- 1、本文档共12页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
第 PAGE11 页 /共 NUMPAGES11 页
Wireshark的录制及分析
无线网优中心
2016年06月
目录
TOC \o 1-3 \h \z \u 1 抓包过滤器 3
2 显示过滤器 4
2.1 方法一 4
2.2 方法二 5
3 手机抓包法 6
4 信息统计工具 6
4.1 DNS分析 6
4.2 HTTP数据流分析 8
4.3 排障执行 10
4.4 分析用例 12
5 参考书推荐 18
抓包过滤器
抓包过滤器配置于抓包前,一经应用,Wireshark将只抓取经过抓包过滤器过滤的数据(包或数据帧),其余数据一概不抓。
可以通过Capture Filter选择常用滤波语句,该语句基于伯克利数据包过滤器(Berkeley Packet Filter,BPF)的语法,过滤器会对输入进Capture Filter文本框内的字符串的语法进行检查,不会检查其条件是否满足。
如需了解BPF语法,可查看论文《A New Architecture for User-level Packet Capture》
显示过滤器
显示过滤配置抓包之后,此时,Wireshark已抓得所有数据,但只能看到显示滤波器显示的数据。在抓包开始后“Filter”输入语句就可以进行配置了。
方法一
每条显示过滤器通常都是由若干原词构成,原词之间通过连接符(如and 或 or等)连接,原词之前可以添加not 表示相反的意思,其语法如下:
[not] Expression [and|or] [not] Expression …
显示过滤器表达式中条件操作符的作用。
类似于C语言的操作符
简写形式
描述
举例
==
eq
等于
ip.addr == 或
ip.addr eq
!=
ne
不等于
!ip.addr == 或
ip.addr != 或
ip.addr ne
gt
高(长、大)于
frame.len 64
lt
低(短、小)于
frame.len 1500
=
ge
不高(长、大)于
frame.len = 64
=
le
不低(短、小)于
frame.len = 1500
is present
符合某项参数,满足某个条件,或出现某个现象
http.response
contains
包含某个(串)字符
http.host contains baidu
match
某串字符匹配某个条件
http.host matches
and
逻辑与
ip.src ==
and tcp.flags.syn==1
||
or
逻辑或
ip.addr ==
or ip.addr ==
!
not
逻辑非
not arp and not icmp
方法二
右键帧信息框中感兴趣的内容,Prepare a Filter – Select这样就能自动生成对应的过滤器了
手机抓包法
由于电脑的Wireshark抓包是流经电脑的网络包,而我们感知测试是需要关注由手机基带流出的信息,因此需要用到手机版的Shark。
Shark for root设置为“-i any –vv –s 0 -X”,开始录制。录制完后会在手机的根目录下生成.Pcap文件,导入电脑用Wireshark分析即可。
信息统计工具
DNS分析
对于DNS的显示,可以通过在显式滤波器中输入“dns”进行筛选 eq \o\ac(○,1),DNS查询分为DNS请求和DNS响应。
DNS请求:Standard query
DNS响应:Standard query response
查看时需要注意,由于可能会有多条DNS查询同时进行,请求信息与响应信息会互相交叠,匹配是需要确认Transaction ID是否一致,如图中 eq \o\ac(○,2)对应的Transaction ID为“0x7621”。
Figure STYLEREF 1 \s 4 SEQ Figure \* ARABIC \s 1 1
Figure STYLEREF 1 \s 4 SEQ Figure \* ARABIC \s 1 2
如果遇到DNS解析异常的情况需要关注DNS响应消息中的响应代码(RCODE)字段 eq \o\ac(○,3),上图中该字段值为0,表示DNS解析正常,常见的RCODE字段值及含义如下:
Table STYLEREF 1 \s 4 SEQ Table \* ARABIC \s 1 1
对于DNS解析所花费的时间,可以借助于WireShark中的IO Graph工具进行查看。选择Statistics下的IO Graph,在Y Axis中的Unit下选择Advanced eq \o\ac(○,4),而后在表
您可能关注的文档
最近下载
- 立体构成PPT-课件.pptx VIP
- 梅赛德斯-奔驰-R级-产品使用说明书-R350 4MATIC-251165-Rclass.pdf
- 设计依据和设计工作目标.doc VIP
- 津津有味·读经典Level2《铁路少年》译文和答案.pdf
- 办公楼装修 投标方案(技术方案).docx
- 津津有味·读经典Level2《铁路少年》译文和答案.pptx
- 白门埭川李氏宗谱 卷一 苍坡卷2023年癸卯修订稿.pdf
- 器械不良反应报表.docx
- 超星学习通 大学生心理健康教育(北京大学)尔雅网课答案.pdf
- 荣威-550-产品使用说明书-550 Plug-in 豪华版-CSA7154TDPHEV-荣威e550用户手册-2017.3.10.pdf
文档评论(0)