Wireshark使用及协议分析.PPT

协议分析及Wireshark使用 鼎利通信 为什么要抓包？ 查找网络故障，网络管理员的帮手…… 做游戏外挂的分析数据需要使用…… 做底层协议开发需要使用…… 学习和理解协议使用…… 破解及非法用途…… 抓包支持的协议（常用） 应用层：WAP、FTP、HTTP、SMTP、POP3、Fetion、PING…… 传输层：UDP、TCP、RTP 网络层：IP、ARP、IGMP…… 链路层：PPP，PPOE…… 物理层：以太网、令牌环、FDDI、X.25、帧中继、RS-232、v.35 …… 前台对抓包的支持 采用WinPCAP库，和Wireshark一样 在拨号之后才能抓包 可以支持同时对多个拨号网络进行抓包 对抓包数据的呈现：仅仅是显示抓包数据 未对抓包进行统计分析 前台不足 不能抓取PPP过程 解决方案：首先拨号，然后设定抓包的拨号网络，然后停止拨号，此时再启动抓包进程，最后按正常流程测试 未对抓包的数据提供统计、分析、KPI输出和图表呈现等 未对抓包业务数据提供分析报表功能 抓包分析KPI——TCP/IP重传率 定义：TCP重传的帧数 / 所有TCP帧数 * 100%，反应应用层传输质量 影响TCP/IP重传率的相关参数：MTU，ACK超时设定 受TCP/IP影响的KPI：应用层速率 引申指标：TCP ACK重传率 定义：TCP ACK包重传帧数 / 所有TCP IP重传帧数 * 100% TCP/IP和无线关系：误帧率/误码率高导致TCP/IP重传，RLP重传增强ACK包的可靠性，避免因为RLP误码或ACK超时而导致TCP/IP不必要的重传 可以给出RLP重传率、TCP/IP重传率、应用层速率等三者的关系图，可以给出TCP/IP ACK包重传次数和RLP重传次数的比例曲线。 TCP ACK重传率很高，则说明网络需要优化RLP对ACK的重传，将大大提高应用层速率。 抓包KPI——TCP丢包率 定义：（TCP帧总数 – TCP收到ACK的帧数）/TCP总帧数 * 100% 丢包率是重要的指标，严重影响TCP/IP的传输性能，正常情况下丢包率和重传相差不多 抓包KPI——TCP误帧率 定义：Checksum不正确的总包数 / TCP总包数 * 100% 误帧率越低越好，误帧会影响速率 但误帧不一定需要重传，而且由于TCP checksum offload功能，不一定误帧就表示一定不正确需要重传 抓包KPI——复位率 定义：RST帧数 / 所有帧数 * 100% RST呈现了网络的有效性（可服务能力），比率越大，网络质量越差 抓包KPI——TCP帧响应时延(RTT) 定义：第N帧收到ACK的时间 – 第N帧PSH的时间，单位：毫秒 意义：帧时延能够反映TCP/IP网络响应速度，可以检查网关设备、路由设备、服务器的响应速度和能力 输出：最大值、最小值、平均值 抓包显示参数 MTU 最大传输单元，影响TCP/IP重传率和应用层速率 最大，最小，平均值 MTU正常的值设定：1500（以太网），1492（PPPoE拨号网络） TCP Window Size 最大，最小，平均值 TCP Window Size影响TCP/IP速率 TTL 暂无用途，需要结合PING/ICMP才能使用 抓包分析KPI——包重组率 定义：TCP/IP重组(Reassemble)帧数 / 总TCP/IP帧数 * 100% 包重组率越低越好，正常应该为0。 TCP/IP重组帧数过大表明中间有路由器不支持当前设定的MTU 握手成功率 定义：SYN请求收到对应ACK的次数 / SYN请求的次数 * 100% 握手成功率表明TCP/IP的可服务能力 握手成功率依赖网关、服务器的处理能力等 抓包KPI——拥塞率 定义：标识为CWR的帧数 / 总TCP帧数 * 100% 拥塞率越低越好，拥塞率 抓包结合数据分析 抓包结合应用层业务可以给出应用层失败的原因及比例，分类等 支持的业务包括：WAP、HTTP、FTP、EMAIL、SMTP WAP 2.0/HTTP抓包分析 WAP重定向比率 定义：WAP 300~307响应数 / 所有WAP响应数 * 100% 重定向越多，对无线网络压力越大，重定向数据是无效数据，浪费带宽 WAP 2.0主要失败原因比例 502 WAP网关失败 504 WAP网关超时 其余50x 服务器端错误 400 请求错误 404 地址错误 403 权限受限 其余4xx，客户端错误 可以列出每一次WAP失败的错误Code信息及其文字描述，WAP失败详情包括： 时间、网关地址:端口、本地IP地址:端口、失败代码、失败原因、请求地址 FTP 抓包分析 FTP命令失败详情： 时间，服务器地址:端口，下载文件地址，命令，命令错误代码 什么是Wireshark？ Wires