Wireshark 用户使用手册 ———— Statistics 模块
Wireshark 提供了广泛的网络统计数据,可以通过统计菜单访问这些统计数据。这些统计信息的范围从有关加载的捕获文件的一般信息(例如捕获的数据包的数量)到有关特定协议的统计信息(例如有关捕获的 HTTP 请求和响应数量的统计信息)。 一般信息: 1. 有关捕获文件的捕获文件属性。 2. 捕获数据包的协议层次结构。 3. 对话,例如特定 IP 地址之间的流量。 4.
文章目录
- 捕获文件属性对话框(Capture File Properties Dialog)
- 解析地址(Resolved Addresses)
- 协议层次窗口(Protocol Hierarchy Window)
- 会话( Conversations)
- 端点( Endpoints)
- 数据包长度(Packet Lengths)
- I/O图表(I/O Graphs Window)
- 服务响应时间(Service Response Time)
- 协议介绍
- TCP 流图(TCP Stream Graphs)
- UDP 多播流(UDP Multicast Streams)
- 可靠的服务器池(Reliable Server Pooling)
- F5
- IPv4 Statistics
- IPv6 Statistics
Wireshark 提供了广泛的网络统计数据,可以通过统计菜单访问这些统计数据。这些统计信息的范围从有关加载的捕获文件的一般信息(例如捕获的数据包的数量)到有关特定协议的统计信息(例如有关捕获的 HTTP 请求和响应数量的统计信息)。
一般信息:
1. 有关捕获文件的捕获文件属性。
2. 捕获数据包的协议层次结构。
3. 对话,例如特定 IP 地址之间的流量。
4. 端点,例如进出 IP 地址的流量。
5. I/O 图表及时显示数据包(或类似数据)的数量。
协议特定统计
1. 某些协议的请求和响应之间的服务响应时间。
2. 各种其他协议特定的统计数据。
协议特定的统计数据需要有关特定协议的详细知识。 除非熟悉该协议,否则有关它的统计信息可能难以理解。
捕获文件属性对话框(Capture File Properties Dialog)
具体的对话框页面如下。
Item of Capture File Properties dialog | |
---|---|
Item | Description |
File | 有关捕获文件的一般信息,包括其完整路径、大小、加密哈希、文件格式和封装 |
Time | 文件中第一个和最后一个数据包的时间戳以及它们的差异 |
Capture | 有关捕获环境的信息 只会在实时捕获或此信息存在于保存的捕获文件中时显示 pcapng 格式支持这一点,而 pcap 不支持 |
Interfaces | 有关捕获接口或接口的信息 |
Statistics | 捕获文件的统计摘要 如果设置了显示过滤器,将在已捕获列中看到值,如果标记了任何数据包,将在已标记列中看到值 |
Capture file comments | 某些捕获文件格式(特别是 pcapng)允许对整个文件进行文本注释 可以在此处查看和编辑此评论 |
Refresh | 更新对话框中的信息 |
Save Comments | 保存 “捕获文件注释” 文本条目的内容 |
Close | 关闭对话框 |
Copy To Clipboard | 将“详细信息”信息复制到剪贴板 |
Help | 打开用户指南 |
解析地址(Resolved Addresses)
Resolved Addresses 窗口显示已解析地址及其主机名的列表。 用户可以选择 Hosts 字段以仅显示 IPv4 和 IPv6 地址。 在这种情况下,对话框显示具有已知主机的捕获文件中每个 IP 地址的主机名。此主机通常取自捕获文件中的 DNS 应答。如果主机名未知,用户可以根据反向 DNS 查找来填充它。 为此,请按照下列步骤操作:
- 在 View › Name Resolution 菜单中启用解析网络地址,因为默认情况下禁用此选项。
- 在 Preferences › Name Resolution 菜单中选择使用外部网络名称解析器。默认情况下启用此选项。
用户更改设置后,解析的地址不会自动更新。 要显示新的可用名称,用户必须重新打开对话框。端口选项卡显示服务名称、端口和类型的列表。 Wireshark 从主机服务配置文件中读取端口映射条目。
