Wireshark教程之统计功能
实验目的
1、工具介绍
2、主要应用
实验原理
Wireshark的原名是Ethereal,新名字是2006年起用的。当时Ethereal的主要开发者Gerald决定离开他原来供职的公司NIS,并继续开发这个软件。但由于Ethereal这个名称的使用权已经被原来那个公司注册,Wireshark这个新名字也就应运而生了。
Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样,Wireshark也使用pcap network library来进行包捕捉。
实验内容
1、Wireshark统计功能
2、捕捉文件摘要
3、捕捉包层次结构
4、会话统计
5、网络节点统计
6、HTTP
实验环境描述
实验环境描述
1、学生机与实验室网络直连;
2、VPC1与实验室网络直连;
3、学生机与VPC1物理链路连通;
pc机:Windows7旗舰版
实验步骤
打开桌面上的wireshark工具,
Wireshark统计功能
Wireshark的一个强大的功能在于他的统计工具,使用Wireshark的时候我们有各种类型的工具可供选择,这里介绍基本网络统计工
具。包括:捕捉文件摘要(Summary)、捕捉包层次结构(Protocol Hirarchy)、会话(Conversations)、网络节点(Endpoints)、HTTP
捕捉文件摘要
1、捕捉文件摘要对抓取的数据包进行全局统计,Staristics–>Summary
2、这一菜单简单收集所有抓包数据,在定义了过滤条件的时候,将呈现过滤后的数据,当想要知道每秒的平均报文数或字节数时,使用此工具
File:捕捉文件的一般信息,如文件名和路径,长度,等等。
Tme:第一个包和最后一个包的时间戳,以及抓包过程持续时间。
Capure:显示文件捕捉于哪一个接口,以及评论窗口。
Display窗口,展示抓包文件统计信息的摘要,包括:捕捉报文总数与百分比,显示报文数量(加上过滤条件之后),标记报文数量
捕捉包层次结构
1、捕捉包层次结构统计了通信流量中不同协议占用额百分比,通过这个工具可以对全网流量有直观的了解,到底整个网络那些流量占用最多,那些占用最少等等。打开statistics–>protocol hierarchy
图中我们可以看出,Ethernet的流量包括IPv4和IPv6,IPv4包括UDP和TCP,这几个分项的和就是以太网百分百的流量
Protocol:协议名称
% Packets:含有该协议的包数目在捕捉文件所有包所占的比例
Packets:含有该协议的包的数目、Bytes含有该协议的字节数
Mbit/s:抓包时间内的协议带宽、End Packets 该协议中的包的数目(作为文件中的最高协议层)
End Bytes:该协议中的字节数(作为文件中的最高协议层)
End Mbit/s :抓包时间内的协议带宽(作为文件中的最高协议层)
2、在网络异常的时候,通过分析这些数据包占用的流量我们可以判断网络问题,如图这是一个正常的网络占用百分比,例如网络发生了ARP攻击,那么ARP在这里的占用也许会显示20%或者30%
会话统计
1、会话统计功能,统计通信会话之间接收和发送的数据包和字节数,通过这个工具可以找出网络中哪个会话(IP地址或端口号)最占用带宽,进一步作出网络策略。打开Statistics–>Conversations
2、进入界面可以选择2层以太网统计数据,第3层IP统计数据,或4层tcp或udp统计数据。
3、在以太网回话统计中可以查找以下问题:(1) 可以看见较轻微的广播风暴;而对于每秒数千甚至数万个报文的严重广播风暴,Wireshark会停止显示数据并且屏幕冻结。只有断开Wireshark连接时才能看见。 (2)如果你看到来自某一MAC地址的大量数据,查看会话第一部分的vendor ID,会给你一些导致问题的线索。即使MAC地址的第一部分标识了vendor,但它并不一定就标识了PC本身。这是由于MAC地址属于PC上安装的以太网芯片厂商,而并不一定属于PC制造商。如果无法识别数据流来源地址,可以ping嫌疑地址并通过ARP获取它的MAC地址,在交换机中查找该地址,如果有操作系统的话直接用find命令来定位。
