閱讀(5.6k) 書簽贊(0) 我要糾錯

（七）：Statistics統(tǒng)計(jì)工具功能詳解與應(yīng)用

2018-02-24 15:48 更新

Wireshark一個強(qiáng)大的功能在于它的統(tǒng)計(jì)工具。使用Wireshark的時候，我們有各種類型的工具可供選擇，從簡單的如顯示終端節(jié)點(diǎn)和會話到復(fù)雜的如Flow和IO圖表。本文將介紹基本網(wǎng)絡(luò)統(tǒng)計(jì)工具。包括：捕捉文件摘要（Summary）,捕捉包的層次結(jié)構(gòu)（Protocol Hirarchy）,?會話（Conversations）,?終端節(jié)點(diǎn)（Endpoints）, HTTP。

更多信息

Summary:

從statistics菜單，選擇Summary：

如下圖的截屏所示，你會看到：

File：

捕捉文件的一般信息，如文件名和路徑，長度，等等

Time：

第一個包和最后一個包的時間戳，以及抓包過程持續(xù)時間

Capture：

顯示文件捕捉于哪一個接口，以及評論窗口

在窗口的較低部分是Display窗口，展示抓包文件統(tǒng)計(jì)信息的摘要，包括：

捕捉報(bào)文的總數(shù)與百分比

顯示報(bào)文的數(shù)量（加上過濾條件之后）

標(biāo)記報(bào)文的數(shù)量

何時使用：

這一菜單簡單收集所有抓包數(shù)據(jù)，在定義了過濾條件的時候，將呈現(xiàn)過濾后的數(shù)據(jù)。當(dāng)想要知道每秒的平均報(bào)文數(shù)或是字節(jié)數(shù)時，可以使用此工具。

Protocol Hierarchy:

這一部分闡述如何確知網(wǎng)絡(luò)運(yùn)行數(shù)據(jù)。從statistics菜單，選擇Protocol Hierarchy。

這個窗口現(xiàn)實(shí)的是捕捉文件包含的所有協(xié)議的樹狀分支。如下圖所示：

Protocol Hierarchy窗口有如下字段：

Protocol：

協(xié)議名稱

% Packets：

含有該協(xié)議的包數(shù)目在捕捉文件所有包所占的比例

Packets：

含有該協(xié)議的包的數(shù)目

Bytes：

含有該協(xié)議的字節(jié)數(shù)

Mbit/s：

抓包時間內(nèi)的協(xié)議帶寬

End Packets：

該協(xié)議中的包的數(shù)目（作為文件中的最高協(xié)議層）

End Bytes：

該協(xié)議中的字節(jié)數(shù)（作為文件中的最高協(xié)議層）

End Mbit/s：

抓包時間內(nèi)的協(xié)議帶寬（作為文件中的最高協(xié)議層）

小貼士：

包通常會包含許多協(xié)議，有很多協(xié)議會在每個包中被統(tǒng)計(jì)。End Packets，End Bytes，End Mbit/s列是該層在抓包中作為最后一層協(xié)議的統(tǒng)計(jì)數(shù)據(jù)（也就是說，協(xié)議處于報(bào)文的頂層，并且沒有更高層信息了）。例如，沒有載荷的TCP報(bào)文（例如，SYN報(bào)文），這一類沒有負(fù)載任何上層信息的報(bào)文。這就是為什么在Ethernet層，IPv4層和UDP層報(bào)文計(jì)數(shù)為0，因?yàn)闆]有接收到以這些協(xié)議作為最后一層的幀。

何時使用：

值得注意的兩點(diǎn)是：

百分比永遠(yuǎn)指的是相同協(xié)議層級。例如，

使用要點(diǎn)：

1. Percentage永遠(yuǎn)參照的是相同協(xié)議層。例如，上例中81.03%是IPv4報(bào)文，8.85%是IPv6報(bào)文，10.12%是ARP報(bào)文。第二層之上的各協(xié)議所占百分比總和是100%。

2.?另一方面，TCP占總數(shù)據(jù)的75.70%，在TCP協(xié)議之內(nèi)，只有12.74%的報(bào)文是HTTP，除此之外沒有其他統(tǒng)計(jì)。這是由于Wireshark只統(tǒng)計(jì)有HTTP頭的報(bào)文。它不統(tǒng)計(jì)如確認(rèn)報(bào)文或數(shù)據(jù)報(bào)文這樣沒有HTTP頭的報(bào)文。