协议层次窗口(Protocol Hierarchy Window)
捕获的数据包的协议层次结构,示例如下。
这是捕获中所有协议的树。 每行包含一个协议的统计值。 其中两列(Percent Packets 和 Percent Bytes)用作条形图。 如果设置了显示过滤器,它将显示在底部。 Copy 按钮可让将窗口内容复制为 CSV 或 YAML 格式的文本。
Item of Protocol Hierarchy Window | |
---|---|
Item | Description |
Protocol | 协议的名称 |
Percent Packets | 捕获中协议数据包相对于所有数据包的百分比 |
Packets | 本协议的总包数 |
Percent Bytes | 捕获中协议字节数相对于总字节数的百分比 |
Bytes | 此协议的总字节数 |
Bits/s | 该协议相对于捕获时间的带宽 |
End Packets | 此协议的绝对数据包数,其中它是堆栈中的最高协议 |
End Bytes | 此协议的绝对字节数,它是堆栈中最高的协议 |
End Bits/s | 此协议的带宽相对于捕获时间,其中堆栈中的最高协议 |
会话( Conversations)
网络对话是两个特定端点之间的流量。 例如,IP 会话是两个 IP 地址之间的所有流量。 对话窗口类似于端点窗口。 请参阅 “Endpoint” 窗口以了解其共同特征的说明。 除了地址、数据包计数器和字节计数器,对话窗口还添加了四列:对话的开始时间(“Rel Start”)或(“Abs Start”)、对话持续时间(以秒为单位)和平均位数( 不是字节)在每个方向上每秒。 还绘制了跨“Rel Start”/“Abs Start”和“Duration”列的时间线图。
列表中的每一行显示一个会话的统计。如果选择它并且它对于特定协议层处于活动状态,则将完成名称解析。 限制显示过滤器将只显示与当前显示过滤器匹配的对话。 [ Conversation Types ] 允许选择显示哪些流量类型选项卡。 启用的类型保存在配置文件设置中。此窗口会经常更新,因此即使在进行实时捕获之前(或期间)打开它,也会有帮助。
端点( Endpoints)
网络端点是特定协议层的单独协议流量的逻辑端点。如果正在寻找其他网络工具称为主机列表的功能,这里是能够看到相关信息的地方。 以太网或 IP 端点列表通常就是你要查找的内容。广播和多播流量将作为附加端点单独显示。 由于这些不是物理端点,实际流量将由部分或全部列出的单播端点接收。Wireshark 的端点统计将考虑以下端点:
Endpoint and Conversation types | |
---|---|
Type | Description |
Bluetooth | 类似于以太网的 MAC-48 地址 |
Ethernet | 与以太网设备的 MAC-48 标识符相同 |
Fibre Channel | 类似于以太网的 MAC-48 地址 |
IEEE 802.11 | 类似于以太网的 MAC-48 地址 |
FDDI | 与 FDDI MAC-48 地址相同 |
IPv4 | 与 32 位 IPv4 地址相同 |
IPv6 | 与 128 位 IPv6 地址相同 |
IPX | 32 位网络号和 48 位节点地址的串联,默认为以太网接口的 MAC-48 地址 |
JXTA | 160 bit SHA-1 URN |
NCP | 类似于 IPX |
RSVP | 各种 RSVP 会话属性和 IPv4 地址的组合 |
SCTP | 同一个IP地址上的不同SCTP端口是不同的SCTP接口,但是同一个主机不同IP上的地址同一个SCTP端口仍然是同一个地址 |
TCP | 使用的 IP 地址和 TCP 端口的组合 同一个 IP 地址上的不同 TCP 端口是不同的 TCP 端点 |
Token Ring | 与 Token Ring MAC-48 地址相同 |
UDP | 使用的IP地址和UDP端口的组合,因此同一IP地址上的不同UDP端口是不同的UDP端点 |
USB | 与 7 位 USB 地址相同 |
对于每个支持的协议,此窗口中都会显示一个选项卡。 每个选项卡标签显示捕获的端点数量(例如,选项卡标签“以太网·4”告诉您已捕获四个以太网端点)。 如果没有捕获特定协议的端点,选项卡标签将变灰。列表中的每一行都显示恰好一个端点的统计值。如果选择它并且它对于特定协议层(所选以太网端点页面的 MAC 层)处于活动状态,则将完成名称解析。 限制显示过滤器将只显示与当前显示过滤器匹配的对话。
