这篇记录一些 Wireshark 的使用操作,有兴趣的建议看看 《Wireshark网络分析就这么简单》 写的很好,有趣能看进去。
Wireshare 是一个常用的并且很强大网络包分析软件,可以抓包也可以导入tcpdump的导出数据分析。pcap 这个后缀的文件可以用 wireshark 分析。
过滤包
我们打开 Wireshark 后会列出所有的网络接口,可以双击我们需要抓包的网络接口,有个红色的图表点击就会暂停抓取,或者把抓包结果直接拖进来进行分析。但是很多时候会有非常多的包,需要过滤。
包号过滤
frame.number > 23160
ip和端口过滤
如果过滤条件语句写法不对,输入框会是红色的,不过可以继续写,结束还是红的表示不对
# 与 192.0.2.1 交互,并且端口不在 不是80 和 25
ip.addr == 192.0.2.1 and not tcp.port in {80,25}
延迟确认
获取超过200毫秒的确认包
tcp.analysis.ack_rtt >0.2 && tcp.len==0
TCP连接失败
建议在客户端和服务器都抓包
在启用Relative Sequence Numbers的情况下,获取握手被对方拒绝的包,例如访问未监听的端口
tcp.flags.reset==1 && tcp.seq==1
过滤重传的握手请求
tcp.flags.syn==1 && tcp.analysis.retransmission
然后再右键,追踪流(TCP) Fllow TCP Stream
常用操作
分析》专家信息》(Analysis > Expert Info)
Charts
关于正常通信的基本信息
1、窗口更新(window update):由接收者发送,用来通知发送者TCP接收窗口的大小已经发生变化
Note
正常通信时的异常数据包
1、TCP重传(retransmission):数据包丢失的结果。发生在收到重传的ACK,或者数据包的重传计时器超时的时候。
2、重复ACK(Duplicate ACK ):当一台主机没有收到下一个期望序列号的数据包时,会生成最近一次收到的数据的重复ACK
3、零窗口探查:在一个零窗口包被发送出去后,用来监视TCP接收窗口的状态
4、保活ACK(ACK to Tcp keep-alive):用来响应保活数据包
5、零窗口探查ACK:用来响应零窗口探查数据包
6、窗口已满:用来通知传输主机接受者的TCP窗口已满
Warning
不是正常通信中的异常数据包
1、上一段丢失:指明数据包丢失。发生在当数据流中一个期望序列号被跳过时。
2、收到丢失数据包的ACK:发生在当一个数据包被确认丢失但在之后收到了这个已经被确认丢失的数据包的ACK数据包
3、保活:当一个连接的保活数据出现时触发
4、零窗口:当接收方已经达到TCP接收窗口大小时,发出一个零窗口通知,要求发送方停止传输数据
5、乱序:当数据包被乱序接收时,会利用序列号进行检测
6、快速重传输:一次重传会在收到一个重复ACK的20毫秒内进行
Error
数据包中的错误,或者解析器解析时的错误
wireshark三板斧
Statistics >> Summary (统计》捕获文件属性)
Analysis >> Expert Infos (分析》专家信息)
Statistics >> Tcp Stream Graph >> Tcp Sequence Graph(Stevens) (统计》TCP流图形》时间序列)
查看 统计》协议分级统计
可以查看协议所属层级以及协议关联关系
常见信息:
- TCP Out-of-Order 乱序
- TCP Dup ACK 重复ACK
- TCP Fast retransmission 快速重传
- TCP retransmission 超时重传
- TCP zerowindow 缓存区已满,发送这个包的地址暂时不能接收数据
- TCP window Full 把对方发送窗口耗尽,暂时无法发送数据
其他
1500 MTU探测
ping serverip -l 1472 -f 可以测试MTU大致的值,前提是ICMP未被禁用
因为1472+8(ICMP头)+20(IP头) = 1500
-f 表示DF(Don't fragment 不要分片),大于MTU并且不分片就会被丢弃
注意看TTL,表示包经过的路由次数,可以定位包的发送过来的设备,初始值一般是64
Linux 上抓包
tcpdump -i eth0 -n tcp port 80 抓取eth0 的80口的TCP协议
远程后台执行 sudo nohup tcpdump -i eth0 -w test.pcap >/dev/null 2>&1 &