在IP会话统计中可以查找一下问题:(1)查看收发大量数据流的IP地址。如果是你知道的服务器(你记得服务器的地址或地址范围),那问题就解决了;但也有可能只是某台设备正在扫描网络,或仅是一台产生过多数据的PC。(2) 查看扫描模式(scan pattern)。这可能是一次正常的扫描,如SNMP软件发送ping报文以查找网络,但通常扫描都不是好事情。
在tcp/udp会话统计中可以查看以下问题(1) 查看带有太多TCP连接的设备。每一个PC合理的连接数是10到20个,上百个则是不正常的(2)尝试查找无法辨识的端口号。它可能是正常的,但也可能是有问题的。
网络节点统计
1、网络节点功能,统计通信会话中每个节点接收和发送的数据包和字节数,通过这个工具可以找出网络中哪个节点(IP地址或端口号)最占用带宽。打开statistics–>Endpoints
2、如下图所示,在此窗口中能够看到2,3,4层的endpoints,也就是以太网。IP,tcp或udp,终端节点统计是面向IP的,可以查看具体某一个IP发送的流量以及占用带宽
3、这一工具列出了Wireshark发现的所有endpoints上的统计信息,可以是一下任意一种情况:
少量以太网endpoints(MAC地址)与大量IP终端节点(IP地址):可能的情况例如,一个路由器从很多远端设备收发报文,我们会看见路由器的MAC地址以及很多IP地址经由此处。
少量IP终端节点与大量tco终端节点:可能的情况是每一台主机有很多个tcp连接。可能是有很多连接到额服务器的一个正常操作,也可能是一种网络攻击(如SYN攻击)
HTTP
1、从statistic菜单,选择HTTP,将会出现以下窗口
2、在http子菜单中,可以看到以下信息
Packet Counter:每一个网站的报文数量。帮助识别有多少响应和请求。
Requests:各网站的请求分布
Load Distribution:各网站的负载分布
查看Packet Couter统计信息,显示以下过滤窗口,在此窗口中,可设置过滤条件以查看符合条件的统计信息。信息想要查看整个抓包文件的统计信息,不添加信息就会显示IP层之上的统计信息,也就是所有http报文,点击Create Stat。
3、如下图所示,显示了Http Requests,Http Responses信息
4、查看Requests信息,选择所需过滤条件,不输入过滤条件则对于所有数据
5、点击Create Stat按钮,会出现以下窗口
6、查看Load Distribution统计信息,出现以下窗口。暂时不输入任何过滤条件,点击Create Stat按钮
7、当我们打开一个网页,通常会向若干个URL发出请求,这里记录了我们发送的若干个请求,到root URL,到breaking_news URL,以及主页上的其他位置。
Wireshark教程之统计功能的更多相关文章
- Wireshark教程之高级功能
实验目的 1.工具介绍 2.主要应用 实验原理 1.网络管理员用来解决网络问题 2.网络安全工程师用来检测安全隐患 3.开发人员用来测试执行情况 4.学习网络协议 实验内容 1.数据流追踪功能 2.协 ...
- go语言实战教程之 后台管理页面统计功能开发(2)
上节内容介绍了后台管理页面统计功能开发(1),从功能介绍,到接口请求分析和归类,最后是代码设计.经过上节内容的介绍,已经将业务逻辑和开发逻辑解释清楚,本节内容侧重于编程代码实现具体的功能. 当日增长数 ...
- go语言实战教程之 后台管理页面统计功能开发(1)
本节内容我们将学习开发实现后台管理平台页面统计功能开发的功能接口,本章节内容将涉及到多种请求路由的方式. 功能介绍 后台管理平台不仅是功能管理平台,同时还是数据管理平台.从数据管理平台角度来说,在管理 ...
- wireshark教程
Wireshark世界上最流行的网络分析工具. 这个强大的工具能够捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息.与非常多其它网络工具一样.Wireshark也使用pcap network ...
- CI Weekly #16 | 从另一个角度看开发效率:flow.ci 数据统计功能上线
很开心的告诉大家,flow.ci 数据统计功能已正式上线. 进入 flow.ci 控制台,点击「数据分析」按钮,你可以按照时间日期筛选,flow.ci 将多维度地展示「组织与项目」的构建数据指标与模型 ...