数据包长度(Packet Lengths)
显示数据包长度的分布和相关信息,具体如下:
Items of Packet Lengths | |
---|---|
Item/th> | Description |
Packet Lengths | 数据包长度的范围 可以在首选项对话框的 “ Statistics → Stats Tree ”部分配置范围 |
Count | 此范围的数据包数 |
Average | 该范围内数据包的算术平均长度 |
Min Val | 此范围内的最小长度 |
Max Val | 此范围内的最大长度 |
Rate (ms) | 此范围内的数据包每毫秒的平均数据包数 |
Percent | 此范围内的数据包百分比,按计数 |
Burst Rate | 通过对给定时间间隔内的数据包数量进行计数并将该计数与时间窗口内的时间间隔进行比较来检测数据包突发 显示具有最大数据包数的间隔的统计信息 默认情况下,在 5 毫秒间隔内检测突发,并在 100 毫秒窗口内比较间隔 |
Burst Start | 开始时间,从捕获开始的秒数,用于最大数据包数的时间间隔 |
I/O图表(I/O Graphs Window)
如上所示,此窗口包含一个图表绘制区域以及一个可自定义的图表列表。 图形保存在当前的配置文件中。 它们分为时间间隔,可以按如下所述进行设置。 将鼠标悬停在图形上会显示每个间隔中的最后一个数据包。 单击图形将带您到数据包列表中的相关数据包。 可以使用以下选项配置单个图形:
Items of I/O Graphs Window | |
---|---|
Item/th> | Description |
Enabled | 是否描绘这个数据 |
Graph Name | 此图的名称 |
Display Filter | 将图形限制为与此过滤器匹配的数据包 |
Color | 用于绘制图形的线条、条形或点的颜色 |
Style | 如何直观地表示图形的数据,例如 通过画线、条、圆、加号等 |
Y Axis > Packets, Bytes, or Bits | 每个时间间隔与图形的显示过滤器匹配的数据包、数据包字节或数据包位的总数 在某些情况下会省略零值 |
Y Axis > SUM(Y Field) | 每个间隔在“Y 字段”中指定的字段值的总和 |
Y Axis > COUNT FRAMES(Y Field) | 每个间隔包含在“Y 场”中指定的场的帧数 与普通的“数据包”图不同,它始终显示零值 |
Y Axis > COUNT FIELDS(Y Field) | 每个间隔在“Y 字段”中指定的字段的实例数 |
Y Axis > MAX(Y Field), MIN(Y Field), AVG(Y Field) | 每个间隔指定的“Y 字段”的最大值、最小值和算术平均值 对于 MAX 和 MIN 值,悬停并单击图形将显示并带您到间隔中具有 MAX 或 MIN 值的数据包,而不是最近的数据包。 |
LOAD(Y Field) > Y Field | 显示过滤器字段,从中提取上面列出的 Y 轴计算的值 |
LOAD(Y Field) > SMA Period | 显示指定时间间隔内的平均值 |
+ | 添加新图表 |
- | 删除图表 |
Copy | 复制所选图形 |
Clear | 删除所有图表 |
Mouse drags / zooms | 在图形区域内使用鼠标时,拖动图形内容或选择缩放区域 |
Interval | 设置图表的间隔周期 |
Time of day | 在显示绝对时间或 X 轴上从捕获开始的相对时间之间切换 |
Log scale | 在对数或线性 Y 轴之间切换 |
缺失值为零(Missing Values Are Zero)
Wireshark 的 I/O Graph 窗口不区分缺失值和零值。 对于散点图,假设零值表示缺失数据,并且省略这些值。 零值显示在折线图和条形图中。
服务响应时间(Service Response Time)
服务响应时间是请求和相应响应之间的时间。 此信息可用于许多协议,包括以下:
AFP
CAMEL
DCE-RPC
Diameter
Fibre Channel
GTP
H.225 RAS
LDAP
MEGACO
