统计网络端点信息
通过上次课程的学习,我们已经掌握了关于Wireshark的基础知识,那么接下来我 们就有必要来研究一下这款软件强大的表格功能了。
这里首先讲解一下关于网络中的端点以及会话的知识。在网络中,如果想让通信得 到正常的执行,那么就必须至少拥有两台设备或者说端点(EndPoint)进行数 据的交互操作。所谓的端点,就是指网络上用于发送或者接收数据的设备。比如在 基于TCP/IP协议的通信中,就包含有两个端点:发送方和接收方的IP地址, 结合着实验文件(Lab2-1)可以发现,对于捕获的第1个数据包来说,发送方的IP 地址是180.97.34.134,而接收方的IP地址是192.168.0.14。那么这两个IP地址其 实就是两个端点:
而在数据链路层,通信则是基于两台主机中安装的网卡和它们的MAC地址进行 的。依旧分析一下第1个数据包,我们在Packet Details面板中展开Ethernet II ,可以看到发送方的地址是94:de:80:d4:be:c9,而接收方的地址是 d0:fa:1d:61:0b:0c。那么这两个地址就是通信中的端点:
我们在实际分析过程中,面对网络流量的时候,可以将问题定位到网络中的一个特 定的端点上。可以在菜单栏中选择“Statistics”->“Endpoints”来打 开Endpoints窗口:
可以看到,这个窗口给出了端点中的非常多的有用的数据。在其顶部的选项卡中, 显示了当前捕获文件中所有被支持和识别的端点,每个选项卡都表示不同的协议。灰色的选项卡表示不存在该协议的统计信息。以Ethernet选项卡为例,每列 所表示的信息为:
Address:端点的地址
Packets:在捕获文件中包含该地址的数据包数量。
Bytes:数据包的字节数据。
Tx Packets:发送的数据包数量。
Tx Bytes:发送的数据包的字节数。
Rx Packets:接收的数据包数量。
Rx Bytes:接收的字节数
在这个窗口中还包含有名为“Name resolution”的多选框,它可以在端点窗 口中打开名字解析的功能。上图是包含有名字解析的,下图则是取消名字解析的情 况:
查看网络会话信息
所谓的网络会话(Conversation)可以理解为两个人之间的谈话,只不过网络 会话描述的是两台主机(端点)之间进行的通信活动。对于TCP协议来说,最常 见的会话就是连接建立时的三次握手了。可以在菜单栏中选择“Statistics”->“Conversations”来打开Conversations窗口:
与Endpoints窗口相同,Conversations窗口中所列出的会话同样以不同的协议分
布在不同的选项卡中,这可以通过顶部的选项卡进行切换。如果我们右键单击一个
会话,选择“Apply as Filter”->“Selected”就可以创建一些非常
实用的筛选器,比如显示由设备A发出的所有数据,设备B收到的所有数据,或者设
备A和B之间的所有通信数据等。而一旦我们选择了其中的某一项筛选条件,那么回
到Wireshark主界面时,在筛选条件输入框中,自动就会添加上刚才选择的条件:
使用端点和会话窗口分析网络问题
在排解网络问题的过程中,端点和会话窗口往往扮演着非常重要的角色。当我
们试图寻找网络中大规模流量的源头,或者查找哪台服务器最为活跃上面,这两个
窗口往往就能告诉我们一切。这里我们打开Lab2-2.pcap这个实验文件,利用筛选
器只保留http协议的数据包。可以发现,有多个客户端在浏览互联网时产生了大
量的http流量。那么现在我们可以使用端点窗口来查看一下具体的情况:
这里我们查看IPv4选项卡,并且以字节数从高到低进行排序。可以看到流量最大的
是172.16.16.128这个地址,其实也就是本机地址,说明网络中的这个设备是数
据集中最活跃的信息源,也就是进行了最多通信的主机。第二个地址是
74.125.103.163,并不是本地地址,那么就可以假设本地某一个或者多个客户端
与这个地址进行了一些交互。利用ip.cn网站查询这个IP地址的信息如下:
www.ip.cn.
可以发现,这个IP地址属于美国的谷歌公司。
或者我们也可以使用GeoLiteCity.dat来辅助我们进行分析。首先将实验文件中
的maxmind目录拷贝到C盘的根目录下,然后在Wireshark中选择菜单栏
的“Edit”->“Preferences”->“Name Resolution”。在新打开
的界面中选择“GeoIP Database Directories”后面的Edit按钮,单击
New,选择maxmind目录,再OK。之后重启Wireshark,那么当我们
再次载入Lab2-2.pcap,打开端点窗口,再选择IPv4选项卡,就会发现这里添加了
City、Latitude以及Longitude这几列的信息:
此时再单击Map按钮,就可以将所有数据包定位在一张地图上,点击地图上的
圆点,还可以显示相应的信息:
下面我们来分析一下会话窗口。这里有一个问题,最活跃的通信端点一定包含有流
量最大的会话吗?不妨验证一下,这里打开会话窗口,选择IPv4选项卡,再用字节
数对列表进行排序:
在这里可以看到,74.125.103.163这个IP地址发出的数据包要比
172.16.16.128这个地址发出的数据包大得多。说明最活跃的通信端点并不一定包
含有流量最大的会话。我们以后在实际的分析中,还会用到这两个窗口。
协议的分层统计
当我们在分析一个很大的捕获文件时,我们往往想要知道文件中协议的分布情况
,或者想要获取协议的多层结构信息。为了达到这个目的,我们可以使用
Wireshark的“协议分层统计”功能,它是对网络进行基准分析的强有力的工具
。举个例子来说,假设我们网络中的ARP流量通常占百分之十,但是某一天经过抓
包分析发现ARP的流量增长到了百分之五十,那么就可以知道一定是某个地方出了
问题。
这里我们依旧研究Lab2-2.pcap这个实验文件,在菜单栏中选择“Statistics
”->“Protocol Hierarchy”,打开协议分层统计窗口:
这个对话框显示了捕获的文件中所包含的所有协议的树状分支。其中的每一行都
包含一个协议层次的统计值,每列的含义如下:
Protocol:协议的名称
%Packets:含有该协议的数据包的数量在捕获文件的所有数据包中所占的 比例
Packets:含有该协议的数据包的数量
%Bytes:含有该协议的字节数目在捕获文件的所有字节数目中所占的比例
Bytes:含有该协议的字节数
MBits/s:协议的带宽(相对于捕获时间)
如果大家在学习的过程中想要获取更为详细的说明,也可以点击左下角 的“Help”按钮,从而打开帮助文档。
其实协议分层统计窗口是我们在进行网络流量检查时最先打开的窗口之一,因为 它能够提供给我们一个网络中活动类型的直观快照。通过查看这个窗口,检查正在 使用的协议分布情况,从而获取网络中用户和设备的情况。往往只需要简单地查看 网段中的流量,就可以立刻分辨这个网段属于哪个部门。比如IT部门网段的流量中 通常有管理协议,例如Internet控制报文协议(ICMP)或者简单网络管理协议 (SNMP),而订单管理部门通常有大量的简单邮件传输协议(SMTP)的流量。 甚至我们还可以在特定的网段中找到玩网络游戏或者看网络视频的流量信息。