5 hasznos tipp a Wireshark Packet Captures elemzéséhez

Posted on

Ön új a Wireshark Packet Captures?

ott voltam – megkaptam az első csomagrögzítésemet, és felkértek, hogy elemezzem.
bízz bennem! Ahhoz, hogy ez a képesség–, hogy képes megmondani, ahol a probléma elolvasásával csomag capture egy plusz az Ön számára. Most és a jövőben!
egy idő után megérzi az első lépéseket a Wireshark-val kapcsolatban, és hogyan adhat első visszajelzést.

egyéni Wireshark profil használata

amikor új voltam a Wireshark-ban, és soha nem elemeztem a csomagrögzítéseket, eltévedtem.
emlékszem az időre, mert a csomagelemzés fontos szerepet kapott a “webhely megbízhatósági mérnökként”. És még nem álltam készen.

a Wireshark megnyitja a fájlt az “alapértelmezett” profillal, amelynek alapvető oszlopai vannak csomagszám, idő, forrás, cél, protokoll, Hossz, információ.
az idő múlásával megértettem, hogy ha több oszlop áll rendelkezésre a kezdetektől, akkor időt takarít meg, és segít a hibaelhárításban is.

amint a képernyőképen látható, több oszlopot adtam hozzá. Néhány közülük nagyon fontos:

  • Delta Time = > ez azt mutatja, a delta időt az előző rögzített csomag
  • Bytes Flight = > az adatok, amelyek már elküldött, de még nem nyugtázott
  • sorszám
  • nyugtázott szám
  • következő sorszám

hozzátéve azokat az oszlopokat segített időt takaríthat meg az elemzésben!

első információk beszerzése a 3-utas kézfogásból

a 3-utas kézfogás a legfontosabb lépés a TCP-ben az ügyfél és a szerver közötti kommunikáció létrehozásához.
itt egy rövid összefoglaló arról, hogyan néz ki a kézfogás:

  1. az ügyfél egy SYN csomagot küld a kezdeti sorszámmal a szervernek
  2. a szerver nyugtázza (ACK) a SYN csomagot (az ügyféltől) és elküldi a saját SYN csomagját a kezdeti sorszámával
  3. az ügyfél nyugtázza (ACK) a SYN csomagot (a szerverről)
  4. most a TCP kommunikáció létrejött, és képes adatcserére

a 3-utas kézfogás során sok hasznos információ kerül kicserélésre a kliens és a szerver között.
mellett a forrás IP, cél IP, forrás Port, cél Port, forrás MAC, cél MAC is kap:

  • RTT = > oda – vissza idő a kliens és a szerver között
  • TTL => Time To live-ezzel az értékkel kiszámíthatja a kliens és a szerver közötti ugrások számát
  • számított ablakméret => a beérkező adatok mérete, mielőtt nyugtázni kellene

mindössze 3 csomag segítségével áttekintést kaphat a TCP kommunikációról.
szűrje le a csomagrögzítéseket a célcímére (a szükséges szűrőkhöz használja a bevezetés a Wireshark – Ba-2.rész), és kezdje el elemezni.

mostantól kezdve példaként használok egy TCP kommunikációt a kliensem és a tcpdump-it.com szerver (173.212.216.192).

ellenőrizze, hogy hány csomag elveszett

mivel az infrastruktúra oldalán dolgozom, az első célom annak megértése, hogy a hálózat úgy viselkedik-e, ahogy kell.
amikor felkérést kapok egy hálózati csomagrögzítés elemzésére, kötelező lépés a csomagvesztés százalékos arányának megértése (TCP Újraküldések).

ehhez az “ip.addr = = 173.212.216.192 és tcp.elemzés.újraküldés”. Megmutatja az összes csomagot, amelyet újraküldtek.
a következő lépés a “statisztika” fül alatt a “fájl tulajdonságainak rögzítése” megnyitása.

a statisztikák részben a “rögzített” és a “megjelenített”oszlopok láthatók.
a” megjelenített “oszlop a megjelenítőszűrőn alapul, és a statisztikákat a” rögzített ” adatokhoz képest jeleníti meg.

ezt a példát használtam egy szélsőséges eset bemutatására. Láthatjuk vannak 10,4% csomagokat újraküldött.

sok tényezőtől függ, hogy a csomagvesztés hány százaléka kritikus. Különböző vélemények vannak.
valószínűleg nincs helyes válasz, de ha a csomagvesztés meghaladja az 1% – ot, és nagy késést okoz a kommunikációban, akkor jobban meg kell kezdeni az ellenőrzést.

nyissa meg a szakértői információkat

a Wiresharks szakértői információk nagyon hasznosak, és néhány ötletet adnak arról, hogy mit kell ellenőrizni a csomagrögzítés során.
a Wireshark dokumentációban a következő nyilatkozatot találja: “vegye figyelembe a szakértői információkat, mint egy tippet, amit érdemes megnézni, de nem többet”

pontosan ezt kell tennie. Amikor először elemeztem a csomagrögzítést, a szakértői információk nagyon hasznosak voltak, és tippeket adtak nekem, hogy melyik irányba elemezzem.

lépjen a “szakértő” fülre, és válassza a “szakértői információk”lehetőséget. Megnyílik egy új ablak:

a Wireshark (v1) korábbi verzióiban a “Figyelmeztetések”, “Megjegyzések”, “Csevegések” áttekintése világosabb volt.

szokja meg a szakértői információk megnyitását. Ez feltétlenül segít neked!

nyissa meg az oda-vissza út idő grafikonját

rövid összefoglaló arról, hogy mit jelent az oda-vissza út idő:
az RTT azt jelenti, hogy a csomag elküldése és a válasz visszajön.

csomagrögzítő elemzésünknél fontos megérteni, hogy vannak-e magas RTT-vel rendelkező csomagok.
ez azt jelentené, hogy lassú kommunikációban szenvedünk.

az oda-vissza út grafikon megnyitásához lépjen a “statisztika” >>”TCP Stream Graphs” >> “oda-vissza idő”menüpontra.

a grafikon az Y tengelyen az RTT-t mutatja ms-ban, míg az X tengely a csomagrögzítés másodpercben történő futásának idejét mutatja.

ez az RTT grafikon a képernyőképemen nem jelentős, de jól néz ki körülbelül 60 ms RTT-vel.
keresse meg az Y tengely tüskéit a lassú csomagok azonosításához!

Összegzés

meg akarom ismételni a bejegyzés elején írt mondatomat:
ahhoz, hogy ez a képesség–, hogy képes megmondani, hogy hol a probléma elolvasásával csomag capture egy plusz az Ön számára.

ha figyelembe vesszük a bejegyzés egyes részeit, akkor sikeresebb lesz a csomagrögzítések elemzése a Wireshark segítségével!

ha többet szeretne tudni róla, csatlakozzon a Slack Munkaterületemhez, vagy küldjön egy e-mailt.

Legyen naprakész és iratkozzon fel hírlevelemre!

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.