3.?為了使Wireshark同時統(tǒng)計(jì)數(shù)據(jù)報(bào)文，例如，TCP報(bào)文內(nèi)部的HTTP報(bào)文，關(guān)閉Allow sub-dissector選項(xiàng)，對TCP數(shù)據(jù)流重新統(tǒng)計(jì)?？稍?strong>Preferences菜單或Packet Details面板中右鍵TCP來實(shí)現(xiàn)。

Conversations：

1.?在Statistics菜單中，選擇Coversations。

3.?可以選擇第2層以太網(wǎng)統(tǒng)計(jì)數(shù)據(jù)，第3層IP統(tǒng)計(jì)數(shù)據(jù)，或第4層TCP或UDP統(tǒng)計(jì)數(shù)據(jù)。

4.?可以選擇以下統(tǒng)計(jì)工具：

On layer 2(Ethernet)：查找并過濾廣播風(fēng)暴或
On layer 3 or 4(TCP/IP)**：**通過互聯(lián)網(wǎng)路由器端口并行連接，查看誰在向ISP傳輸數(shù)據(jù)

小貼士：

如果你看到互聯(lián)網(wǎng)上某一IP地址通過端口80（HTTP）向外傳輸大量數(shù)據(jù)流，你就需要將該地址復(fù)制入瀏覽器并且查看你的用戶與哪一個網(wǎng)站通訊最多。

如果沒有得到結(jié)果，只需到標(biāo)準(zhǔn)DNS查詢站點(diǎn)（Google一下DNS lookup）查看哪一種流量占用了你的網(wǎng)線。

5.?也可以通過選擇位于窗口左下方的Limit to display filter復(fù)選框，將會話統(tǒng)計(jì)信息進(jìn)行顯示過濾。這樣，僅呈現(xiàn)所有通過顯示過濾條件的統(tǒng)計(jì)數(shù)據(jù)。

6.要查看IP地址對應(yīng)名稱，可以選擇Name resolution復(fù)選框。要查看IP名稱解析，進(jìn)入View | Name Resolution | Enable for Network layer進(jìn)行激活。

7.?對于TCP或UDP，可以在Packet list中對指定報(bào)文進(jìn)行標(biāo)記，之后從菜單中選擇Follow TCP Stream或Follow UDP Stream。從而定義一個顯示過濾條件，僅顯示指定數(shù)據(jù)流。

使用要點(diǎn)：

網(wǎng)絡(luò)會話是兩個指定終端之間的數(shù)據(jù)流。例如，IP會話是兩個IP地址之間的所有數(shù)據(jù)流，TCP會話包含了所有TCP連接。

通過Conversations列表，能看出很多網(wǎng)絡(luò)問題。

以太網(wǎng)會話統(tǒng)計(jì)

在Ethernet conversations statistics中，查找以下問題：

大量的廣播風(fēng)暴：可以看見較輕微的廣播風(fēng)暴；而對于每秒數(shù)千甚至數(shù)萬個報(bào)文的嚴(yán)重廣播風(fēng)暴，Wireshark會停止顯示數(shù)據(jù)并且屏幕凍結(jié)。只有斷開Wireshark連接時才能看見。
如果你看到來自某一MAC地址的大量數(shù)據(jù)，查看會話第一部分的vendor ID，會給你一些導(dǎo)致問題的線索。即使MAC地址的第一部分標(biāo)識了vendor，但它并不一定就標(biāo)識了PC本身。這是由于MAC地址屬于PC上安裝的以太網(wǎng)芯片廠商，而并不一定屬于PC制造商。如果無法識別數(shù)據(jù)流來源地址，可以ping嫌疑地址并通過ARP獲取它的MAC地址，在交換機(jī)中查找該地址，如果有操作系統(tǒng)的話直接用find命令來定位。

IP會話統(tǒng)計(jì)

在IP conversations statistics中，查找以下問題：

查看收發(fā)大量數(shù)據(jù)流的IP地址。如果是你知道的服務(wù)器（你記得服務(wù)器的地址或地址范圍），那問題就解決了；但也有可能只是某臺設(shè)備正在掃描網(wǎng)絡(luò)，或僅是一臺產(chǎn)生過多數(shù)據(jù)的PC。
查看掃描模式（scan pattern）。這可能是一次正常的掃描，如SNMP軟件發(fā)送ping報(bào)文以查找網(wǎng)絡(luò)，但通常掃描都不是好事情。
一次典型的掃描模式如下圖所示：