Linux 网络分析 Wireshark

这篇记录一些 Wireshark 的使用操作,有兴趣的建议看看 《Wireshark网络分析就这么简单》 写的很好,有趣能看进去。

Wireshare 是一个常用的并且很强大网络包分析软件,可以抓包也可以导入tcpdump的导出数据分析。pcap 这个后缀的文件可以用 wireshark 分析。

过滤包

我们打开 Wireshark 后会列出所有的网络接口,可以双击我们需要抓包的网络接口,有个红色的图表点击就会暂停抓取,或者把抓包结果直接拖进来进行分析。但是很多时候会有非常多的包,需要过滤。

包号过滤

frame.number > 23160

ip和端口过滤

如果过滤条件语句写法不对,输入框会是红色的,不过可以继续写,结束还是红的表示不对

# 与 192.0.2.1 交互,并且端口不在 不是80 和 25 
ip.addr == 192.0.2.1 and not tcp.port in {80,25}

延迟确认

获取超过200毫秒的确认包

tcp.analysis.ack_rtt >0.2 && tcp.len==0

TCP连接失败

建议在客户端和服务器都抓包

在启用Relative Sequence Numbers的情况下,获取握手被对方拒绝的包,例如访问未监听的端口

tcp.flags.reset==1 && tcp.seq==1

过滤重传的握手请求

tcp.flags.syn==1 && tcp.analysis.retransmission

然后再右键,追踪流(TCP) Fllow TCP Stream

常用操作

分析》专家信息》(Analysis > Expert Info)

Charts

关于正常通信的基本信息

1、窗口更新(window update):由接收者发送,用来通知发送者TCP接收窗口的大小已经发生变化

Note

正常通信时的异常数据包

1、TCP重传(retransmission):数据包丢失的结果。发生在收到重传的ACK,或者数据包的重传计时器超时的时候。

2、重复ACK(Duplicate ACK ):当一台主机没有收到下一个期望序列号的数据包时,会生成最近一次收到的数据的重复ACK

3、零窗口探查:在一个零窗口包被发送出去后,用来监视TCP接收窗口的状态

4、保活ACK(ACK to Tcp keep-alive):用来响应保活数据包

5、零窗口探查ACK:用来响应零窗口探查数据包

6、窗口已满:用来通知传输主机接受者的TCP窗口已满

Warning

不是正常通信中的异常数据包

1、上一段丢失:指明数据包丢失。发生在当数据流中一个期望序列号被跳过时。

2、收到丢失数据包的ACK:发生在当一个数据包被确认丢失但在之后收到了这个已经被确认丢失的数据包的ACK数据包

3、保活:当一个连接的保活数据出现时触发

4、零窗口:当接收方已经达到TCP接收窗口大小时,发出一个零窗口通知,要求发送方停止传输数据

5、乱序:当数据包被乱序接收时,会利用序列号进行检测

6、快速重传输:一次重传会在收到一个重复ACK的20毫秒内进行

Error

数据包中的错误,或者解析器解析时的错误

wireshark三板斧

Statistics >> Summary (统计》捕获文件属性)

Analysis >> Expert Infos (分析》专家信息)

Statistics >> Tcp Stream Graph >> Tcp Sequence Graph(Stevens) (统计》TCP流图形》时间序列)

查看 统计》协议分级统计

可以查看协议所属层级以及协议关联关系

常见信息:

  • TCP Out-of-Order 乱序
  • TCP Dup ACK 重复ACK
  • TCP Fast retransmission 快速重传
  • TCP retransmission 超时重传
  • TCP zerowindow 缓存区已满,发送这个包的地址暂时不能接收数据
  • TCP window Full 把对方发送窗口耗尽,暂时无法发送数据

其他

1500 MTU探测

ping serverip -l 1472 -f 可以测试MTU大致的值,前提是ICMP未被禁用

因为1472+8(ICMP头)+20(IP头) = 1500

-f 表示DF(Don't fragment 不要分片),大于MTU并且不分片就会被丢弃

注意看TTL,表示包经过的路由次数,可以定位包的发送过来的设备,初始值一般是64

Linux 上抓包

tcpdump -i eth0 -n tcp port 80 抓取eth0 的80口的TCP协议

远程后台执行 sudo nohup tcpdump -i eth0 -w test.pcap >/dev/null 2>&1 &

相关推荐
Black_mario3 分钟前
链原生 Web3 AI 网络 Chainbase 推出 AVS 主网, 拓展 EigenLayer AVS 应用场景
网络·人工智能·web3
中科岩创1 小时前
中科岩创边坡自动化监测解决方案
大数据·网络·物联网
brrdg_sefg3 小时前
WEB 漏洞 - 文件包含漏洞深度解析
前端·网络·安全
Quz7 小时前
Wireshark协议相关功能:过滤、启用/禁用、导出和统计查看
网络·测试工具·wireshark
安全方案7 小时前
如何增强网络安全意识?(附培训PPT资料)
网络·安全·web安全
tjjingpan8 小时前
HCIA-Access V2.5_6_3_GPON关键技术
网络
yuanbenshidiaos8 小时前
数据结构----链表头插中插尾插
网络·数据结构·链表
洛神灬殇8 小时前
彻底认识和理解探索分布式网络编程中的SSL安全通信机制
网络·分布式·ssl
总是学不会.8 小时前
第五篇:前后端如何“扯皮”——HTTP 在开发中的应用
java·网络·网络协议·http·开发