51学通信

05-Wireshark高级功能应用

49分钟阅读

Wireshark数据包捕获与分析实战 第 5 篇:Wireshark高级功能应用

摘要

本文将带你深入探索Wireshark的高级分析功能,掌握专家信息系统、统计分析工具、协议追踪技术、流重组与对象导出等强大功能。你将学到如何高效分析大型捕获文件、快速定位网络问题、深入理解协议交互过程,以及利用Wireshark的自动化功能提高分析效率。

学习目标

阅读完本文后,你将能够:

  • 使用专家信息系统:快速识别网络异常和问题数据包
  • 运用统计分析工具:从宏观角度理解流量特征
  • 掌握协议追踪技术:重建完整的通信会话
  • 导出分析对象:提取协议中的文件和数据
  • 自定义配置Wireshark:打造个性化的分析环境

51学通信提示:Wireshark的强大不仅在于捕获和显示数据包,更在于它提供的高级分析功能。掌握这些功能,能让你从”看包”进阶到”分析包”的层次。站长爱卫生常说:“初级分析师看到数据包,高级分析师看到数据包背后的故事。“

一、专家信息系统

1.1 什么是专家信息系统

专家信息系统是Wireshark的自动分析引擎,它会实时扫描捕获的数据包,检测各种异常情况、协议违规、性能问题等,并用颜色和提示信息标注出来。这就像有一个经验丰富的网络专家在旁边帮你分析数据包,快速指出需要注意的地方。

专家信息系统在数据包列表窗格中用不同的颜色标注问题包:

  • 黑色:正常的数据包
  • 蓝色:信息性提示
  • 红色:严重错误或警告
  • 黄色:警告级别的提示

点击数据包列表下方的”Expert”标签,可以打开专家信息窗口,查看所有检测到的问题分类汇总。

51学通信建议:分析新捕获文件时,首先查看专家信息系统。它能快速告诉你有没有明显的问题,然后你可以深入分析具体的问题包。

1.2 专家信息分类

专家信息分为五个严重级别:

级别名称颜色说明
Chat对话灰色普通信息,如注意点
Note提示蓝色值得关注的信息
Warning警告黄色可能的问题,需要检查
Error错误红色明确的问题或错误
Group分组用于组织相关信息

Chat级别的信息通常是一些提示,如”TCP segment of a reassembled PDU”,表示这个TCP段是重组协议数据单元的一部分。

Note级别的信息通常是一些值得注意的细节,如”Time-to-live exceeded”(TTL超时)、“Responder too slow”(响应太慢)等。

Warning级别的信息表示可能的问题,如”TCP Retransmission”(TCP重传)、“TCP Out-of-Order”(TCP乱序)、“TCP Previous segment not captured”(前一段未捕获)等。

Error级别的信息表示明确的错误,如”Checksum error”(校验和错误)、“Malformed Packet”(格式错误包)、“Response is malformed”(响应格式错误)等。

1.3 常见TCP问题检测

专家信息系统能检测多种TCP相关问题,这些是网络分析中最常遇到的问题。

TCP重传

TCP重传是最常见的警告之一。当发送方发送数据后,在规定时间内没有收到确认,会重传该数据。专家信息会标注为”[TCP Retransmission]”。

重传的原因可能是:

  • 网络拥塞导致丢包
  • 链路质量问题
  • 接收方处理不过来
  • 路径MTU问题

在专家信息窗口中,重修警告会显示:

  • 重传的包号
  • 原始包的包号
  • 重传的时间间隔

大量重传表明网络有持续性质量问题。分析重传时,注意查看重传的比例、重传的时间间隔、重传的方向。

TCP乱序

当接收方收到序列号不连续的数据包时,会标记为乱序。专家信息会标注为”[TCP Out-of-Order]”。

乱序的原因可能是:

  • 路径改变(负载均衡)
  • 多路径传输
  • 严重拥塞导致包延迟

少量的乱序是正常的,现代TCP会处理乱序问题。但大量乱序可能影响性能。

TCP丢失的段

当专家信息显示”[TCP Previous segment not captured]“时,表示应该在这个包之前到达的段没有被捕获。这可能是因为:

