實驗目的
1、工具介紹
2、主要應用
實驗原理
Wireshark的原名是Ethereal,新名字是2006年起用的。當時Ethereal的主要開發者Gerald決定離開他原來供職的公司NIS,並繼續開發這個軟件。但由於Ethereal這個名稱的使用權已經被原來那個公司注冊,Wireshark這個新名字也就應運而生了。
Wireshark是世界上最流行的網絡分析工具。這個強大的工具可以捕捉網絡中的數據,並為用戶提供關於網絡和上層協議的各種信息。與很多其他網絡工具一樣,Wireshark也使用pcap network library來進行包捕捉。
實驗內容
1、Wireshark統計功能
2、捕捉文件摘要
3、捕捉包層次結構
4、會話統計
5、網絡節點統計
6、HTTP
實驗環境描述
實驗環境描述
1、學生機與實驗室網絡直連;
2、VPC1與實驗室網絡直連;
3、學生機與VPC1物理鏈路連通;
pc機:Windows7旗艦版
實驗步驟
打開桌面上的wireshark工具,
Wireshark統計功能
Wireshark的一個強大的功能在於他的統計工具,使用Wireshark的時候我們有各種類型的工具可供選擇,這里介紹基本網絡統計工
具。包括:捕捉文件摘要(Summary)、捕捉包層次結構(Protocol Hirarchy)、會話(Conversations)、網絡節點(Endpoints)、HTTP
捕捉文件摘要
1、捕捉文件摘要對抓取的數據包進行全局統計,Staristics–>Summary
2、這一菜單簡單收集所有抓包數據,在定義了過濾條件的時候,將呈現過濾后的數據,當想要知道每秒的平均報文數或字節數時,使用此工具
File:捕捉文件的一般信息,如文件名和路徑,長度,等等。
Tme:第一個包和最后一個包的時間戳,以及抓包過程持續時間。
Capure:顯示文件捕捉於哪一個接口,以及評論窗口。
Display窗口,展示抓包文件統計信息的摘要,包括:捕捉報文總數與百分比,顯示報文數量(加上過濾條件之后),標記報文數量
捕捉包層次結構
1、捕捉包層次結構統計了通信流量中不同協議占用額百分比,通過這個工具可以對全網流量有直觀的了解,到底整個網絡那些流量占用最多,那些占用最少等等。打開statistics–>protocol hierarchy
圖中我們可以看出,Ethernet的流量包括IPv4和IPv6,IPv4包括UDP和TCP,這幾個分項的和就是以太網百分百的流量
Protocol:協議名稱
% Packets:含有該協議的包數目在捕捉文件所有包所占的比例
Packets:含有該協議的包的數目、Bytes含有該協議的字節數
Mbit/s:抓包時間內的協議帶寬、End Packets 該協議中的包的數目(作為文件中的最高協議層)
End Bytes:該協議中的字節數(作為文件中的最高協議層)
End Mbit/s :抓包時間內的協議帶寬(作為文件中的最高協議層)
2、在網絡異常的時候,通過分析這些數據包占用的流量我們可以判斷網絡問題,如圖這是一個正常的網絡占用百分比,例如網絡發生了ARP攻擊,那么ARP在這里的占用也許會顯示20%或者30%
會話統計
1、會話統計功能,統計通信會話之間接收和發送的數據包和字節數,通過這個工具可以找出網絡中哪個會話(IP地址或端口號)最占用帶寬,進一步作出網絡策略。打開Statistics–>Conversations
2、進入界面可以選擇2層以太網統計數據,第3層IP統計數據,或4層tcp或udp統計數據。
3、在以太網回話統計中可以查找以下問題:(1) 可以看見較輕微的廣播風暴;而對於每秒數千甚至數萬個報文的嚴重廣播風暴,Wireshark會停止顯示數據並且屏幕凍結。只有斷開Wireshark連接時才能看見。 (2)如果你看到來自某一MAC地址的大量數據,查看會話第一部分的vendor ID,會給你一些導致問題的線索。即使MAC地址的第一部分標識了vendor,但它並不一定就標識了PC本身。這是由於MAC地址屬於PC上安裝的以太網芯片廠商,而並不一定屬於PC制造商。如果無法識別數據流來源地址,可以ping嫌疑地址並通過ARP獲取它的MAC地址,在交換機中查找該地址,如果有操作系統的話直接用find命令來定位。
在IP會話統計中可以查找一下問題:(1)查看收發大量數據流的IP地址。如果是你知道的服務器(你記得服務器的地址或地址范圍),那問題就解決了;但也有可能只是某台設備正在掃描網絡,或僅是一台產生過多數據的PC。(2) 查看掃描模式(scan pattern)。這可能是一次正常的掃描,如SNMP軟件發送ping報文以查找網絡,但通常掃描都不是好事情。
在tcp/udp會話統計中可以查看以下問題(1) 查看帶有太多TCP連接的設備。每一個PC合理的連接數是10到20個,上百個則是不正常的(2)嘗試查找無法辨識的端口號。它可能是正常的,但也可能是有問題的。
網絡節點統計
1、網絡節點功能,統計通信會話中每個節點接收和發送的數據包和字節數,通過這個工具可以找出網絡中哪個節點(IP地址或端口號)最占用帶寬。打開statistics–>Endpoints
2、如下圖所示,在此窗口中能夠看到2,3,4層的endpoints,也就是以太網。IP,tcp或udp,終端節點統計是面向IP的,可以查看具體某一個IP發送的流量以及占用帶寬
3、這一工具列出了Wireshark發現的所有endpoints上的統計信息,可以是一下任意一種情況:
少量以太網endpoints(MAC地址)與大量IP終端節點(IP地址):可能的情況例如,一個路由器從很多遠端設備收發報文,我們會看見路由器的MAC地址以及很多IP地址經由此處。
少量IP終端節點與大量tco終端節點:可能的情況是每一台主機有很多個tcp連接。可能是有很多連接到額服務器的一個正常操作,也可能是一種網絡攻擊(如SYN攻擊)
HTTP
1、從statistic菜單,選擇HTTP,將會出現以下窗口
2、在http子菜單中,可以看到以下信息
Packet Counter:每一個網站的報文數量。幫助識別有多少響應和請求。
Requests:各網站的請求分布
Load Distribution:各網站的負載分布
查看Packet Couter統計信息,顯示以下過濾窗口,在此窗口中,可設置過濾條件以查看符合條件的統計信息。信息想要查看整個抓包文件的統計信息,不添加信息就會顯示IP層之上的統計信息,也就是所有http報文,點擊Create Stat。
3、如下圖所示,顯示了Http Requests,Http Responses信息
4、查看Requests信息,選擇所需過濾條件,不輸入過濾條件則對於所有數據
5、點擊Create Stat按鈕,會出現以下窗口
6、查看Load Distribution統計信息,出現以下窗口。暫時不輸入任何過濾條件,點擊Create Stat按鈕
7、當我們打開一個網頁,通常會向若干個URL發出請求,這里記錄了我們發送的若干個請求,到root URL,到breaking_news URL,以及主頁上的其他位置。
