|
大多數(shù)情況下,當(dāng)網(wǎng)絡(luò)崩潰或遇到問(wèn)題時(shí)��,您必須通過(guò)搜索捕獲到的數(shù)據(jù)包來(lái)查找問(wèn)題�。這就是諸如Wireshark之類(lèi)的工具大顯身手的地方了。它是目前使用最廣泛的網(wǎng)絡(luò)協(xié)議分析器之一���,它分析從網(wǎng)絡(luò)TAP(也稱為數(shù)據(jù)包捕獲設(shè)備)或計(jì)算機(jī) 的NIC發(fā)出的文件���,并讓您深入了解它們的參數(shù)、消息�、格式等��。 然而����,在捕獲網(wǎng)絡(luò)線路時(shí)會(huì)獲得的信息量令人生畏�。捕獲如此多的數(shù)據(jù)包,意味著您最終將得到巨大的捕獲文件�。不過(guò)幸運(yùn)的是,Wireshark允許用戶快速過(guò)濾這些數(shù)據(jù)�,因此您可以篩選您感興趣的部分,例如某個(gè)IP源或目標(biāo)���。您甚至可以比較值、搜索字符串����、隱藏不必要的協(xié)議等。 下面介紹的過(guò)濾器均可用于實(shí)時(shí)捕獲以及導(dǎo)入的文件�����,從而使您可以在協(xié)議的幾乎任何字段上進(jìn)行篩選���,包括數(shù)據(jù)流的十六進(jìn)制值���。當(dāng)然�,您要過(guò)濾的內(nèi)容完全取決于您的具體情況和目的�。 我們咨詢了我們的工程師,他們最喜歡什么過(guò)濾器以及如何使用它們����。以下是一些他們常用的過(guò)濾器。 ip.addr == x.x.x.x
為任何以x.x.x.x作為源IP地址或目標(biāo)IP地址的數(shù)據(jù)包設(shè)置過(guò)濾器�����。假設(shè)您要分析特定流量���,這將非常有用���。應(yīng)用該過(guò)濾器可以幫助您分析傳出流量,查看有哪些數(shù)據(jù)與您要查找的IP或源相匹配�。 您還可以選擇使用ip.dst == x.x.x.x,來(lái)僅按目標(biāo)進(jìn)行過(guò)濾����,或者使用ip.src == x.x.x.x,進(jìn)行按源過(guò)濾���。 ip.addr == x.x.x.x && ip.addr == x.x.x.x (或者 ip.src == xxxx && ip.dst == xxxx – for a destination)
在兩個(gè)特定IP地址之間設(shè)置對(duì)話過(guò)濾器���。這可以幫助您檢查兩個(gè)特定主機(jī)或網(wǎng)絡(luò)之間的數(shù)據(jù)�。當(dāng)您要查找特定數(shù)據(jù)時(shí)�����,這個(gè)過(guò)濾器可以提供幫助���,所以無(wú)需再遍歷其他不感興趣的數(shù)據(jù)����。 http or dns
設(shè)置過(guò)濾器以顯示所有http和dns協(xié)議�。它可以縮小所需的確切協(xié)議范圍。因此��,如果您需要跟蹤某些奇怪的FTP流量�����,則只需將其設(shè)置為“ftp”�。如果想找出為什么某些網(wǎng)站沒(méi)有出現(xiàn)的原因���?則只需要將其設(shè)置為“dns”即可�。 tcp.port==xxx
為具有特定源或目標(biāo)端口的TCP數(shù)據(jù)包設(shè)置過(guò)濾器。只查看進(jìn)出某個(gè)特定端口的通信量是非常有用的����,也不會(huì)耽誤太多時(shí)間。 tcp.flags.reset==1
設(shè)置過(guò)濾器來(lái)顯示所有的TCP重置�����。所有數(shù)據(jù)包都有一個(gè)TCP�����,如果將其設(shè)置為1���,它會(huì)告訴接收方計(jì)算機(jī)應(yīng)立即停止使用該連接���。因此,此過(guò)濾器是一個(gè)強(qiáng)大的過(guò)濾器��,因?yàn)門(mén)CP重置會(huì)立即終止TCP連接�����。 tcp contains xxx
該過(guò)濾器顯示了包含特定術(shù)語(yǔ)(不是xxx,請(qǐng)使用您要查找的術(shù)語(yǔ))的所有TCP數(shù)據(jù)包��。如果您要查找數(shù)據(jù)包中出現(xiàn)的特定術(shù)語(yǔ)����,則需要此過(guò)濾器。 tcp.stream eq X
跟隨tcp流��。 tcp.seq == x
按序列號(hào)過(guò)濾���。 tcp.flags.push == 1
對(duì)于故障排除很重要�����,此過(guò)濾器可檢測(cè)推送事件��。 http.request
此過(guò)濾器過(guò)濾所有HTTP GET和POST請(qǐng)求��。它可以顯示訪問(wèn)量最大的網(wǎng)頁(yè)����。 !(arp or icmp or dns)
它被設(shè)計(jì)用來(lái)過(guò)濾掉某些類(lèi)型的協(xié)議����,它屏蔽掉了arp、icmp����、dns或其他你認(rèn)為沒(méi)有用的協(xié)議。這將使你能集中注意力關(guān)注你感興趣的流量����。 udp contains xx:xx:xx
它為任意偏移(offset)的特定十六進(jìn)制值設(shè)置過(guò)濾器。 dns.flags.rcode != 0
指示無(wú)法正確解析哪些dns請(qǐng)求���。
|