  • 捕获过滤器太严格,过滤掉了某些包
  • 捕获过程中有丢包
  • 捕获缓冲区溢出

这不是网络问题,而是捕获问题。需要调整捕获参数或过滤器。

TCP快速重传

当发送方收到3个重复ACK时,会立即重传丢失的包,不等超时。这比超时重传更快,专家信息会标注为”[TCP Fast Retransmission]”。

快速重传是TCP的正常优化机制,不是错误。但大量快速重传表明网络有丢包问题。

flowchart TD
    A[专家信息检测到TCP问题] --> B{问题类型}
    B --> C[Retransmission<br>重传]
    B --> D[Out-of-Order<br>乱序]
    B --> E[Previous segment not captured<br>前段未捕获]
    B --> F[Fast Retransmission<br>快速重传]

    C --> C1[检查网络质量<br>查看丢包率]
    D --> D1[检查路由稳定性<br>查看负载均衡]
    E --> E1[检查捕获配置<br>调整过滤器]
    F --> F1[检查拥塞情况<br>查看带宽使用]

    C1 --> G[针对性解决问题]
    D1 --> G
    E1 --> H[重新捕获]
    F1 --> G

图表讲解

这张流程图展示了专家信息检测到TCP问题后的分析思路。51学通信站长爱卫生建议,看到TCP问题时,不要急于下结论,要根据问题的类型采取不同的分析路径。

对于重传问题,需要深入分析网络质量。查看丢包率、延迟、带宽使用情况。丢包可能是链路质量问题,也可能是网络拥塞。链路质量问题通常表现为持续的小比例丢包;拥塞表现为高峰期丢包,低峰期正常。

对于乱序问题,需要检查路由稳定性。如果网络使用负载均衡或多路径,不同包可能走不同路径,到达时间不同。查看数据包经过的跳数(TTL值),如果TTL值不同,说明路径不同。

对于前段未捕获问题,这明确是捕获问题,不是网络问题。可能是捕获过滤器太严格,过滤掉了某些包;或者捕获过程中有丢包。需要调整捕获参数,增大捕获缓冲区,放宽捕获过滤器。

对于快速重传问题,这是TCP的正常优化机制。但如果快速重传频繁发生,说明网络有拥塞。需要查看带宽使用情况,考虑升级带宽或实施QoS策略。

1.4 常见应用层问题检测

专家信息系统能检测多种应用层协议的问题。

HTTP问题

  • “HTTP 404 Not Found”:请求的资源不存在
  • “HTTP 500 Internal Server Error”:服务器内部错误
  • “HTTP 503 Service Unavailable”:服务不可用
  • “HTTP response code 4xx”:客户端错误
  • “HTTP response code 5xx”:服务器错误

这些是HTTP协议的正常状态码,不是错误。但如果某些错误频繁出现,表示应用有问题。

DNS问题

  • “DNS response code 3 (NXDOMAIN)“:域名不存在
  • “DNS response code 2 (SERVFAIL)“:服务器失败
  • “DNS query refused”:查询被拒绝

DNS问题通常会导致无法访问网站。需要检查DNS配置、域名是否正确、DNS服务器是否正常。

TLS问题

  • “TLS Unknown Cipher Suite”:未知的加密套件
  • “TLS Supported Version”:支持的TLS版本
  • “TLS Supported Group”:支持的椭圆曲线组

TLS问题通常与加密协商有关。如果客户端和服务器没有共同支持的加密套件,连接会失败。

二、统计分析工具

2.1 协议层次统计

协议层次统计(Protocol Hierarchy)是Wireshark最常用的统计工具之一,它显示捕获文件中所有协议的层次结构和数据量分布。

打开方式:Statistics → Protocol Hierarchy

协议层次统计以树状结构显示协议的层次关系,从物理层到应用层。每个协议节点显示:

  • 包数(Packets)
  • 字节数(Bytes)
  • 占父协议的百分比
  • 占总流量的百分比

例如:

Frame
  Ethernet II (100%)
    IPv4 (95%)
      TCP (90%)
        HTTP (80%)
        DNS (10%)
      UDP (5%)
    ARP (5%)

这个统计告诉你:

  • 总共捕获了多少包
  • 每种协议的包数和字节数
  • 协议的分布情况
  • 主要流量类型

应用场景

  1. 流量特征分析:了解网络中主要是什么协议。如果HTTP流量占80%,说明主要是Web浏览;如果DNS流量很高,可能有DNS查询问题。

  2. 异常检测:如果某种协议的流量异常高或异常低,可能有问题。例如,ARP流量通常应该很低(<5%),如果很高(>20%),可能有ARP风暴。

  3. 容量规划:了解各种应用的带宽占用,为网络升级提供数据支持。

  4. 性能问题定位:如果某个协议的流量异常,可能是该协议的应用有问题。例如,如果某个服务器的HTTP流量异常高,可能有恶意扫描或攻击。

51学通信建议:分析大型捕获文件时,首先查看协议层次统计,获得整体印象,然后再深入分析具体问题。

2.2 会话统计

会话统计(Conversations)显示网络通信的双向统计信息,帮助理解哪些主机之间在通信。

打开方式:Statistics → Conversations

会话统计按协议层组织:

