Wireshark录制及其分析.doc
《Wireshark录制及其分析.doc》由会员分享,可在线阅读,更多相关《Wireshark录制及其分析.doc(13页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、+Wireshark的录制及分析无线网优中心2016年06月目录1抓包过滤器32显示过滤器42.1方法一42.2方法二53手机抓包法64信息统计工具64.1DNS分析64.2HTTP数据流分析84.3排障执行104.4分析用例125参考书推荐181 抓包过滤器抓包过滤器配置于抓包前,一经应用,Wireshark将只抓取经过抓包过滤器过滤的数据(包或数据帧),其余数据一概不抓。可以通过Capture Filter选择常用滤波语句,该语句基于伯克利数据包过滤器(Berkeley Packet Filter,BPF)的语法,过滤器会对输入进Capture Filter文本框内的字符串的语法进行检查,
2、不会检查其条件是否满足。如需了解BPF语法,可查看论文A New Architecture for User-level Packet Capture2 显示过滤器显示过滤配置抓包之后,此时,Wireshark已抓得所有数据,但只能看到显示滤波器显示的数据。在抓包开始后“Filter”输入语句就可以进行配置了。2.1 方法一每条显示过滤器通常都是由若干原词构成,原词之间通过连接符(如and 或 or等)连接,原词之前可以添加not 表示相反的意思,其语法如下:not Expression and|or not Expression 显示过滤器表达式中条件操作符的作用。类似于C语言的操作符简写形
3、式描述举例=eq等于ip.addr = 192.168.1.1 或ip.addr eq 192.168.1.1!=ne不等于!ip.addr = 192.168.1.1 或ip.addr != 192.168.1.1 或ip.addr ne 192.168.1.1gt高(长、大)于frame.len 64lt低(短、小)于frame.len =ge不高(长、大)于frame.len = 64=le不低(短、小)于frame.len Select这样就能自动生成对应的过滤器了3 手机抓包法由于电脑的Wireshark抓包是流经电脑的网络包,而我们感知测试是需要关注由手机基带流出的信息,因此需要用
4、到手机版的Shark。Shark for root设置为“-i any vv s 0 -X”,开始录制。录制完后会在手机的根目录下生成.Pcap文件,导入电脑用Wireshark分析即可。4 信息统计工具4.1 DNS分析对于DNS的显示,可以通过在显式滤波器中输入“dns”进行筛选,DNS查询分为DNS请求和DNS响应。DNS请求:Standard queryDNS响应:Standard query response查看时需要注意,由于可能会有多条DNS查询同时进行,请求信息与响应信息会互相交叠,匹配是需要确认Transaction ID是否一致,如图中对应的Transaction ID为“
5、0x7621”。Figure 41Figure 42如果遇到DNS解析异常的情况需要关注DNS响应消息中的响应代码(RCODE)字段,上图中该字段值为0,表示DNS解析正常,常见的RCODE字段值及含义如下:Table 41对于DNS解析所花费的时间,可以借助于WireShark中的IO Graph工具进行查看。选择Statistics下的IO Graph,在Y Axis中的Unit下选择Advanced,而后在表达式中输入“dns.time”,点击最左测“Graph1”进行显示。可以看到本次分析的包中平均DNS查询耗时30ms,最长的一次用时80ms。Figure 43在一般情况下DNS解析
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- wireshark 录制 及其 分析
限制150内