Er Du ny På Wireshark Pakke Fanger?
jeg var der – jeg har mottatt min første pakkefangst og ble bedt om å analysere den.
Stol på meg! Å ha denne ferdigheten-å kunne fortelle hvor problemet er ved å lese en pakkeopptak er et pluss for deg. Nå og i fremtiden!
etter en stund får du en følelse av første skritt å gjøre Med Wireshark og hvordan du gir en første tilbakemelding.
Bruk en tilpasset Wireshark-Profil
Da Jeg var ny På Wireshark og aldri analysert pakkefangst før, var jeg tapt.
jeg husker tiden fordi pakkeanalyse ble en viktig rolle som «Site Reliability Engineer». Og jeg var ikke klar.
Wireshark åpner filen med» Standard » profil som har de grunnleggende kolonnene Pakkenummer, Tid, Kilde, Destinasjon, Protokoll, Lengde, Info.
Over tid forsto Jeg at det å ha flere kolonner tilgjengelig fra begynnelsen, vil spare tid og hjelper også med feilsøking.
Som du kan se på skjermbildet, har jeg lagt til flere kolonner. Noen av dem er svært viktige:
- Delta Time = > det viser delta-tiden til den forrige fangede pakken
- Bytes in Flight => Data som er sendt, Men ikke bekreftet
- Sekvensnummer
- Anerkjent Nummer
- Neste Sekvensnummer
Å Legge til disse kolonnene hjalp meg å spare tid på å analysere!
Få Første Informasjon Fra 3-Veis-Håndtrykk
3-Veis-Håndtrykk er det viktigste trinnet I TCP for å etablere en kommunikasjon mellom klient Og server.
her en kort oppsummering av hvordan håndtrykket ser ut:
- Klienten sender EN SYN-pakke med Sitt Første Sekvensnummer Til Serveren
- Serveren anerkjenner (ACK) SYN-pakken (Fra Klienten) og sender sin EGEN SYN-pakke Med Sitt Første Sekvensnummer
- Klienten anerkjenner (ACK) SYN-pakken (Fra Serveren)
- NÅ er tcp-kommunikasjonen etablert Og i stand til å utveksle data
Under 3-Veis-Håndtrykk er det mye nyttig informasjon utvekslet Mellom Klient og Server.
Ved Siden Av Kilde IP, Destinasjon IP, Kilde Port, Destinasjon Port, Kilde MAC, Destinasjon MAC kan du også få:
- RTT = > Rundturstid Mellom Klient og Server
- TTL = > Time to live-med den verdien kan du beregne antall hopp mellom Klient og Server
- Beregnet Vindustørrelse = > størrelsen på data som kan mottas før den trenger å bli anerkjent
med bare 3 pakker kan du få oversikt over tcp-kommunikasjonen din.
Filtrer pakkefangstene dine til destinasjonsadressen din (for nødvendige filtre, bruk Min Introduksjon Til Wireshark-Del 2) og begynn å analysere.
Fra nå av bruker jeg som eksempel EN TCP-kommunikasjon mellom klienten min i mitt private nettverk og tcpdump-it.com server (173.212.216.192).
Sjekk hvor mange pakker som har gått tapt
siden Jeg jobber på infrastruktursiden, er mitt første mål å forstå om nettverket oppfører seg som det skal være.
Når jeg blir bedt om å analysere en nettverkspakkeopptak, er det et obligatorisk trinn for å forstå prosentandelen av pakketap (TCP Retransmissions).
For å gjøre det bruker jeg skjermfilteret » ip.addr==173.212.216.192 og tcp.analyse.videresending». Det viser alle pakkene som ble sendt på nytt.
det neste trinnet er å åpne «Capture File Properties «under» Statistikk » – fanen.
Under Statistikk-delen kan du se kolonnene «Fanget» og «Vist».
Kolonnen «Vist» er basert på visningsfilteret ditt og viser statistikken sammenlignet med» Fanget » data.
jeg brukte dette eksemplet for å vise deg et ekstremt tilfelle. Du kan se at det er 10,4% pakker retransmitted.
Det avhenger av mange faktorer hvor mange prosent av pakketapet som er kritisk. Det er forskjellige meninger.
Sannsynligvis ikke noe svar er riktig, men når pakketapet er høyere enn 1% og forårsaker en høy forsinkelse i kommunikasjonen, bør du begynne å sjekke bedre.
Åpne Ekspertinformasjonen
Wiresharks Ekspertinformasjon er veldig nyttig og gir deg en ide om hva du skal sjekke inn pakkeopptaket.
I Wireshark-dokumentasjonen finner du følgende uttalelse «Ta ekspertinformasjon som et hint hva som er verdt å se på, men ikke mer»
Dette er akkurat hva du bør gjøre. Da jeg først analyserte en pakkeopptak, Var Ekspertinformasjonen veldig nyttig og ga meg hint i hvilken retning å analysere.
Gå til» Ekspert «- fanen og velg «Ekspertinformasjon». Et nytt vindu åpnes:
i tidligere versjoner Av Wireshark (v1) var oversikten over «Advarsler», «Notater», «Chatter» tydeligere.
bli vant til å åpne Ekspertinformasjonen. Det vil absolutt hjelpe deg!
Åpne Rundturstidsgraf
En kort oppsummering om Hva Rundturstid betyr:
RTT betyr tiden mellom en pakke sendes og et svar kommer tilbake.
for vår pakkefangst analyse er det viktig å forstå om det er pakker med høyt RTT.
Det ville bety at vi lider av en langsom kommunikasjon.
For å åpne Grafen For Rundturstid går Du til» Statistikk «>>» Tcp Stream Graphs «>>»Rundtur Tid».
grafen viser PÅ Y-aksen RTT i ms mens X-aksen viser tiden pakkeopptaket kjørte i sekunder.
DENNE rtt-grafen i skjermbildet mitt er ikke signifikant, men ser bra ut med en RTT på ca 60 ms.
Se etter pigger I Y-aksen for å identifisere sakte pakker!
Sammendrag
jeg vil gjenta setningen jeg skrev i begynnelsen av innlegget:
å ha denne ferdigheten-å kunne fortelle hvor problemet er ved å lese en pakkeopptak er et pluss for deg.
hvis du vurderer noen deler av dette innlegget, vil du være mer vellykket i å analysere pakkefangst med Wireshark!
hvis du vil vite mer om Det, kan du bli med I Slack-Arbeidsområdet eller sende meg en e-post.
Hold deg oppdatert og abonner På Nyhetsbrevet mitt!