  • Ethernet:以太网层会话(MAC地址对)
  • IPv4/IPv6:网络层会话(IP地址对)
  • TCP:TCP会话(IP地址+端口五元组)
  • UDP:UDP会话(IP地址+端口五元组)

每个会话显示:

  • 地址A → 地址B
  • 地址B → 地址A
  • 包数(Packets)
  • 字节数(Bytes)
  • 持续时间(Duration)
  • 吞吐量(bps)

TCP会话分析

TCP会话统计特别有用,因为它显示完整的TCP连接信息:

  • 源IP、源端口
  • 目的IP、目的端口
  • 两个方向的数据量
  • 连接持续时间
  • 重传情况
  • 往返时间(RTT)

通过TCP会话统计,可以:

  1. 识别最活跃的连接(按包数或字节数排序)
  2. 找出异常连接(持续时间异常短或异常长)
  3. 分析客户端-服务器通信模式

应用场景

  1. 性能问题诊断:如果某个连接的吞吐量很低,可能是网络问题或应用问题。查看该连接的详细信息,分析重传、延迟等。

  2. 安全审计:如果发现与未知IP地址的连接,可能是安全威胁。查看该连接的协议和内容,确认是否是恶意连接。

  3. 容量规划:了解哪些连接占用最多带宽,为网络优化提供依据。

2.3 端点统计

端点统计(Endpoints)显示网络中参与通信的实体统计信息。

打开方式:Statistics → Endpoints

端点统计也按协议层组织:

  • Ethernet:MAC地址统计
  • IPv4/IPv6:IP地址统计
  • TCP:TCP端点(IP地址+端口)
  • UDP:UDP端点(IP地址+端口)

每个端点显示:

  • 地址
  • 发送的包数和字节数
  • 接收的包数和字节数
  • 总计

应用场景

  1. 识别关键主机:按发送或接收字节数排序,找出网络中最活跃的主机。这些通常是关键服务器或有问题的工作站。

  2. 发现异常主机:如果某个主机发送或接收的数据量异常,可能有问题。例如,某台主机发送大量数据,可能是恶意软件在泄露数据。

  3. 网络发现:通过查看MAC地址和IP地址统计,可以了解网络中有哪些设备。

2.4 I/O图表

I/O图表(I/O Graph)以图形方式显示捕获流量的时间序列,是理解流量模式和性能问题的强大工具。

打开方式:Statistics → I/O Graph

I/O图表可以显示多种指标的图形:

  • 包数(Packets)
  • 字节数(Bytes)
  • 高级过滤器定义的指标

图表类型:

  • 折线图(Lines)
  • 柱状图(Bars)
  • 点图(Dots)

应用场景

  1. 流量模式识别:查看流量的时间分布。如果流量有明显的周期性(如每天高峰),可以据此优化网络配置。

  2. 性能问题定位:如果某个时间段吞吐量突然下降,可能是网络问题或应用问题。结合过滤器分析该时间段的流量。

  3. 带宽使用分析:查看实际带宽使用情况,为容量规划提供依据。如果带宽使用接近上限,可能需要升级。

高级用法

可以使用显示过滤器定义自定义指标。例如,只显示HTTP流量的图表:

  1. 添加过滤器http
  2. 选择显示的指标(如字节数)
  3. 应用过滤器

这样可以单独查看HTTP流量的时间分布,分析Web应用的流量模式。

flowchart TD
    A[统计分析工具选择] --> B{分析目标}
    B --> C[了解协议分布]
    B --> D[分析通信模式]
    B --> E[识别活跃主机]
    B --> F[查看流量趋势]

    C --> C1[Protocol Hierarchy<br>协议层次统计]
    D --> D1[Conversations<br>会话统计]
    E --> E1[Endpoints<br>端点统计]
    F --> F1[I/O Graph<br>I/O图表]

    C1 --> G[获得流量特征]
    D1 --> H[发现通信关系]
    E1 --> I[定位关键设备]
    F1 --> J[分析时间模式]

