5 nyttige Tips til analyse af Trådbark Packet Captures

Posted on

er du ny til Packet Captures?

jeg var der – jeg har modtaget mine første pakkeoptagelser og blev bedt om at analysere det.
tro mig! At have denne færdighed-at kunne fortælle, hvor problemet er ved at læse en pakkefangst, er et plus for dig. Nu og i fremtiden!
efter et stykke tid får du en fornemmelse af de første skridt, der skal gøres med Trådbark, og hvordan du giver en første feedback.

brug en brugerdefineret Trådbarkprofil

da jeg var ny til Trådbark og aldrig analyserede pakkeoptagelser før, var jeg tabt.
jeg husker tiden, fordi pakkeanalyse blev en vigtig rolle som “Site Reliability Engineer”. Og jeg var ikke klar.

“standard” – profilen, som har de grundlæggende kolonner pakkenummer, tid, kilde, Destination, protokol, Længde, Info.
i løbet af tiden forstod jeg, at det at have flere kolonner tilgængelige fra starten vil spare tid og hjælper også med fejlfinding.

som du kan se på skærmbilledet, har jeg tilføjet flere kolonner. Nogle af dem er meget vigtige:

  • Delta Time => det viser delta-tiden til den forrige optagne pakke
  • Bytes in Flight => Data, der er sendt, men endnu ikke anerkendt
  • sekvensnummer
  • næste sekvensnummer

tilføjelse af disse kolonner hjalp mig med at spare tid i analysen!

få første Information fra 3-vejs-håndtrykket

3-vejs-håndtrykket er det vigtigste trin i TCP for at etablere en kommunikation mellem klient og server.
her en kort oversigt over, hvordan håndtrykket ser ud:

  1. klienten sender en SYN-pakke med sit oprindelige sekvensnummer til serveren
  2. serveren anerkender (ACK) SYN-pakken (fra klienten) og sender sin egen SYN-pakke med sit oprindelige sekvensnummer
  3. klienten anerkender (ACK) SYN-pakken (fra serveren)
  4. nu er TCP-kommunikationen etableret og i stand til at udveksle data

under 3-vejs-håndtrykket udveksles der en masse nyttige oplysninger mellem klient og Server.
ved siden af kilde IP, Destination IP, kilde Port, Destination Port, kilde MAC, Destination MAC du kan også få:

  • RTT = > rundturstid mellem klient og Server
  • TTL => tid til at leve – med den værdi kan du beregne antallet af humle mellem klient og Server
  • beregnet vinduesstørrelse => størrelsen af data, der kan modtages, før den skal anerkendes

med kun 3 pakker kan du få et overblik over din TCP-kommunikation.
Filtrer dine pakkeoptagelser til din destinationsadresse (for nødvendige filtre Brug Min Introduktion til Trådbark – Del 2) og begynd at analysere.

fra nu af bruger jeg som eksempel en TCP-kommunikation mellem min klient i mit private netværk og tcpdump-it.com server (173.212.216.192).

Kontroller, hvor mange pakker der er gået tabt

siden jeg arbejder på infrastruktursiden, er mit første mål at forstå, om netværket opfører sig som det skal være.
når jeg bliver bedt om at analysere en netværkspakkefangst, er det et obligatorisk trin at forstå procentdelen af pakketab (TCP-retransmissioner).

for at gøre det bruger jeg displayfilteret “ip.addr= = 173.212.216.192 og tcp.analyse.retransmission”. Det viser alle de pakker, der blev videresendt.
det næste trin er at åbne “Capture File Properties” under fanen “Statistik”.

under afsnittet Statistik kan du se kolonnerne “fanget”og ” vist”.
kolonnen “vist “er baseret på dit displayfilter og viser statistikken sammenlignet med de” optagne ” data.

jeg brugte dette eksempel til at vise dig et ekstremt tilfælde. Du kan se, at der er 10,4% pakker videresendt.

det afhænger af mange faktorer, hvor mange procent af pakketab er kritisk. Der er forskellige meninger.
sandsynligvis er intet svar korrekt, men når pakketabet er højere end 1% og forårsager en høj forsinkelse i kommunikationen, skal du begynde at kontrollere bedre.

Åbn Ekspertinformationen

Trådmarkeringer ekspertinformation er meget nyttig og giver dig en ide om, hvad du skal tjekke i pakkeoptagelsen.
i dokumentationen finder du følgende erklæring”Tag ekspertinfo som et tip, hvad der er værd at se på, men ikke mere”

dette er præcis, hvad du skal gøre. Da jeg først analyserede en pakkefangst, var Ekspertoplysningerne meget nyttige og gav mig tip i hvilken retning jeg skulle analysere.

gå til fanen “ekspert” og vælg “ekspertinformation”. Et nyt vindue åbnes:

i tidligere versioner af Ledbark (v1) var oversigten over “advarsler”, “noter”, “Chats” mere klarere.

væn dig til at åbne Ekspertoplysningerne. Det vil absolut hjælpe dig!

Åbn Rundturstidsgrafen

en kort oversigt over, hvad rundturstid betyder:
RTT betyder, at tiden mellem en pakke sendes, og et svar kommer tilbage.

for vores packet captures-analyse er det vigtigt at forstå, om der er pakker med en høj RTT.
det ville betyde, at vi lider af en langsom kommunikation.

for at åbne Rundturstidsgrafen skal du gå til “statistik” >> “TCP Stream grafer” >> “rundturstid”.

grafen viser på Y-aksen RTT i ms, mens H-aksen viser det tidspunkt, hvor pakkeoptagelsen kørte i sekunder.

denne RTT-graf i mit skærmbillede er ikke signifikant, men ser fint ud med en RTT på omkring 60 ms.
se efter pigge i Y-aksen for at identificere langsomme pakker!

Resume

jeg vil gentage min sætning, Jeg skrev i begyndelsen af indlægget:
at have denne færdighed-at kunne fortælle, hvor problemet er ved at læse en pakkefangst, er et plus for dig.

hvis du overvejer nogle dele af dette indlæg, vil du være mere succesrig med at analysere pakkeoptagelser med Trådbark!

hvis du vil vide mere om det, skal du tilmelde dig mit Slack-arbejdsområde eller sende mig en e-mail.

bliv opdateret og tilmeld dig mit nyhedsbrev!

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.