MGCP
NCP
ONC-RPC
RADIUS
SCSI
SMB
SMB2
SNMP
作为示例,下面更详细地描述了 SMB2 服务响应时间。 其他服务响应时间窗口将显示特定于其各自协议的统计信息,但将提供相同的菜单选项。此窗口显示捕获文件中存在的每个 SMB2 操作码的事务数以及各种响应时间统计信息。 右键单击一行可以让你应用或准备过滤器,搜索或着色特定的操作码。 还可以复制所有响应时间信息或将其保存为各种格式。
协议介绍
DHCP (BOOTP) Statistics
动态主机配置协议 (Dynamic Host Configuration Protocol) 是引导协议 (BOOTP) 的一个选项。 它为 DHCP 客户端动态分配 IP 地址和其他参数。 DHCP (BOOTP) 统计信息窗口显示了一个表格,其中显示了 DHCP 消息类型的出现次数。 用户可以过滤、复制或保存数据到文件中。
NetPerfMeter Statistics
NetPerfMeter 协议 (NetPerfMeter Protocol) 是传输协议性能测试工具 NetPerfMeter 的控制和数据传输协议。 它通过 TCP、SCTP、UDP 和 DCCP 传输具有给定参数(例如帧速率、帧大小、饱和流等)的数据流。使用此统计信息,你可以:
1. 观察到的消息数和每种消息类型的字节数。
2. 每种消息类型的消息和字节份额。
3. 查看每种消息类型的第一次和最后一次出现。
4. 查看每种消息类型第一次和最后一次出现之间的间隔(如果至少有 2 相应类型的消息)。
5. 查看每个消息类型的间隔内的消息和字节率(如果至少有 2 相应类型的消息)。
ONC-RPC Programs
开放网络计算 (Open Network Computing) 远程过程调用 (RPC) 使用 TCP 或 UDP 协议将程序编号映射到远程机器上的特定端口,并在该端口调用所需的服务。 ONC-RPC 程序窗口显示捕获的程序调用的描述,例如程序名称、程序编号、版本和其他数据。
29West
29West 技术现在指的是超低延迟消息传递 (ULLM) 技术。 它允许每秒发送和接收大量消息,传输时间为微秒,以实现零延迟数据传输。
Submenu of 29West Window | ||
---|---|---|
Module | Item/th> | Description |
Topics | Advertisement by Topic | 根据主题的通告 |
Advertisement by Source | 根据源的通告 | |
Advertisement by Transport | 根据传输层的通告 | |
Queries by Topic | 根据主题的查询 | |
Queries by Receiver | 根据接收者的查询 | |
Wildcard Queries by Pattern | 根据模式的通配查询 | |
Wildcard Queries by Receiver | 根据接收者的通配查询 | |
Queues | Advertisement by Queue | 根据队列的通告 |
Advertisement by Source | 根据源的通告 | |
Queries by Queue | 根据队列的查询 | |
Queries by Receiver | 根据接收者的查询 | |
UIM | Streams | 每个流由 Endpoints、Messages、Bytes 以及 First 和 Last Frame 统计信息提供 |
LBT-RM | - | LBT-RM 传输统计窗口显示传输和其他数据的源和接收器序列号 |
LBT-RU | - | LBT-Ru 传输统计窗口显示传输和其他数据的源和接收器序列号 |
ANCP
访问节点控制协议 (Access Node Control Protocol) 是一种基于 TCP 的协议,它在访问节点和网络访问服务器之间运行。 ANCP 窗口显示相关统计数据。 用户可以过滤、复制或保存数据到文件中。Wireshark ANCP 解剖器支持下列消息:
1. 邻接消息
2. 拓扑发现扩展,例如 Port-Up 和 Port-Down 消息
3. 操作和维护(OAM) 扩展,例如端口管理消息。
BACnet
