首先我们来了解一下什么是Wireshark
以下红字是度娘来的
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
在过去,网络封包分析软件是非常昂贵的,或是专门属于盈利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下,使用者可以以免费的途径取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。Ethereal是全世界最广泛的网络封包分析软件之一。
一:数据包过滤
过滤需要的IP地址 ip.addr==
有些网友抓出来的数据包,时间显示的方式不对,不便于查看出现问题的时间点,可以通过View---time display format来进行修改。
修改前:
修改后:
有一些特殊情况,客户的业务源目的IP 源目的端口 源目的mac 都是一样的,有部分业务出现业务不通,我们在交换机上做流统计就不行了,如下图网络架构。箭头是数据流的走向,交换机上作了相关策略PC是不能直接访问SER的。
那我们在排查这个问题的时候,我们要了解客户的业务模型和所使用得协议,很巧合这个业务是WEB。我们从而知道TCP报文字段里是有序列号的,我们可以把它当做唯一标示来进行分析,也可以通过序列号进行排序。
一般抓出来的都是相对序列号0 1不容易分析,这里我们通过如下方式进行修改为绝对序列号。
Edit-----preference------protocols----tcp---relative sequence numbers
四:过滤出来的数据包保存
我们抓取数据包的时候数据量很大,但对于我们有用的只有几个,我们按条件过滤之后,可以把过滤后的数据包单独保存出来,便于以后来查看。
五:数据包计数统计
网络里有泛洪攻击的时候,我们可以通过抓包进行数据包个数的统计,来发现哪些数据包较多来进行分析。
六:数据包解码
IPS发送攻击日至和防病毒日志信息端口号都是30514,SecCenter上只显示攻击日志,不显示防病毒日志。查看IPS本地有病毒日志,我们可以通过在SecCenter抓包分析确定数据包是否发送过来。发过来的数据量比较大,而且无法直接看出是IPS日志还是AV日志,我们先把数据包解码。
(由于没有IPS的日志抓包信息,暂用其他代替)
解码前: 
七:TCP数据报文跟踪
查看TCP的交互过程,把数据包整个交互过程提取出来,便于快速整理分析。
八:通过Wireshark来查看设备的厂家
查看无线干扰源的时候,我们可以看出干扰源的mac地址,我们可以通过Wireshark来查找是哪个厂商的设备,便于我们快速寻找干扰源。
例如:mac地址是A4-4E-31-30-0B-E0 
以上就是Wireshark常用的八个技巧了,希望对大家有帮助。
最新评论