这8个Wireshark使用技巧,网工屡试屡爽!

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介: 这8个Wireshark使用技巧,网工屡试屡爽!


一:数据包过滤

过滤需要的IP地址 ip.addr==


在数据包过滤的基础上过滤协议ip.addr==http://xxx.xxx.xxx.xxx and tcp


过滤端口ip.addr==http://xxx.xxx.xxx.xxx and http and tcp.port==80


指定源地址 目的地址ip.src==http://xxx.xxx.xxx.xxx and ip.dst==http://xxx.xxx.xxx.xxx


SEQ字段(序列号)过滤(定位丢包问题)

TCP数据包都是有序列号的,在定位问题的时候,我们可以根据这个字段来给TCP报文排序,发现哪个数据包丢失。

SEQ分为相对序列号和绝对序列号,默认是相对序列号显示就是0 1不便于查看,修改成绝对序列号方法请参考第三式。


二:修改数据包时间显示方式

有些同学抓出来的数据包,时间显示的方式不对,不便于查看出现问题的时间点,可以通过View---time display format来进行修改。

修改前:


修改后:



三:确认数据报文顺序

有一些特殊情况,客户的业务源目的IP 源目的端口 源目的mac 都是一样的,有部分业务出现业务不通,我们在交换机上做流统计就不行了,如下图网络架构。箭头是数据流的走向,交换机上作了相关策略PC是不能直接访问SER的。


那我们在排查这个问题的时候,我们要了解客户的业务模型和所使用得协议,很巧合这个业务是WEB。我们从而知道TCP报文字段里是有序列号的,我们可以把它当做唯一标示来进行分析,也可以通过序列号进行排序。

一般抓出来的都是相对序列号0 1不容易分析,这里我们通过如下方式进行修改为绝对序列号。

Edit-----preference------protocols----tcp---relative sequence numbers


修改参数如下:


我拿TCP协议举例


把TCP的这个选项去除掉


最后的效果:


四:过滤出来的数据包保存

我们抓取数据包的时候数据量很大,但对于我们有用的只有几个,我们按条件过滤之后,可以把过滤后的数据包单独保存出来,便于以后来查看。



五:数据包计数统计

网络里有泛洪攻击的时候,我们可以通过抓包进行数据包个数的统计,来发现哪些数据包较多来进行分析。


Statistics------conversations


六:数据包解码

IPS发送攻击日至和防病毒日志信息端口号都是30514,SecCenter上只显示攻击日志,不显示防病毒日志。查看IPS本地有病毒日志,我们可以通过在SecCenter抓包分析确定数据包是否发送过来。

发过来的数据量比较大,而且无法直接看出是IPS日志还是AV日志,我们先把数据包解码。

(由于没有IPS的日志抓包信息,暂用其他代替)

解码前:


解码操作:



解码后:


七:TCP数据报文跟踪

查看TCP的交互过程,把数据包整个交互过程提取出来,便于快速整理分析。



八:通过Wireshark来查看设备的厂家

查看无线干扰源的时候,我们可以看出干扰源的mac地址,我们可以通过Wireshark来查找是哪个厂商的设备,便于我们快速寻找干扰源。

例如:mac地址是A4-4E-31-30-0B-E0


我们通过Wireshark安装目录下的manuf文件来查找


相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
3月前
|
网络协议 网络安全 网络架构
不会这10个抓包技巧,就不要在网工圈里混了!
不会这10个抓包技巧,就不要在网工圈里混了!
171 1
|
3月前
|
存储 运维 监控
Qt开发网络嗅探器01
Qt开发网络嗅探器01
|
3月前
|
网络协议 容器
Qt开发网络嗅探器03
Qt开发网络嗅探器03
|
缓存 网络协议 搜索推荐
「Wireshark网络分析就这么简单」 读书笔记(1)
「Wireshark网络分析就这么简单」 读书笔记(1)
195 0
|
存储 域名解析 网络协议
「Wireshark网络分析就这么简单」 读书笔记(2)
「Wireshark网络分析就这么简单」 读书笔记(2)
185 0
|
网络协议 Linux 网络架构
快速学习多协议抓包利器Wireshark
快速学习多协议抓包利器Wireshark
229 0
|
缓存 监控 网络协议
2022年最受工程师欢迎的10款抓包工具有哪些?不止Wireshark和Tcpdump哦!
网络嗅探器在日常工作中经常使用,通常情况下,我们叫做“抓包工具”,不管是软件开发、还是网络工程师,抓包解决一些问题已经称为最正常不过的操作。
1266 0
2022年最受工程师欢迎的10款抓包工具有哪些?不止Wireshark和Tcpdump哦!
|
缓存 监控 网络协议
Wireshark网络抓包(四)——工具
1. File:了解抓包文件的各种属性,例如抓包文件的名称、路径、文件所含数据包的规模等信息 2. Time:获悉抓包的开始、结束和持续时间 3. Capture:抓包文件由哪块网卡生成、OS版本、Wireshark版本等信息 4. Display:剩下的是汇总统计信息,数据包的总数、数量以及占比情况、网速等
Wireshark网络抓包(四)——工具
|
网络协议
计算机网络实验【利用wireshark抓包工具抓包】
计算机网络实验【利用wireshark抓包工具抓包】
441 0
计算机网络实验【利用wireshark抓包工具抓包】