步骤如下 1依次打开“捕获”→“选项”选择对应的抓包接口“所选择接口的捕获过滤器”栏输入过滤表达式如下图 2在捕获数据包的窗口中可以看到经过捕获过滤器后的数据包如下图 3捕获过滤表达式的格式【逻辑运算】【协议】【方向】【类型】【值】 逻辑运算and、or、not 协议ether、ip、icmp、arp、tcp、udp等 方向src、dst、src and dst、src or dst 类型host、net、port、portrange等 常用的捕获过滤表达式如下表 02 过滤器显示技巧
在使用wireshark的过程中因为要在大量的包中找到自已要的包所以显示过滤器的使用是必不可少的。 有一些情况下比如在某城域网出口路由器上发现很多telnet尝试登录失败的日志在出口开启抓包2小时后得到100M的抓包文件筛选出了全部telnet的数据包分析。 如果逐个去找要浪费很多时间而使用显示过滤器便可得心应手。 1Wireshark打开抓包文件后在“显示过滤器”栏输入过滤表达式便可得到经过显示过滤器后的数据包如下图 2磨刀不误砍柴工常用的显示过滤表达式如下表 03 借用命令行进行长时间抓包
有些企业用户可能会遇到认证服务器侧提示计费服务器down掉的问题复现的周期是7天决定通过抓包判断是接入设备和服务器之间链路问题导致还是服务器未及时处理radius报文导致。 在iMC服务器网卡抓包2个小时后发现Wireshark挂死辛辛苦苦抓下来的包还没保存就没了。 碰到这种情况时用命令行抓包一招就能搞定它是直接写硬盘不会造成内存溢出问题和进程挂死操作步骤如下 1ipconfig查看抓包网卡的描述如下图 2cd切换到Wireshark的安装目录下tshark -D查看抓包网卡索引号如下图 3输入tshark命令开启抓包 第一种情况是问题出现的时间不确定频率较低几小时或几天出一次硬盘空间有限我们采用循环抓包法持续抓包生成指定个数和指定大小文件超过指定文件个数就覆盖循环利用硬盘空间。 例如抓包文件大小每100KB后自动新建一个文件文件个数为10个保存到D盘根目录超过后自动替换共占用1M空间输入命令“tshark -b filesize:100 -b files:10 -w d:/yhy1m10.pcap -i 1”-b 循环抓包Filezise:每个分包大小KBFiles:总分包个数-w 保存的文件路径及文件名称-i 网卡接口号如下图 第二种情况是问题定位需要长时间抓包硬盘的空间足够希望分析抓包网卡全部数据我们可以采用持续抓包法持续抓包不断生成指定大小文件直到硬盘空间满了为止。 例如每个文件大小20M保存到D盘根目录输入命令“tshark -b filesize:2000 -w d:/ yhy20m.pcap -i 1 ”待问题复现后ctrlc停止抓包。 4到指定文件目录下获取抓包文件分析即可下图是循环抓包的文件 04 将TXT文件转为pcap文件
假如你在某电站发现上送设备CPU的报文总是超时打开调试开关得到原始二进制数据调试信息一脸茫然两眼发愣如下图 那么给你.pcap的抓包文件打开看看你可以发现报文各字段一目了然如下图 如果你还不熟悉如何使用的话步骤给你准备好了 1将调试信息保存为.txt文件放到Wireshark的安装根目录 2cd命令切换到Wireshark的安装根目录如下图 3调用text2pcap.exe程序将.txt文件转换为.pcap文件如下图 05 过滤器捕获技巧
如果你喜欢分析数据包打开抓包文件后经常发现显示窗口列是重叠如下图源目ip地址都看不完整 当然可以手工拉动来调整但不够美观且耗费时间也许你可以试下快捷键ctrlshiftR自动调整列框或者“视图”→“ 调整列宽”既美观又省时省力如下图 06 过滤器捕获技巧 处理认证异常问题时需要分析radius报文交互情况。先画图再将报文一个一个标注出来然后对比标准协议交互过程来分析。 要是协议复杂报文数目众多想画图标注就很费劲可能还看不清楚。 Wireshark中流量图工具就可以帮助完成这个画图标注过程打开抓包文件后“统计”→“流量图”“显示”选“显示的分组”如下图对比标准radius协议交互过程就能清晰看出哪个过程有问题。 07 过滤器捕获技巧 有些小伙伴在部署WLAN时使用Wirelessmon扫描可能会发现有个别MAC地址为00:74:9C开头的无线SSID和自己工作在同一信道功率很大对自己的干扰很大。 如果你想知道是哪个厂商的APMAC地址前3个字节是设备厂商标识符可以通过它来确定所属厂商。 此时Wireshark安装目录下的manuf文件就能够发挥作用查询可以发现00:74:9C对应的是R厂商如下图 08 抓包文件数据包统计分析
某商场网络流量异常负责项目的你到现场后先用Wireshark抓包15分钟分析时发现数据包有80M手工统计的话效率太低粗略浏览凭感觉又不靠谱怎么破网 络 工 程 师 俱 乐 部 强大的Wireshark还是有招应对的“统计”→“会话”分别按数据包个数和字节大小统计很快可以看到是哪些ip地址之间的流量是最大的后续重点排查这些ip即可如下图10.63.16.77和10.88.14.119流量是最大的。 09 报文数据字段解码
如果你在某火车站排查服务器一直收不到防火墙发出userlog日志问题想确认一下是服务器无法解析还是userlog数据包没有到服务器于是在服务器网卡开启抓包观察 1乍看一眼不是userlog数据包看山不是山如下图 2注意查看防火墙上userlog的端口不是默认的你恍然大悟“分析”→“解码为”选择端口和对应的协议userlog如下图 3你清晰地看到了userlog数据包的各字段如下图看山还是山服务器收到了userlog数据包只是无法解析。 10 抓包文件“瘦身”技巧
勤奋的你最近在学习http协议需要从50M的抓包文件中筛选出http协议保存出来更精巧地插入word文档中方便查阅。 1使用显示过滤器过滤后数据包还是比较多“文件”→“导出特定分组”选择“all packets”和“displayed”保存如下图 2如果仅需要保存个别数据包“标记分组”→“ 文件”→“ 导出特定分组”选择“marked packets”和“displayed”保存如下图 整理老杨丨10年资深网络工程师更多网工提升干货请关注公众号网络工程师俱乐部
