|
大多數(shù)情況下���,當網(wǎng)絡崩潰或遇到問題時�,您必須通過搜索捕獲到的數(shù)據(jù)包來查找問題����。這就是諸如Wireshark之類的工具大顯身手的地方了。它是目前使用最廣泛的網(wǎng)絡協(xié)議分析器之一��,它分析從網(wǎng)絡TAP(也稱為數(shù)據(jù)包捕獲設備)或計算機 的NIC發(fā)出的文件�����,并讓您深入了解它們的參數(shù)���、消息��、格式等���。 然而���,在捕獲網(wǎng)絡線路時會獲得的信息量令人生畏。捕獲如此多的數(shù)據(jù)包�����,意味著您最終將得到巨大的捕獲文件���。不過幸運的是�����,Wireshark允許用戶快速過濾這些數(shù)據(jù)�����,因此您可以篩選您感興趣的部分�����,例如某個IP源或目標�����。您甚至可以比較值�����、搜索字符串����、隱藏不必要的協(xié)議等�����。 下面介紹的過濾器均可用于實時捕獲以及導入的文件���,從而使您可以在協(xié)議的幾乎任何字段上進行篩選���,包括數(shù)據(jù)流的十六進制值。當然����,您要過濾的內(nèi)容完全取決于您的具體情況和目的。 我們咨詢了我們的工程師�����,他們最喜歡什么過濾器以及如何使用它們。以下是一些他們常用的過濾器���。 ip.addr == x.x.x.x
為任何以x.x.x.x作為源IP地址或目標IP地址的數(shù)據(jù)包設置過濾器����。假設您要分析特定流量����,這將非常有用。應用該過濾器可以幫助您分析傳出流量��,查看有哪些數(shù)據(jù)與您要查找的IP或源相匹配�����。 您還可以選擇使用ip.dst == x.x.x.x����,來僅按目標進行過濾,或者使用ip.src == x.x.x.x�����,進行按源過濾。 ip.addr == x.x.x.x && ip.addr == x.x.x.x (或者 ip.src == xxxx && ip.dst == xxxx – for a destination)
在兩個特定IP地址之間設置對話過濾器�����。這可以幫助您檢查兩個特定主機或網(wǎng)絡之間的數(shù)據(jù)����。當您要查找特定數(shù)據(jù)時,這個過濾器可以提供幫助�����,所以無需再遍歷其他不感興趣的數(shù)據(jù)�。 http or dns
設置過濾器以顯示所有http和dns協(xié)議�。它可以縮小所需的確切協(xié)議范圍。因此�,如果您需要跟蹤某些奇怪的FTP流量,則只需將其設置為“ftp”����。如果想找出為什么某些網(wǎng)站沒有出現(xiàn)的原因?則只需要將其設置為“dns”即可�����。 tcp.port==xxx
為具有特定源或目標端口的TCP數(shù)據(jù)包設置過濾器。只查看進出某個特定端口的通信量是非常有用的���,也不會耽誤太多時間�����。 tcp.flags.reset==1
設置過濾器來顯示所有的TCP重置�����。所有數(shù)據(jù)包都有一個TCP�����,如果將其設置為1����,它會告訴接收方計算機應立即停止使用該連接����。因此,此過濾器是一個強大的過濾器���,因為TCP重置會立即終止TCP連接�����。 tcp contains xxx
該過濾器顯示了包含特定術(shù)語(不是xxx���,請使用您要查找的術(shù)語)的所有TCP數(shù)據(jù)包���。如果您要查找數(shù)據(jù)包中出現(xiàn)的特定術(shù)語,則需要此過濾器��。 tcp.stream eq X
跟隨tcp流���。 tcp.seq == x
按序列號過濾����。 tcp.flags.push == 1
對于故障排除很重要���,此過濾器可檢測推送事件。 http.request
此過濾器過濾所有HTTP GET和POST請求��。它可以顯示訪問量最大的網(wǎng)頁��。 !(arp or icmp or dns)
它被設計用來過濾掉某些類型的協(xié)議,它屏蔽掉了arp���、icmp����、dns或其他你認為沒有用的協(xié)議�。這將使你能集中注意力關(guān)注你感興趣的流量。 udp contains xx:xx:xx
它為任意偏移(offset)的特定十六進制值設置過濾器�����。 dns.flags.rcode != 0
指示無法正確解析哪些dns請求����。
|