楼宇自动化和控制网络 (Building Automation and Control Networks) 是一种通信协议,可为各种楼宇自动化设施提供控制,例如灯光控制、火警控制等。 Wireshark 提供 BACnet 统计数据,这是一个数据包计数器。 您可以按实例 ID、IP 地址、对象类型或服务对数据包进行排序。
Collectd
Collectd 是一个系统统计信息收集守护进程。 它从您的系统收集各种统计数据并将其转换为网络使用。 Collectd 统计窗口显示值的计数,这些计数分为类型、插件和主机以及总数据包计数器。 您可以过滤、复制数据或将数据保存到文件中。
DNS
域名系统 (Domain Name System) 将不同的信息(例如 IP 地址)与域名相关联。 DNS 为各种聚合返回不同的代码、请求-响应和计数器。 DNS 统计窗口列出了 DNS 消息的总数,这些消息按请求类型(操作码)、响应代码(rcode)、查询类型等分组。你可能会发现这些统计信息对于快速检查 DNS 服务的运行状况或其他调查很有用。 请参阅以下几种可能的情况:
1. 如果发现 DNS 查询的请求-响应时间很长,或者未答复的查询过多,则 DNS 服务器可能会出现问题
2. 具有异常大请求和响应的 DNS 请求可能表示 DNS 隧道或命令和控制流量。
3. DNS 响应数量比请求多并且响应非常大可能表明目标正在受到基于 DNS 的 DDoS 攻击。
Flow Graph
Flow Graph 窗口显示主机之间的连接。 它显示每个捕获的连接的数据包时间、方向、端口和注释。 您可以通过 ICMP 流过滤所有连接,ICMPv6 流、UIM 流和 TCP 流。 Flow Graph 窗口用于显示多个不同的主题。 基于它,它提供了不同的控件。
每条垂直线代表特定的主机,可以在窗口顶部看到。 窗口最左侧的每一行中的数字代表时间包。 您可以在视图 › 时间显示格式中更改时间格式。 如果更改时间格式,则必须重新启动 Flow Graph 窗口以观察新格式的时间。 主机间每个箭头两端的数字代表端口号。 左键单击一行,在数据包列表中选择对应的数据包。 右键单击图形以获取其他选项,例如选择数据包列表中的上一个、当前或下一个数据包。 此菜单还包含移动图表的快捷方式。可用控件:
1. Limit to display filter: 过滤器调用仅匹配显示过滤器的调用。 当窗口打开前显示过滤器处于活动状态时,复选框被选中。
2. Flow type:允许限制协议流应基于的类型。
3. Addresses:允许在图表中切换显示的地址。
4. Reset Diagram: 将视图位置和缩放重置为默认状态。
5. Export:允许将图表导出为多种不同格式的图像(PDF、PNG、BMP、JPEG 和 ASCII(图表仅使用 ASCII 字符存储))
HART-IP
基于 IP 的高速可寻址远程传感器 (Highway Addressable Remote Transducer over IP) 是一种应用层协议。 它在智能设备和控制或监控系统之间发送和接收数字信息。 HART-IP 统计窗口显示响应、请求、发布和错误数据包的计数器。可以过滤、复制数据或将数据保存到文件中。
HPFEEDS
Hpfeeds 协议提供了一个轻量级的认证发布和订阅。 它支持可以分离到不同通道的任意二进制有效载荷。 HPFEEDS 统计窗口显示每个通道的有效载荷大小和操作码的计数器。 可以过滤、复制数据或将数据保存到文件中
HTTP Statistics
1. HTTP Packet Counter:HTTP 请求类型和响应代码的统计信息。
2. HTTP Requests:基于主机和 URI 的 HTTP 统计信息。
3. HTTP Load Distribution:基于服务器地址和主机的 HTTP 请求和响应统计。
4. HTTP Request Sequences:HTTP 请求序列使用 HTTP 的 Referer 和 Location 标头将捕获的 HTTP 请求排序为树。 这使分析人员能够看到一个 HTTP 请求如何导致下一个 HTTP 请求。
HTTP2
超文本传输协议版本 2 (Hypertext Transfer Protocol version 2) 允许通过单个连接多路复用各种 HTTP 请求和响应。 它使用由帧组成的二进制编码。 HTTP/2 统计窗口显示 HTTP/2 帧的总数,还提供每个帧类型的细分,例如 HEADERS、DATA 等。 由于 HTTP/2 流量通常使用 TLS 进行加密,因此必须配置解密以观察 HTTP/2 流量。