    G --> K[深入分析问题]
    H --> K
    I --> K
    J --> K

图表讲解

这张流程图展示了统计分析工具的选择逻辑。51学通信认为,选择正确的统计工具是高效分析的第一步。

如果目标是了解协议分布,使用协议层次统计。它能告诉你网络中都有哪些协议,各占多少比例。这对于快速了解网络特征很有用。

如果目标是分析通信模式,使用会话统计。它能告诉你谁在和谁通信,通信量多大,持续多长时间。这对于理解网络行为很有帮助。

如果目标是识别活跃主机,使用端点统计。它能告诉你哪些主机最活跃,发送或接收了多少数据。这对于发现关键设备或异常主机很有用。

如果目标是查看流量趋势,使用I/O图表。它能以图形方式显示流量随时间的变化,帮助识别流量模式和异常时间段。

这些统计工具不是孤立的,可以组合使用。例如,先用协议层次统计了解整体情况,再用会话统计深入分析特定连接,最后用I/O图表查看时间模式。

三、协议追踪技术

3.1 TCP流追踪

TCP流追踪(Follow TCP Stream)是Wireshark最强大的功能之一,它能够重建完整的TCP会话,以对话方式显示客户端和服务器之间的通信内容。

打开方式:

  1. 右键点击任意TCP数据包
  2. 选择”Follow” → “TCP Stream”

TCP流追踪窗口会显示:

  • 客户端发送的内容(蓝色或红色)
  • 服务器发送的内容(另一种颜色)
  • 完整的通信序列

对于基于文本的协议(如HTTP、SMTP、FTP),TCP流追踪能直接显示可读的内容。这对于理解协议交互过程非常有用。

应用场景

  1. HTTP调试:查看完整的HTTP请求和响应。可以清楚地看到请求的方法、URL、头部、响应的状态码、响应体等。

  2. 邮件传输分析:查看SMTP协议的完整交互。可以看到邮件发送的整个过程:EHLO、MAIL FROM、RCPT TO、DATA等。

  3. 故障诊断:如果连接出现问题,TCP流追踪能显示问题发生时的完整上下文。可以查看是哪一方发送了什么数据,导致了什么错误。

  4. 安全分析:查看可疑连接的完整内容。虽然加密内容无法直接读取,但可以看到连接建立的过程、数据长度、时序等信息。

51学通信经验:TCP流追踪不仅用于调试,也用于学习协议。通过追踪真实流量,可以深入理解协议的工作原理和交互过程。

3.2 HTTP流追踪

HTTP流追踪是TCP流追踪的HTTP专用版本,专门针对HTTP协议优化。

打开方式:

  1. 右键点击任意HTTP数据包
  2. 选择”Follow” → “HTTP Stream”

HTTP流追踪窗口会显示:

  • 请求行(方法、URL、版本)
  • 请求头部
  • 请求体(如果有)
  • 响应状态行(版本、状态码、原因短语)
  • 响应头部
  • 响应体

HTTP流追踪比TCP流追踪更友好,因为它理解HTTP协议的格式,会正确解析和显示HTTP数据。

应用场景

  1. Web应用调试:查看浏览器和服务器之间的完整HTTP通信。可以清楚地看到请求的参数、Cookie、响应的内容等。

  2. API测试:测试RESTful API时,查看请求和响应的详细信息。可以验证API是否按预期工作。

  3. 性能分析:查看HTTP请求的响应时间。虽然不如专门的性能测试工具精确,但能提供参考。

3.3 UDP流追踪

UDP是无连接协议,没有”流”的概念。但Wireshark提供了”Follow UDP Stream”功能,用于跟踪两个端点之间的UDP通信。

打开方式:

  1. 右键点击任意UDP数据包
  2. 选择”Follow” → “UDP Stream”

UDP流追踪会显示两个端点之间的所有UDP数据包,按时间顺序排列。这对于分析UDP协议(如DNS、Syslog)的通信很有用。

3.4 数据包重组

某些协议的数据会被分片传输,Wireshark能够重组这些分片,还原完整的数据。

IP分片重组

当IP数据包超过MTU时,会被分片传输。Wireshark会自动重组这些分片,显示完整的IP数据包。

重组后的数据包会标注”[Reassembled PDU]“,表示这是一个重组后的协议数据单元。

TCP段重组

TCP是字节流协议,应用层的数据可能被切分成多个TCP段传输。Wireshark能够重组这些段,还原完整的应用层数据。

例如,一个HTTP响应可能被切分成多个TCP段传输。Wireshark会重组这些段,显示完整的HTTP响应。

应用层重组

某些应用层协议(如HTTP、SMB)的数据也会被切分传输。Wireshark能够理解这些协议,重组应用层数据。

重组后的数据可以导出或查看。对于HTTP响应,可以导出响应体;对于SMB传输,可以导出传输的文件。

四、对象导出

4.1 导出HTTP对象

Wireshark能够从HTTP流量中导出各种对象:HTML文件、图片、脚本、CSS等。

打开方式:File → Export Objects → HTTP

HTTP对象列表会显示:

