《协议分析及Wireshark使用》由会员分享,可在线阅读,更多相关《协议分析及Wireshark使用(30页珍藏版)》请在金锄头文库上搜索。
1、协议分析及Wireshark使用Stillwatersrundeep.流静水深流静水深,人静心深人静心深Wherethereislife,thereishope。有生命必有希望。有生命必有希望为什么要抓包?查找网络故障,网络管理员的帮手做游戏外挂的分析数据需要使用做底层协议开发需要使用学习和理解协议使用破解及非法用途抓包支持的协议(常用)应用层:WAP、FTP、HTTP、SMTP、POP3、Fetion、PING传输层:UDP、TCP、RTP网络层:IP、ARP、IGMP链路层:PPP,PPOE物理层:以太网、令牌环、FDDI、X.25、帧中继、RS-232、v.35 前台对抓包的支持采用Wi
2、nPCAP库,和Wireshark一样在拨号之后才能抓包可以支持同时对多个拨号网络进行抓包对抓包数据的呈现:仅仅是显示抓包数据未对抓包进行统计分析前台不足不能抓取PPP过程解决方案:首先拨号,然后设定抓包的拨号网络,然后停止拨号,此时再启动抓包进程,最后按正常流程测试未对抓包的数据提供统计、分析、KPI输出和图表呈现等未对抓包业务数据提供分析报表功能抓包分析KPITCP/IP重传率定义:TCP重传的帧数 / 所有TCP帧数 * 100%,反应应用层传输质量影响TCP/IP重传率的相关参数:MTU,ACK超时设定受TCP/IP影响的KPI:应用层速率引申指标:TCP ACK重传率定义:TCP A
3、CK包重传帧数 / 所有TCP IP重传帧数 * 100%TCP/IP和无线关系:误帧率/误码率高导致TCP/IP重传,RLP重传增强ACK包的可靠性,避免因为RLP误码或ACK超时而导致TCP/IP不必要的重传可以给出RLP重传率、TCP/IP重传率、应用层速率等三者的关系图,可以给出TCP/IP ACK包重传次数和RLP重传次数的比例曲线。TCP ACK重传率很高,则说明网络需要优化RLP对ACK的重传,将大大提高应用层速率。抓包KPITCP丢包率定义:(TCP帧总数 TCP收到ACK的帧数)/TCP总帧数 * 100%丢包率是重要的指标,严重影响TCP/IP的传输性能,正常情况下丢包率和
4、重传相差不多抓包KPITCP误帧率定义:Checksum不正确的总包数 / TCP总包数 * 100%误帧率越低越好,误帧会影响速率但误帧不一定需要重传,而且由于TCP checksum offload功能,不一定误帧就表示一定不正确需要重传抓包KPI复位率定义:RST帧数 / 所有帧数 * 100%RST呈现了网络的有效性(可服务能力),比率越大,网络质量越差抓包KPITCP帧响应时延(RTT)定义:第N帧收到ACK的时间 第N帧PSH的时间,单位:毫秒意义:帧时延能够反映TCP/IP网络响应速度,可以检查网关设备、路由设备、服务器的响应速度和能力输出:最大值、最小值、平均值抓包显示参数MT
5、U最大传输单元,影响TCP/IP重传率和应用层速率最大,最小,平均值MTU正常的值设定:1500(以太网),1492(PPPoE拨号网络)TCP Window Size最大,最小,平均值TCP Window Size影响TCP/IP速率TTL暂无用途,需要结合PING/ICMP才能使用抓包分析KPI包重组率定义:TCP/IP重组(Reassemble)帧数 / 总TCP/IP帧数 * 100%包重组率越低越好,正常应该为0。TCP/IP重组帧数过大表明中间有路由器不支持当前设定的MTU握手成功率定义:SYN请求收到对应ACK的次数 / SYN请求的次数 * 100%握手成功率表明TCP/IP的
6、可服务能力握手成功率依赖网关、服务器的处理能力等抓包KPI拥塞率定义:标识为CWR的帧数 / 总TCP帧数 * 100%拥塞率越低越好,拥塞率抓包结合数据分析抓包结合应用层业务可以给出应用层失败的原因及比例,分类等支持的业务包括:WAP、HTTP、FTP、EMAIL、SMTPWAP 2.0/HTTP抓包分析WAP重定向比率定义:WAP 300307响应数 / 所有WAP响应数 * 100%重定向越多,对无线网络压力越大,重定向数据是无效数据,浪费带宽WAP 2.0主要失败原因比例502 WAP网关失败504 WAP网关超时其余50x 服务器端错误400 请求错误404 地址错误403 权限受限
7、其余4xx,客户端错误可以列出每一次WAP失败的错误Code信息及其文字描述,WAP失败详情包括:时间、网关地址:端口、本地IP地址:端口、失败代码、失败原因、请求地址FTP 抓包分析FTP命令失败详情:时间,服务器地址:端口,下载文件地址,命令,命令错误代码什么是Wireshark?Wireshark前身是Ethereal, http:/www.wireshark.org/download.html 协议分析利器,主要是用来抓包及分析网络数据包格式和协议免费,且是目前最好用的工具Wireshark几乎是万能的协议抓包和分析工具,只要是以太网上的都能抓其他类似工具:Sniffer ProWir
8、eshark优点方便使用,与其他抓包工具相比易用的多,界面也友好的多支持的协议多支持过滤:抓包过滤和显示过滤,强大的表达式功能一边抓包一边分析跨平台如何开始?如何抓包?指定接口(Interface)指定抓包范围,数据过滤(capture filter)如何查看包?帧结构帧内容如何过滤包?Filter express常用功能协议查看和分析协议过滤语法:=,!=,,=, 大于大于lt=大于等于大于等于le=小于等于小于等于英文英文C语言语言含义含义and&逻辑与逻辑与or|逻辑或逻辑或xor逻辑异或逻辑异或not!逻辑非逻辑非snmp | dns | icmp显示SNMP或DNS或ICMP封包。i
9、p.addr = 10.1.1.1显示来源或目的IP地址为10.1.1.1的封包。ip.src != 10.1.2.3 or ip.dst != 10.4.5.6显示来源不为10.1.2.3或者目的不为10.4.5.6的封包。Ip.addr=192.168.0.1|ip.addr=202.103.96.68Ip.port=9000&ip.addr=61.143.38.40http,ftp表达式构建工具表达式构建工具如何在WiFi下抓包?WLAN,WiFi模式在默认的情况下无法抓包,需要关闭网卡的混杂模式例子电信FTP问题Pioneer FTP下载不正常飞信协议分析控制软件抓包分析如何用好Wireshark?依靠经验积累工具使用简单,但经验不是一下子可以学会的,依靠大家对协议的理解,领悟能力,以及敏锐的感觉能力,如同医院那些阅片的医生一样,会照片的不一定能够发现病情,还得靠自己的积累。