- 如何Windows分页控件中增加统计功能
在我的博客里面,很多Winform程序里面都用到了分页处理,这样可以不管是在直接访问数据库的场景还是使用网络方式访问WCF服务获取数据,都能获得较好的效率,因此WInform程序里面的分页控件的使用是 ...
- 部分具有统计功能的TSQL语句(例如DBCC语句,全局函数,系统存储过程)
部分具有统计功能的TSQL语句(例如DBCC语句,全局函数,系统存储过程) 这些功能也能帮助用户了解和监控SQLSERVER的运行情况 DBCC语句,DBCC语句是SQL2005的数据库控制台命令 D ...
- atitit. 统计功能框架的最佳实践(1)---- on hibernate criteria
atitit. 统计功能框架的最佳实践(1)---- on hibernate criteria 1. 关键字 1 2. 统计功能框架普通有有些条件选项...一个日期选项..一个日期类型(日,周,月份 ...
- Nginx 的 RTMP 模块的在线统计功能 stat 在 multi-worker 模式下存在 Bug
< 让你的 Nginx 的 RTMP 直播具有统计某频道在线观看用户数量的功能>一文介绍了 Nginx 的在线统计模块. 我们的在线直播服务使用了 Nginx 的 Rtmp ...
随机推荐
- 【刷题-LeetCode】121 Best Time to Buy and Sell Stock
Best Time to Buy and Sell Stock Say you have an array for which the ith element is the price of a gi ...
- spring拦截机制中Filter(过滤器)、interceptor(拦截器)和Aspect(切面)的使用及区别
Spring中的拦截机制,如果出现异常的话,异常的顺序是从里面到外面一步一步的进行处理,如果到了最外层都没有进行处理的话,就会由tomcat容器抛出异常. 1.过滤器:Filter :可以获得Http ...
- golang中的反射reflect详解
先重复一遍反射三定律: 1.反射可以将"接口类型变量"转换为"反射类型对象". 2.反射可以将"反射类型对象"转换为"接口类型变量 ...
- ansible roles实践——安装nginx
1.创建roles 在/etc/ansible/roles目录下 1.1 手动创建需要的目录 1.2 使用命令创建,用不到的目录可以创建为空目录,但不可以不创建. 创建目录[root@master] ...
- 二进制方式搭建Kubernetes高可用集群
转:https://jiangxl.blog.csdn.net/article/details/120428703 详细:https://developer.aliyun.com/article/78 ...
- ApacheCN 计算机视觉译文集 20210212 更新
新增了六个教程: OpenCV 图像处理学习手册 零.前言 一.处理图像和视频文件 二.建立图像处理工具 三.校正和增强图像 四.处理色彩 五.视频图像处理 六.计算摄影 七.加速图像处理 Pytho ...
- 「JOI 2015 Final」舞会
「JOI 2015 Final」舞会 略微思考一下即可知该过程可以化为一棵树.(3个贵族中选择1个,即新建一个节点连向这3个贵族). 该树的结点个数为\(2n\). 考虑二分答案mid. 判定的是公主 ...
- Net6 DI源码分析Part1 ServiceCollection、ServiceDescriptor、ServiceLifetime、IServiceProvider
ServiceCollection.ServiceDescriptor.ServiceLifetime.IServiceProvider Microsoft.Extensions.Dependency ...
- svn使用规范、在Windows下使用svn命令行工具、svn命令行的解释
以前在公司一直使用git,现在公司有用svn,一时间还真的不知道如何下手,在网上搜寻了很多大神和官网文档的指导,总结了下面一份教程,希望能够帮助大家快速上手,如果想更细致的了解相关内容,可以点击每个小 ...
- Java--面向对象设计
[转载自本科老师上课课件] 问题一: 在一个软件的功能模块中,需要一种图像处理的功能.该图像处理的策略(如何处理)与图像的内容是相关的.如:卫星的运行图片,使用策略A处理方式,如果是卫星内云图片,则需 ...