  • 所有HTTP响应的列表
  • 每个响应的内容类型
  • 主机名
  • 文件名(从URL中提取)
  • 内容长度
  • 时间戳

可以选择单个或多个对象导出,保存到指定目录。

应用场景

  1. 网页离线分析:导出网页的所有资源(HTML、图片、脚本、CSS),离线分析网页的结构和内容。

  2. 恶意软件分析:导出可疑的文件,进行进一步分析。如果网络中下载了可疑的可执行文件,可以导出来扫描或分析。

  3. 取证分析:在网络取证场景中,导出HTTP对象作为证据。可以证明某个用户访问了某个网页,下载了某个文件。

注意事项

导出的文件名是从URL中提取的,可能不是原始文件名。如果URL中没有文件名(如动态页面),Wireshark会生成一个文件名。

导出的文件可能不完整。如果HTTP响应被截断(连接中断),导出的文件也会被截断。

4.2 导出SMB文件

SMB(Server Message Block)是Windows文件共享协议,Wireshark能够从SMB流量中导出传输的文件。

打开方式:File → Export Objects → SMB

SMB对象列表会显示:

  • 所有传输的文件
  • 文件名
  • 文件大小
  • 传输方向(上传/下载)
  • 时间戳

可以选择文件导出。

应用场景

  1. 数据泄露检测:如果怀疑有人通过SMB传输敏感文件,可以导出文件进行分析。

  2. 文件传输审计:记录通过SMB传输的所有文件,满足合规要求。

  3. 病毒检测:如果网络中有病毒通过SMB传播,可以导出可疑文件进行扫描。

4.3 导出DICOM对象

DICOM(Digital Imaging and Communications in Medicine)是医学图像标准,Wireshark支持导出DICOM图像。

打开方式:File → Export Objects → DICOM

这对于医疗机构分析医疗影像网络传输很有用。

4.4 导出原始字节

除了特定协议的对象,Wireshark还能导出任意数据包的原始字节。

导出单个数据包

在数据包字节窗格中选中要导出的字节,右键选择”Export Selected Packet Bytes”。

导出多个数据包

使用”Export PDUs”功能(File → Export Packet Dissections → Export PDUs),可以选择特定协议的数据包导出。

应用场景

  1. 协议分析:导出原始字节,用其他工具分析。例如,导出自定义协议的数据,用十六进制编辑器分析。

  2. 数据恢复:从捕获文件中恢复文件。如果某个文件通过网络传输,可以从捕获文件中提取出来。

  3. 取证分析:导出数据作为证据。原始字节可以作为不可篡改的证据。

五、自定义配置与扩展

5.1 颜色规则配置

Wireshark允许自定义数据包的颜色,让不同类型的数据包以不同颜色显示,便于快速识别。

打开方式:View → Coloring Rules

Wireshark内置了许多颜色规则,如:

  • TCP重传:浅红色
  • TCP SYN包:浅黄色
  • HTTP请求:浅蓝色
  • DNS响应:浅绿色

可以添加自定义颜色规则。例如,将特定IP地址的数据包标记为红色:

  1. 点击”+“添加新规则
  2. 输入名称(如”Suspicious IP”)
  3. 输入过滤器(如ip.addr == 192.168.1.100
  4. 选择背景色和前景色
  5. 保存

应用场景

  1. 标记问题流量:将已知问题的数据包标记为特定颜色,快速定位。
  2. 标记重要主机:将关键服务器的流量标记为特定颜色,便于监控。
  3. 协议分类:为不同协议设置不同颜色,快速浏览流量类型。

51学通信建议:不要过度使用颜色规则。过多的颜色会让界面混乱,反而降低效率。建议只标记最重要的流量类型。

5.2 列配置

可以自定义数据包列表显示的列,添加或删除列,调整列的顺序。

打开方式:在数据包列表的列标题上右键选择”Column Preferences”

