Wireshark一個強大的功能在于它的統(tǒng)計工具。使用Wireshark的時候，我們有各種類型的工具可供選擇，從簡單的如顯示終端節(jié)點和會話到復(fù)雜的如Flow和IO圖表。本文將介紹基本網(wǎng)絡(luò)統(tǒng)計工具。包括：捕捉文件摘要（Summary）,捕捉包的層次結(jié)構(gòu)（Protocol Hirarchy）,?會話（Conversations）,?終端節(jié)點（Endpoints）, HTTP。

更多信息

Summary:

從statistics菜單，選擇Summary：

如下圖的截屏所示，你會看到：

File：

捕捉文件的一般信息，如文件名和路徑，長度，等等

Time：

第一個包和最后一個包的時間戳，以及抓包過程持續(xù)時間

Capture：

顯示文件捕捉于哪一個接口，以及評論窗口

在窗口的較低部分是Display窗口，展示抓包文件統(tǒng)計信息的摘要，包括：

捕捉報文的總數(shù)與百分比

顯示報文的數(shù)量（加上過濾條件之后）

標(biāo)記報文的數(shù)量

何時使用：

這一菜單簡單收集所有抓包數(shù)據(jù)，在定義了過濾條件的時候，將呈現(xiàn)過濾后的數(shù)據(jù)。當(dāng)想要知道每秒的平均報文數(shù)或是字節(jié)數(shù)時，可以使用此工具。

Protocol Hierarchy:

這一部分闡述如何確知網(wǎng)絡(luò)運行數(shù)據(jù)。從statistics菜單，選擇Protocol Hierarchy。

這個窗口現(xiàn)實的是捕捉文件包含的所有協(xié)議的樹狀分支。如下圖所示：

Protocol Hierarchy窗口有如下字段：

Protocol：

協(xié)議名稱

% Packets：

含有該協(xié)議的包數(shù)目在捕捉文件所有包所占的比例

Packets：

含有該協(xié)議的包的數(shù)目

Bytes：

含有該協(xié)議的字節(jié)數(shù)

Mbit/s：

抓包時間內(nèi)的協(xié)議帶寬

End Packets：

該協(xié)議中的包的數(shù)目（作為文件中的最高協(xié)議層）

End Bytes：

該協(xié)議中的字節(jié)數(shù)（作為文件中的最高協(xié)議層）

End Mbit/s：

抓包時間內(nèi)的協(xié)議帶寬（作為文件中的最高協(xié)議層）

小貼士：

包通常會包含許多協(xié)議，有很多協(xié)議會在每個包中被統(tǒng)計。End Packets，End Bytes，End Mbit/s列是該層在抓包中作為最后一層協(xié)議的統(tǒng)計數(shù)據(jù)（也就是說，協(xié)議處于報文的頂層，并且沒有更高層信息了）。例如，沒有載荷的TCP報文（例如，SYN報文），這一類沒有負載任何上層信息的報文。這就是為什么在Ethernet層，IPv4層和UDP層報文計數(shù)為0，因為沒有接收到以這些協(xié)議作為最后一層的幀。

何時使用：

值得注意的兩點是：

百分比永遠指的是相同協(xié)議層級。例如，

使用要點：

1. Percentage永遠參照的是相同協(xié)議層。例如，上例中81.03%是IPv4報文，8.85%是IPv6報文，10.12%是ARP報文。第二層之上的各協(xié)議所占百分比總和是100%。

2.?另一方面，TCP占總數(shù)據(jù)的75.70%，在TCP協(xié)議之內(nèi)，只有12.74%的報文是HTTP，除此之外沒有其他統(tǒng)計。這是由于Wireshark只統(tǒng)計有HTTP頭的報文。它不統(tǒng)計如確認報文或數(shù)據(jù)報文這樣沒有HTTP頭的報文。

3.?為了使Wireshark同時統(tǒng)計數(shù)據(jù)報文，例如，TCP報文內(nèi)部的HTTP報文，關(guān)閉Allow sub-dissector選項，對TCP數(shù)據(jù)流重新統(tǒng)計。可在Preferences菜單或Packet Details面板中右鍵TCP來實現(xiàn)。

Conversations：

1.?在Statistics菜單中，選擇Coversations。

2.?會看到以下窗口：

3.?可以選擇第2層以太網(wǎng)統(tǒng)計數(shù)據(jù)，第3層IP統(tǒng)計數(shù)據(jù)，或第4層TCP或UDP統(tǒng)計數(shù)據(jù)。

4.?可以選擇以下統(tǒng)計工具：

• On layer 2(Ethernet)：查找并過濾廣播風(fēng)暴或
• On layer 3 or 4(TCP/IP)：通過互聯(lián)網(wǎng)路由器端口并行連接，查看誰在向ISP傳輸數(shù)據(jù)