Sametime
Sametime 是 IBM Sametime 软件的协议。 Sametime 统计窗口显示消息类型、发送类型和用户状态的计数器。
TCP 流图(TCP Stream Graphs)
在捕获中显示 TCP 流的不同视觉表示:
1. Time Sequence (Stevens):TCP 序列号随时间变化的简单图表。
2. Time Sequence (tcptrace):显示类似于 tcptrace 实用程序的 TCP 指标,包括前向段、确认、选择性确认、反向窗口大小和零窗口。
3. Throughput:平均吞吐量和吞吐量。
4. Round Trip Time:往返时间与时间或序列号,RTT 基于对应于特定段的确认时间戳。
5. Window Scaling:窗口大小和未完成的字节。
UDP 多播流(UDP Multicast Streams)
UDP 多播流窗口显示所有 UDP 多播流的统计信息。 它包括源地址和端口、目的地址和端口、数据包计数器和其他数据。 可以指定突发间隔、警报限制和输出速度。使用此统计信息,可以:
1. 测量视频流的突发大小。 这使用滑动窗口算法。
2. 输出缓冲区大小限制的度量,即不会发生丢包。 这使用了漏桶算法。
3. 检测MPEG2 视频流中的丢包。
可靠的服务器池(Reliable Server Pooling)
Reliable Server Pooling (RSerPool) 窗口显示 Reliable Server Pooling (RSerPool) 的不同协议的统计信息:
1. 聚合服务器访问协议 (ASAP)
2. 端点句柄空间冗余协议 (ENRP)
此外,还提供了 RSPLIB 提供的应用协议的统计信息:
1. 组件状态协议 (CSP)
2. CalcApp 协议
3. 分形生成器协议
4. 乒乓协议
5. 脚本服务协议 (SSP)
通过这些统计信息,可以:
1. 观察到的消息数和每种消息类型的字节数。
2. 每种消息类型的消息和字节份额。
3. 查看每种消息类型的第一次和最后一次出现。
4. 查看每种消息类型第一次和最后一次出现之间的间隔(如果至少有 2 条相应类型的消息)。
5. 查看每个消息类型的间隔内的消息和字节率(如果至少有 2 条相应类型的消息)。
F5
在 F5 Networks 中,TMM 代表流量管理微内核。 它处理 BIG-IP 系统上的所有负载平衡流量。
F5 统计菜单显示 Virtual Server Distribution 和 tmm Distribution 子菜单的数据包和字节计数。
每个 Virtual Server Distribution 窗口都包含以下数据的统计信息:
1. 每个命名的虚拟服务器名称一行。
2. 具有流ID 且没有虚拟服务器名称的流量行。
3. 没有流ID 的流量线路。
每个 tmm 分布窗口包含以下数据的统计信息:
1. 具有虚拟服务器名称的流量。
2. 具有流 ID 且没有虚拟服务器名称的流量。
3. 没有流 ID 的流量。
IPv4 Statistics
Internet 协议版本 4 (IPv4) 是 Internet 层的核心协议。 它使用 32 位地址并允许将数据包从一台源主机路由到下一台。 Statistics › IPv4 菜单通过子菜单提供数据包计数器:
1. All Addresses:按 IP 地址划分数据。
2. Destination and Ports:按 IP 地址划分数据,再按 IP 协议类型(如 TCP、UDP 等)划分数据。 它还显示端口号。
3. IP Protocol Types:按 IP 协议类型划分数据。
4. Source and Destination addresses:按源 IP 地址和目标 IP 地址划分数据。
IPv6 Statistics
Internet 协议版本 6 (IPv6) 是 Internet 层的核心协议。 它使用 128 位地址并路由互联网流量。 与 IPv4 统计类似,Statistics › IPv6 菜单在每个子菜单中显示数据包计数器。
开放原子开发者工作坊旨在鼓励更多人参与开源活动,与志同道合的开发者们相互交流开发经验、分享开发心得、获取前沿技术趋势。工作坊有多种形式的开发者活动,如meetup、训练营等,主打技术交流,干货满满,真诚地邀请各位开发者共同参与!
更多推荐
所有评论(0)