você é novo nas capturas de pacotes do Wireshark?
eu estava lá-recebi minhas primeiras capturas de pacote e fui solicitado a analisá-lo.
confie em mim! Ter essa habilidade – ser capaz de dizer onde está o problema lendo uma captura de pacotes é uma vantagem para você. Agora e no futuro!
depois de algum tempo você tem uma sensação sobre os primeiros passos a ver com Wireshark e como dar um primeiro feedback.
Use um perfil Wireshark personalizado
Quando eu era novo no Wireshark e nunca analisei capturas de pacotes antes, fiquei perdido.
lembro-me do tempo porque a análise de pacotes tornou-se um papel importante como “Engenheiro de confiabilidade do Site”. E eu não estava pronta.
o Wireshark abre seu arquivo com o perfil” padrão”, que possui as colunas básicas Número Do pacote, hora, origem, destino, Protocolo, Comprimento, informações.
ao longo do tempo, entendi que ter mais colunas disponíveis desde o início economizará tempo e também ajudará na solução de problemas.
como você pode ver na captura de tela, adicionei várias colunas. Alguns deles são muito importantes:
- o Tempo de Delta => mostra o tempo de delta para o antigo pacote capturado
- Bytes em Vôo => Dados que foi enviado, mas ainda não foi reconhecido
- Número de Sequência
- Reconhecido Número
- Próximo Número de Sequência
Adicionar essas colunas me ajudou a economizar tempo na hora de analisar!
obtenha as primeiras informações do Handshake de 3 vias
o Handshake de 3 vias é a etapa mais importante no TCP para estabelecer uma comunicação entre cliente e servidor.
aqui uma breve recapitulação de como o aperto de mão se parece:
- O Cliente envia um pacote SYN com o Número de Seqüência Inicial para o Servidor
- O Servidor de reconhecimento (ACK) o pacote SYN (do Cliente) e enviar o seu próprio pacote SYN com o Número de Seqüência Inicial
- O Cliente de reconhecimento (ACK) o pacote SYN (do Servidor)
- Agora a comunicação TCP é estabelecida e capaz de dados do exchange
Durante o 3-Way-Handshake, há um monte de informações úteis trocadas entre o Cliente e o Servidor.
ao Lado do IP de Origem, IP de Destino, Porta de Origem, Porta de Destino, Origem do MAC, o MAC de Destino, você também pode obter:
- RTT = > Tempo de ida e volta entre o Cliente e o Servidor
- TTL => Tempo de viver – Com esse valor você pode calcular o número de saltos entre o Cliente e o Servidor
- Calculado o Tamanho da Janela => O tamanho dos dados que pode ser recebido antes que ele precisa para se reconheceu
Com apenas 3 pacotes você pode obter uma visão geral sobre a sua comunicação TCP.
Filtre suas capturas de pacotes para o seu endereço de destino (para os filtros necessários, use minha introdução ao Wireshark – Parte 2) e comece a analisar.
a partir de Agora, uso como exemplo uma comunicação TCP entre meu cliente em minha rede privada e o tcpdump-it.com servidor (173.212.216.192).
Verificar quantos pacotes foram perdidos
Desde que eu estou trabalhando na infra-estrutura do lado do meu primeiro objetivo é entender se a rede está se comportando como deveria ser.
quando me pedem para analisar uma captura de pacotes de rede, é uma etapa obrigatória para entender a porcentagem de perda de pacotes (retransmissões TCP).
para fazer isso, estou usando o IP do filtro de exibição”.addr = = 173.212.216.192 e tcp.analise.RETRANSMISSAO”. Ele mostra todos os pacotes que foram retransmitidos.
o próximo passo é abrir as “propriedades do arquivo de captura” na guia “estatística”.
na seção Estatísticas, Você pode ver as colunas “capturado”e ” exibido”.
a coluna “exibido “é baseada no seu filtro de exibição e mostra as estatísticas em comparação com os dados” capturados”.
eu usei este exemplo para mostrar um caso extremo. Você pode ver que há 10,4% de pacotes retransmitidos.
depende de muitos fatores quantos por cento da perda de pacotes é crítica. Existem opiniões diferentes.
provavelmente nenhuma resposta está correta, mas quando a perda de pacotes é superior a 1% e está causando um alto atraso na comunicação, você deve começar a verificar melhor.
abra as informações do especialista
as informações do especialista do Wiresharks são muito úteis e dão uma ideia do que verificar na captura de pacotes.
na documentação do Wireshark, você encontra a seguinte declaração “Tome informações de especialistas como uma dica do que vale a pena olhar, mas não mais”
isso é exatamente o que você deve fazer. Quando analisei pela primeira vez uma captura de pacotes, as informações do especialista foram muito úteis e me deram dicas em que direção analisar.
vá para a guia ” especialista “e selecione”Informações do especialista”. Uma nova janela será aberta:
nas versões anteriores do Wireshark (v1), a visão geral sobre os “avisos”, “notas”, “bate-papos” era mais clara.
acostume-se a abrir as informações do especialista. Ele vai absolutamente ajudá-lo!
Abra o Tempo de ida e volta Gráfico de
Uma breve recapitulação sobre o que o Tempo de ida e volta, significa:
RTT significa que o tempo entre um pacote e enviar uma resposta de volta.
para nossa análise de captura de pacotes, é importante entender se há pacotes com um RTT alto.Isso significaria que sofremos de uma comunicação lenta.
para abrir o gráfico de tempo de ida e volta, vá para “estatísticas” >>”gráficos de fluxo TCP” > > “tempo de ida e volta”.
o gráfico mostra no eixo Y o RTT em ms enquanto o eixo X mostra o tempo que a captura de pacotes estava sendo executada em segundos.
este gráfico RTT na minha captura de tela não é significativo, mas parece bom com um RTT de cerca de 60 ms.
procure picos no eixo Y para identificar pacotes lentos!
resumo
quero repetir minha frase que escrevi no início do post:
para ter essa habilidade – ser capaz de dizer onde está o problema lendo uma captura de pacotes é uma vantagem para você.
se você considerar algumas partes desta postagem, terá mais sucesso na análise de capturas de pacotes com o Wireshark!
se você quiser saber mais sobre isso, junte-se ao meu espaço de trabalho do Slack ou envie-me um e-mail.
Mantenha-se atualizado e assine a minha Newsletter!