实验目的
1、工具介绍
2、主要应用
实验原理
1、网络管理员用来解决网络问题
2、网络安全工程师用来检测安全隐患
3、开发人员用来测试执行情况
4、学习网络协议
实验内容
1、数据流追踪功能
2、协议分层统计
3、会话统计
4、网络节点
5、数据包长度统计
6、图表分析-IO Graph
7、图表分析-Flow Gragh
实验环境描述
实验环境描述
1、学生机与实验室网络直连;
2、VPC1与实验室网络直连;
3、学生机与VPC1物理链路连通;
pc机:Windows7旗舰版 密码:123456
实验步骤
1、首先打开Wireshark工具认识主界面:Capture包含一些常用选项Interface List 网卡列表、Capture Options其他配置选项。Files:Open打开抓包的文件。以及Online在线帮助,用户手册,官网信息
数据流追踪功能
1、数据流追踪将tcp、udp、ssl等数据流进行重组并完整呈现出来analyze–>follow tcp stream
协议分层统计
1、协议分层设计统计通信流量中不同协议占用额百分比,通过这个工具可以对全网流量有直观的了解,到底整个网络那些流量占用最多,那些占用最少等等。打开statistics–>protocol hierarchy
2、协议栏,数据包分析,数据包个数,字节百分比,字节个数,速度,最终包数量,最终字节数量,最终速度等。图中我们可以看出,Ethernet的流量包括IPv4和ipv6,ipv4包括udp和tcp,这几个分项的和就是以太网百分百的流量
3、在网络异常的时候,通过分析这些数据包占用的流量我们可以判断网络问题,如图这是一个正常的网络占用百分比,例如网络发生了ARP攻击,那么ARP在这里的占用也许会显示20%或者30% (可在本地自行查看)
会话统计
1、回话统计功能,统计通信会话之间接收和发送的数据包和字节数,通过这个工具可以找出网络中哪个会话(IP地址或端口号)最占用带宽,进一步作出网络策略。打开statistics–>conversations
2、Ethernet以太网统计功能包括:mac通信统计,通信序包数,通信字节数;IPv4统计功能包括:IP通信统计,查看通信包数量,字节数;ipv6统计;tcp统计包括:源IP源端口,目的IP目的端口,查看包数量;udp会话统计包括:源IP源端口,目的IP目的端口,查看包数量
3、在tcp、udp里还提供了流追踪,图形化A->B,图形化B->A
网络节点
1、网络节点功能,统计通信会话中每个节点接收和发送的数据包和字节数,通过这个工具可以找出网络中哪个节点(IP地址或端口号)最占用带宽。打开statistics–>endpoints
2、如下图所示,终端节点统计是面向IP的,可以查看具体某一个IP发送的流量以及占用带宽
数据包长度统计
1、统计数据流中包长度的分布。 打开statics–>packet lengths
2、这里进行全局统计,点击create stat。管理员可以根据自己网络情况添加过滤条件
3、显示按照长度划分的序包。大部分包的正常长度为40~5119。例如,网络中有一种小型帧或巨型帧的攻击方式,利用发送数据包小于40或大于5119的包进行攻击,这时候可以在这里查看数据包长度统计观察这些异常包的百分比,找出网络问题
图表分析-IO Graph
1、IO Graph对网络中的吞吐量进行实时图形显示。在wireshark抓包过程中打开statistic–>IO Graph
2、IO图表展示了吞吐量过程,X轴表示时间流,y轴表示数据包,图表默认情况下统计网卡的吞吐量
3、Craphs默认允许展示五条报表,例如在filter 过滤器中输入http查看http在网络中占用的吞吐量,点击Graph2,显示出一条红色的波线就是http图表的吞吐量。管理员可以根据网络环境,在filter过滤器中添加更多的过滤条件
图表分析-Flow Gragh
1、Flow Gragh 数据流图,将会话通信过程图形可视化出来。打开statistics–>flow graph
2、选择all对所有的包进行图表分析,displayed packets对过滤出来的包进行图表分析
3、图表分析界面,扫描时间点,源IP,目的IP,具体包内容都以图形化的方式显示出来
