一、基本信息統(tǒng)計(jì)工具

1）捕獲文件屬性（Summary）

1. File：了解抓包文件的各種屬性，例如抓包文件的名稱、路徑、文件所含數(shù)據(jù)包的規(guī)模等信息

2. Time：獲悉抓包的開始、結(jié)束和持續(xù)時(shí)間

3. Capture：抓包文件由哪塊網(wǎng)卡生成、OS版本、Wireshark版本等信息

4. Display：剩下的是匯總統(tǒng)計(jì)信息，數(shù)據(jù)包的總數(shù)、數(shù)量以及占比情況、網(wǎng)速等

2）協(xié)議分級(jí)（Protocol Hierarchy）

1. Protocol：數(shù)據(jù)包所歸屬的協(xié)議名稱

2. % Packets：抓包文件中所含數(shù)據(jù)包個(gè)數(shù)在每一種協(xié)議類型中的占比情況

3. Packets：每一種協(xié)議類型數(shù)據(jù)包的個(gè)數(shù)

4. % Bytes：抓包文件中所含數(shù)據(jù)包字節(jié)數(shù)在每一種協(xié)議類型中的占比情況

5. Bytes：每一種協(xié)議類型數(shù)據(jù)包的字節(jié)數(shù)

6. MBit/s：某種協(xié)議類型的數(shù)據(jù)包在抓包時(shí)段內(nèi)的傳輸速率

7. End Packets：隸屬于該協(xié)議類型的數(shù)據(jù)包的純粹數(shù)量，例如TCP，純粹指的是TCP頭部之后沒有高層協(xié)議頭部（HTTP頭等）

8. End Bytes：隸屬于該協(xié)議類型的數(shù)據(jù)包的純粹字節(jié)數(shù)

9. End Bits/s：隸屬于該協(xié)議類型的數(shù)據(jù)包在抓包時(shí)段內(nèi)的純粹傳輸速率

3）對(duì)話（Conversation）

一次對(duì)話是指發(fā)生于一對(duì)特定端點(diǎn)（主機(jī)、服務(wù)器或網(wǎng)絡(luò)設(shè)備）之間的所有流量。

TCP或UDP對(duì)話包括了4個(gè)特征（源、目IP地址和源、目端口號(hào)）全都匹配的數(shù)據(jù)包。

1. Ethernet標(biāo)簽：不同MAC地址的主機(jī)之間的交流

2. IPv4標(biāo)簽：不同IPv4地址的主機(jī)之間的溝通

3. TCP或UDP：不同IPv4地址的主機(jī)之間建立的各種TCP或UDP，可以發(fā)現(xiàn)某臺(tái)主機(jī)是否打開過(guò)多連接，是否與稀奇古怪的端口號(hào)建立了連接。

4）端點(diǎn)（Endpoints）

此工具用來(lái)觀察第二、三、四層端點(diǎn)（Ethernet端點(diǎn)、IP端點(diǎn)、TCP/UDP端點(diǎn)）有關(guān)的統(tǒng)計(jì)信息。

粗看與對(duì)話窗口類似，但對(duì)話窗口中會(huì)有Address A與Address B兩個(gè)，而端點(diǎn)中只有一個(gè)。

5）HTTP統(tǒng)計(jì)信息

1. 分組計(jì)數(shù)器（Packet Counter）：展示HTTP數(shù)據(jù)包的總數(shù)，請(qǐng)求數(shù)據(jù)包和響應(yīng)數(shù)據(jù)包的數(shù)量。

2. 請(qǐng)求（Requests）：主機(jī)請(qǐng)求訪問(wèn)Web站點(diǎn)的分布情況，以及所訪問(wèn)的Web站點(diǎn)的具體資源。

3. 負(fù)載分配（Load Distribution）：HTTP數(shù)據(jù)包（請(qǐng)求和響應(yīng)）訪問(wèn)過(guò)哪些站點(diǎn)。

6）IP屬性統(tǒng)計(jì)信息

1. All Addresses：所有的地址

2. Destinations and Ports：目的地址和端口號(hào)

3. IP Protocol Types：IP協(xié)議類型

4. Source and Destination Addresses：源和目的地址

?