可以添加的列类型:

  • 协议字段:如tcp.lenhttp.time
  • 自定义字段:如frame.time_delta
  • 计算字段:如tcp.seq - tcp.last_seq

应用场景

  1. 显示特定字段:如果经常查看某个字段,可以添加为列。例如,添加tcp.len列,快速查看TCP段的长度。

  2. 性能分析:添加tcp.analysis.ack_rtt列,查看每个TCP段的往返时间。

  3. 自定义排序:按照特定字段排序,快速找到最大或最小的值。

5.3 首选项配置

Wireshark有大量的首选项设置,可以自定义各种行为。

打开方式:Edit → Preferences

常用首选项

Appearance:外观设置

  • 主题:浅色/深色
  • 字体:列表窗格、详情窗格、字节窗格的字体
  • 列:数据包列表显示的列

Capture:捕获设置

  • 默认接口:启动时自动选择的接口
  • 默认捕获过滤器
  • 实时更新包列表

Protocols:协议特定设置

  • 每个协议都有自己的设置
  • 例如,HTTP设置是否验证HTTP头、是否解压缩内容
  • TLS设置解密密钥的位置

Name Resolution:名称解析设置

  • MAC地址解析
  • 网络名称解析
  • 传输名称解析

Statistics:统计设置

  • 是否启用协议层次统计
  • 是否启用会话统计

51学通信站长爱卫生的建议:不要一次性修改太多首选项。每次修改一两个,观察效果,逐步调整到最适合你的配置。

5.4 配置文件管理

Wireshark支持多个配置文件(Profile),每个配置文件保存独立的设置。

打开方式:Edit → Configuration Profiles

可以创建多个配置文件,用于不同场景:

  • “Default”:日常使用
  • “Security”:安全分析,配置特定颜色规则和过滤器
  • “Voice”:VoIP分析,配置电信相关设置
  • “Demo”:演示使用,调整字体和布局

切换配置文件会立即应用该配置文件的所有设置。

配置文件共享

Wireshark配置文件可以导出和导入,便于在多台机器间共享配置,或团队共享标准配置。

导出配置文件:在配置文件管理界面,选择”Export”,保存为文件。

导入配置文件:在配置文件管理界面,选择”Import”,从文件加载。

六、核心概念总结

概念名称定义应用场景注意事项
专家信息Wireshark的自动分析引擎快速识别网络异常仅供参考,需要人工确认
重传TCP对丢包的恢复机制评估网络质量过多重传表明网络有问题
乱序数据包到达顺序与发送不同检查路由稳定性少量乱序是正常的
协议层次统计显示协议的分布和层次了解流量特征优先级选择分析工具
会话统计显示双向通信统计分析通信模式按包数或字节数排序
端点统计显示通信实体的统计识别活跃主机发现有问题或关键的设备
I/O图表流量的时间序列图分析流量趋势可使用过滤器定制指标
流追踪重建完整的通信会话理解协议交互文本协议效果最好
对象导出提取协议中的文件离线分析、取证文件可能不完整
颜色规则自定义数据包颜色快速识别重要流量不要过度使用

常见问题解答

Q1:专家信息系统显示的”TCP Previous segment not captured”是什么意思,需要担心吗?

:这个提示表示应该在这个数据包之前到达的TCP段没有被捕获到。这不是网络问题,而是捕获问题,不需要担心网络通信本身。

出现这个提示的原因通常有三个:捕获过滤器太严格、捕获过程中有丢包、或者捕获缓冲区溢出。如果设置了捕获过滤器(如port 80),那么不是TCP 80端口的包会被过滤掉,导致某些包没有被捕获。解决方法是放宽捕获过滤器或移除过滤器。

如果捕获过程中网络流量太大,超过了捕获设备的处理能力,或者捕获缓冲区太小,可能导致某些包被丢弃。解决方法是增大捕获缓冲区(在捕获选项中设置),或者使用性能更强的设备进行捕获。

有时这是正常的。例如,开始捕获时连接已经建立,之前的包没有被捕获,Wireshark会提示这个错误。只要后续的包都能捕获到,就不影响分析。

51学通信站长爱卫生的经验:如果只是偶尔出现这个提示,可以忽略。如果频繁出现,需要检查捕获配置,确保捕获了所有需要的流量。可以使用tcp.flags.syn == 1过滤器查看是否有新的TCP连接,如果连接建立过程中的包都捕获了,说明捕获配置基本正常。

Q2:如何在Wireshark中分析慢速网站访问问题?