二、高級(jí)信息統(tǒng)計(jì)工具——IO圖表（IO Graphs）

1）IO圖表（IO Graphs）

1. 樣式：Line（線）、Impulse（脈沖）、Fbar（粗線）、Dot（點(diǎn)）

2. X軸配置：

間隔（Tick Interval）取值范圍0.001秒~10分鐘

一天時(shí)鐘（View as time of day）勾選后會(huì)按一天當(dāng)中的具體時(shí)刻來(lái)顯示

3. Y軸配置：

速率單位（Unit）：Pickets、Bytes、Bits、Advanced（包括SUM、MAX等）

平滑速率（Smooth）：每個(gè)計(jì)時(shí)單位內(nèi)的平均傳輸速率

2）IO圖表高級(jí)配置（Y軸Unit參數(shù)Advanced選項(xiàng)）

單位時(shí)間：通過(guò)選擇X軸參數(shù)配置區(qū)域內(nèi)的Tick Interval下拉菜單項(xiàng)來(lái)指定

1. SUM(*)：每個(gè)單位時(shí)間內(nèi)實(shí)際傳輸?shù)?strong>IP數(shù)據(jù)包總字節(jié)數(shù)

2. COUNT FRAMES(*)：每個(gè)單位時(shí)間內(nèi)發(fā)生匹配該條件的數(shù)量，例如重傳數(shù)（tcp.analysis.retransmission）

3. COUNT FIELDS(*)：每個(gè)單位時(shí)間內(nèi)所傳數(shù)據(jù)包中該字段出現(xiàn)的次數(shù)

4. MAX(*)：每個(gè)單位時(shí)間內(nèi)所傳數(shù)據(jù)包相關(guān)參數(shù)的最高值，例如距離上一個(gè)捕獲的包的時(shí)間間隔（frame.time_delta）

5. MIN(*)：每個(gè)單位時(shí)間內(nèi)所傳數(shù)據(jù)包相關(guān)參數(shù)的最低值

6. AVG(*)：每個(gè)單位時(shí)間內(nèi)所傳數(shù)據(jù)包相關(guān)參數(shù)的平均值

7. LOAD(*)：生成與響應(yīng)時(shí)間有關(guān)的圖形

?

三、高級(jí)信息統(tǒng)計(jì)工具——TCP流圖形（TCP StreamGraph）

1）時(shí)間序列（Stevens）

在單位時(shí)間內(nèi)，受監(jiān)控的TCP流在某個(gè)方向所傳數(shù)據(jù)的字節(jié)流。

一條連綿不斷的斜線就表示正常的文件傳輸，而斜線時(shí)斷時(shí)續(xù)，表示文件傳輸存在問(wèn)題；

斜線的角度越大，表示文件的傳輸速率很高，反之，文件傳輸緩慢。

2）時(shí)間序列（tcptrace）

監(jiān)控TCP連接的諸多詳細(xì)信息。

分析與此TCP有關(guān)的種種問(wèn)題，包括TCP確認(rèn)、TCP重傳、以及TCP窗口大小等信息。

上面一條表示TCP接收窗口，當(dāng)兩條曲線之間空間較大的時(shí)候，表示接收主機(jī)尚有緩存；當(dāng)近乎重疊的時(shí)候，TCP窗口已滿（window-full）不能繼續(xù)傳輸數(shù)據(jù)

下面一條表示在單位時(shí)間內(nèi)，受監(jiān)控的TCP流在某個(gè)方向所傳數(shù)據(jù)的字節(jié)流（也就是Stevens）

圖中每個(gè)小豎條（放大后就能看到）表示TCP數(shù)據(jù)包起始和終止序列號(hào)都與縱坐標(biāo)上的數(shù)字相對(duì)應(yīng)。

3）吞吐量（Throughput）

不但能了解TCP連接的吞吐量，而且還能判斷TCP連接是否穩(wěn)定。

統(tǒng)計(jì)單位時(shí)間內(nèi)在某一指定方向上傳輸?shù)臄?shù)據(jù)包的字節(jié)數(shù)（左邊的Y軸）；

以此統(tǒng)計(jì)出來(lái)的吞吐量只是某個(gè)方向上傳輸?shù)膽?yīng)用程序數(shù)據(jù)（不含IP頭與TCP頭）的吞吐量，單位為字節(jié)/秒（右邊的Y軸）。

左邊的Y軸就是包中的Len值，對(duì)應(yīng)的是深藍(lán)色的點(diǎn)；右邊的Y軸對(duì)應(yīng)的是咖啡色的斜線。

4）往返時(shí)間（Round Trip Time）

了解某條TCP連接中特定方向上的所有TCP報(bào)文段的往返時(shí)間（RTT）

X軸為序列號(hào)字段值，Y軸為時(shí)間值。

5）窗口尺寸（Window Scaling）

通過(guò)統(tǒng)計(jì)發(fā)送方的接收窗口大小，以此了解特定TCP連接的性能。

當(dāng)窗口變小時(shí)，相關(guān)應(yīng)用程序的吞吐量會(huì)相應(yīng)降低，窗口的大小完全受控于建立連接的兩個(gè)端點(diǎn)（服務(wù)器和客戶端），大小的變化與網(wǎng)絡(luò)性能無(wú)關(guān)。

?

四、專家信息（Expert Info）工具

窗口由Errors、Warnings、Notes、Chats等構(gòu)成。

1）Errors

數(shù)據(jù)包中有嚴(yán)重錯(cuò)誤。

校驗(yàn)和錯(cuò)誤：Ethernet及IP校驗(yàn)和錯(cuò)誤。

偽造的數(shù)據(jù)包：一般涉及具體的應(yīng)用層協(xié)議。

2）Warnings

數(shù)據(jù)包中有一般性問(wèn)題。

與TCP窗口有關(guān)的事件TCP window full或TCP zero window，一般是連接設(shè)備忙不過(guò)來(lái)所致。

與TCP報(bào)文段丟失或失序有關(guān)的事件，丟失是因?yàn)槲醋ト硞€(gè)TCP數(shù)據(jù)流的所有TCP報(bào)文段；失序是因其感知到了TCP報(bào)文段未按發(fā)出的順序到達(dá)接收主機(jī)。

3）Notes

數(shù)據(jù)包中有可能會(huì)引發(fā)故障的異常現(xiàn)象，例如TCP重傳、重復(fù)確認(rèn)、快速重傳等現(xiàn)象。

4）Chats

數(shù)據(jù)包都符合常規(guī)流量的特征，包括SYN、FIN、RST以及各種狀態(tài)碼的HTTP事件。

?

轉(zhuǎn)載于:https://www.cnblogs.com/strick/p/6344486.html

總結(jié)

以上是生活随笔為你收集整理的Wireshark网络抓包(四)——工具的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。