:分析慢速网站访问需要系统化的方法,从多个维度检查性能瓶颈。51学通信建议按以下步骤分析:

第一步,使用协议层次统计了解整体流量特征。如果HTTP流量占很大比例,说明确实是Web流量问题。如果其他协议(如DNS)耗时很长,可能是域名解析问题。

第二步,查看HTTP响应时间。在数据包列表中添加http.time列,查看每个HTTP请求的响应时间。响应时间长意味着请求或响应有延迟。

第三步,分析TCP连接建立时间。查看三次握手的耗时。如果SYN到SYN-ACK的延迟很大,说明到服务器的网络延迟高;如果ACK到第一个HTTP请求的延迟大,可能是客户端或服务器的处理延迟。

第四步,检查TCP重传和窗口问题。使用过滤器tcp.analysis.retransmission查看重传,使用tcp.window_size_value == 0查看零窗口。重修多说明网络质量差,零窗口说明接收方处理不过来。

第五步,分析HTTP内容。查看响应的状态码、Content-Length、是否使用了压缩。如果响应体很大,即使网络正常,下载也需要时间。如果服务器没有启用压缩,可以建议启用。

第六步,使用I/O图表查看时间模式。如果某个时间段吞吐量突然下降,可能是网络拥塞或服务器负载高。

通过综合分析这些指标,可以定位慢速访问的根本原因:是网络问题、服务器问题、还是客户端问题。

Q3:Wireshark能解密HTTPS流量吗,需要什么配置?

:Wireshark可以解密HTTPS流量,但需要特定的配置和条件。HTTPS使用TLS加密传输层,默认情况下Wireshark只能看到加密后的密文。

第一种方法是配置TLS密钥。对于使用RSA密钥交换的TLS连接(主要是TLS 1.2及之前版本),如果你有服务器的私钥,可以在Wireshark中配置。配置路径是Edit → Preferences → Protocols → TLS → RSA keys list,添加私钥文件、对应的IP地址和端口。这种方法有局限性:不适用于Diffie-Hellman密钥交换(包括DHE、ECDHE),且TLS 1.3默认使用ECDHE,即使有私钥也无法解密被动捕获的流量。

第二种方法是使用密钥日志。现代浏览器(Firefox、Chrome)支持将TLS会话密钥导出到文件。设置环境变量SSLKEYLOGFILE=/path/to/keylog.txt,浏览器会自动将密钥写入该文件。在Wireshark的TLS设置中指定这个密钥日志文件(Pre-Master-Secret log filename),Wireshark可以用密钥解密流量。这种方法适用于TLS 1.3,但需要控制客户端。

第三种方法是使用中间人代理。工具如Burp Suite、mitmproxy可以作为代理,解密HTTPS流量后再重新加密发送给服务器。Wireshark捕获代理后的流量,可以看到明文。需要在客户端配置代理。

51学通信强调:在生产环境中解密HTTPS需要谨慎考虑安全风险和法律合规性。大多数情况下,分析加密流量的元数据(连接建立时间、数据包大小、时序)就足以诊断网络层面的问题。如果确实需要查看明文,应该在测试环境中重现问题,或获得明确的授权。

Q4:如何分析大型捕获文件(几GB甚至几十GB)?

:分析大型捕获文件需要特殊的方法和技巧,因为直接打开这么大的文件会很慢,甚至可能导致Wireshark崩溃。51学通信建议采用以下策略:

第一个策略是使用命令行工具预处理。在Wireshark打开之前,先用editcap工具处理文件。例如,使用editcap -r input.pcapng output.pcapng删除重复包;使用editcap -s 0 input.pcapng output.pcapng删除包长度限制;使用editcap -c 10000 input.pcapng output.pcapng将大文件分割成多个小文件,每个文件10000个包。

第二个策略是创建索引。Wireshark打开文件时会创建索引,加速后续访问。如果文件太大,可以先用capinfos查看文件信息,了解包的数量和大小,然后决定如何处理。

第三个策略是使用显示过滤器。打开文件后立即应用过滤器,只显示需要的包。这样可以减少内存使用,提高响应速度。例如,使用http过滤器只查看HTTP流量,使用ip.addr == 192.168.1.100只查看特定主机的流量。

第四个策略是使用TShark命令行工具。TShark是Wireshark的命令行版本,内存效率更高,适合处理大文件。可以使用tshark -r largefile.pcapng -Y "http" -T fields -e frame.number -e ip.src -e http.host提取需要的信息,然后在Wireshark中分析提取的结果。

第五个策略是使用统计分析。不要逐个查看数据包,而是使用统计工具(如协议层次统计、会话统计)获得整体印象,然后针对问题区域深入分析。

第六个策略是增加系统内存。Wireshark处理大文件需要大量内存,如果可能,升级到16GB或32GB内存。

最后,考虑使用分片捕获。如果可以重新捕获,使用环形缓冲区配置,将流量分割成多个较小的文件,便于后续分析。

Q5:如何识别和过滤广播/组播风暴?

:广播和组播风暴是网络中常见的问题,会导致网络性能严重下降。识别和过滤这类流量需要了解正常的广播/组播流量模式。

首先,使用协议层次统计查看广播/组播流量的比例。以太网层有三个地址类型:单播(Unicast)、组播(Multicast)和广播(Broadcast)。正常情况下,广播/组播流量应该占总流量的5-10%以下。如果超过20-30%,很可能有风暴。

然后,使用过滤器查看具体的广播/组播流量。eth.broadcast过滤器显示以太网广播帧,eth.multicast显示组播帧。进一步使用arp过滤器查看ARP广播,因为ARP是最常见的广播协议。如果ARP流量异常高,可能是ARP风暴。

分析广播/组播流量的源地址。使用eth.src == 00:11:22:33:44:55过滤器,查看特定源地址发出的所有广播/组播帧。如果某个设备频繁发送广播,可能是该设备有问题或配置错误。

检查具体协议的广播/组播流量。常见的广播/组播协议有:

  • ARP:地址解析协议
  • IPv4广播:如DHCP、NetBIOS
  • IPv6组播:如NDP、mDNS
  • STP:生成树协议
  • 路由协议:如OSPF、EIGRP

使用stpmdnsllmnr等过滤器查看这些协议的流量。

识别风暴的典型特征:

  • 每秒数百到数千个广播/组播包
  • 占用大量带宽
  • 持续不断,不是间歇性爆发
  • 通常由某个特定设备发起

解决风暴的方法取决于原因。如果是ARP风暴,可能是网络中有设备重复IP地址,或ARP攻击。如果是STP风暴,可能是生成树配置问题。如果是mDNS/LLMNR风暴,可能是某些应用频繁发送服务发现请求。

51学通信站长爱卫生的经验:如果发现风暴,首先隔离可疑设备。可以逐个关闭设备,观察风暴是否停止。风暴停止时的最后一个设备就是问题所在。也可以在交换机上配置端口安全,限制广播/组播流量的速率。

总结

本文深入讲解了Wireshark的高级分析功能,从专家信息系统到统计分析工具,从协议追踪技术到对象导出方法,涵盖了Wireshark最强大的功能集。

专家信息系统是Wireshark的智能核心,它自动扫描数据包,检测各种异常和问题。理解专家信息的分类和含义,能让你快速定位网络问题。TCP重传、乱序、丢失的段等警告,都是网络质量的重要指标。

统计分析工具提供了宏观视角,帮助你理解流量的整体特征。协议层次统计显示协议的分布,会话统计揭示通信模式,端点统计识别活跃主机,I/O图表展示时间趋势。这些工具结合起来,能全面了解网络行为。

协议追踪技术让你能够重建完整的通信会话,深入理解协议交互过程。TCP流追踪特别有用,它能以对话方式显示客户端和服务器之间的完整通信,对于调试和学习都非常有价值。

对象导出功能让你能够从流量中提取实际的文件和数据。无论是HTTP的HTML和图片,SMB的共享文件,还是DICOM的医学图像,都可以导出进行进一步分析。

自定义配置让Wireshark适应你的工作习惯。颜色规则、列配置、首选项设置、配置文件管理,这些功能让你能够打造个性化的分析环境。

51学通信认为,掌握这些高级功能,你就能从数据包的”观察者”变成网络问题的”诊断者”。Wireshark不再只是一个显示工具,而是你的分析助手。

下篇预告

下一篇我们将深入探讨网络性能分析实战,带你了解延迟分析、吞吐量测试、丢包诊断、带宽瓶颈识别以及应用性能优化的方法。你将学会系统地分析和优化网络性能。

本文由”51学通信”(公众号:51学通信,站长:爱卫生)原创分享。如需深入交流或获取更多通信技术资料,欢迎添加微信:gprshome201101。

关系图谱