小貼士：

如果你看到互聯(lián)網(wǎng)上某一IP地址通過端口80（HTTP）向外傳輸大量數(shù)據(jù)流，你就需要將該地址復(fù)制入瀏覽器并且查看你的用戶與哪一個網(wǎng)站通訊最多。

如果沒有得到結(jié)果，只需到標(biāo)準(zhǔn)DNS查詢站點（Google一下DNS lookup）查看哪一種流量占用了你的網(wǎng)線。

5.?也可以通過選擇位于窗口左下方的Limit to display filter復(fù)選框，將會話統(tǒng)計信息進行顯示過濾。這樣，僅呈現(xiàn)所有通過顯示過濾條件的統(tǒng)計數(shù)據(jù)。

6.要查看IP地址對應(yīng)名稱，可以選擇Name resolution復(fù)選框。要查看IP名稱解析，進入View | Name Resolution | Enable for Network layer進行激活。

7.?對于TCP或UDP，可以在Packet list中對指定報文進行標(biāo)記，之后從菜單中選擇Follow TCP Stream或Follow UDP Stream。從而定義一個顯示過濾條件，僅顯示指定數(shù)據(jù)流。

使用要點：

網(wǎng)絡(luò)會話是兩個指定終端之間的數(shù)據(jù)流。例如，IP會話是兩個IP地址之間的所有數(shù)據(jù)流，TCP會話包含了所有TCP連接。

通過Conversations列表，能看出很多網(wǎng)絡(luò)問題。

以太網(wǎng)會話統(tǒng)計

在Ethernet conversations statistics中，查找以下問題：

• 大量的廣播風(fēng)暴：可以看見較輕微的廣播風(fēng)暴；而對于每秒數(shù)千甚至數(shù)萬個報文的嚴重廣播風(fēng)暴，Wireshark會停止顯示數(shù)據(jù)并且屏幕凍結(jié)。只有斷開Wireshark連接時才能看見。
• 如果你看到來自某一MAC地址的大量數(shù)據(jù)，查看會話第一部分的vendor ID，會給你一些導(dǎo)致問題的線索。即使MAC地址的第一部分標(biāo)識了vendor，但它并不一定就標(biāo)識了PC本身。這是由于MAC地址屬于PC上安裝的以太網(wǎng)芯片廠商，而并不一定屬于PC制造商。如果無法識別數(shù)據(jù)流來源地址，可以ping嫌疑地址并通過ARP獲取它的MAC地址，在交換機中查找該地址，如果有操作系統(tǒng)的話直接用find命令來定位。

IP會話統(tǒng)計

在IP conversations statistics中，查找以下問題：

• 查看收發(fā)大量數(shù)據(jù)流的IP地址。如果是你知道的服務(wù)器（你記得服務(wù)器的地址或地址范圍），那問題就解決了；但也有可能只是某臺設(shè)備正在掃描網(wǎng)絡(luò)，或僅是一臺產(chǎn)生過多數(shù)據(jù)的PC。
• 查看掃描模式（scan pattern）。這可能是一次正常的掃描，如SNMP軟件發(fā)送ping報文以查找網(wǎng)絡(luò)，但通常掃描都不是好事情。
• 一次典型的掃描模式如下圖所示：

本例中的掃描模式，一個IP地址，192.168.110.58，發(fā)送ICMP報文至192.170.3.44, 192.170.3.45, 192.170.3.46, 192.170.3.47,等等（上圖僅顯示掃描的很小一部分）。這種情況下我們有一個蠕蟲病毒感染了網(wǎng)絡(luò)上的所有PC，在它感染PC的時候，它就開始產(chǎn)生ICMP請求并將它們發(fā)送至網(wǎng)絡(luò)。這些窄帶連接（例如：WAN連接）可以很容易地被封鎖。

TCP/UDP會話統(tǒng)計

• 查看帶有太多TCP連接的設(shè)備。每一個PC合理的連接數(shù)是10到20個，上百個則是不正常的。
• 嘗試查找無法辨識的端口號。它可能是正常的，但也可能是有問題的。下圖顯示了一次典型的TCP掃描：

Endpoints:

1.?從statistics菜單，選擇Endpoints：

2.?出現(xiàn)以下窗口：

3.?此窗口中，能夠看到第2,3,4層的endpoints，也就是以太網(wǎng)，IP, TCP或UDP。

使用要點：

這一工具列出了Wireshark發(fā)現(xiàn)的所有endpoints上的統(tǒng)計信息。可以是以下任意一種情況：

• 少量以太網(wǎng)endpoints（MAC地址）與大量IP終端節(jié)點（IP地址）：可能的情況例如，一個路由器從很多遠端設(shè)備收發(fā)報文，我們會看見路由器的MAC地址及很多IP地址經(jīng)由此處。
• 少量IP終端節(jié)點與大量TCP終端節(jié)點：可能的情況是每一臺主機有很多個TCP連接。可能是有很多連接的服務(wù)器的一個正常操作，也可能是一種網(wǎng)絡(luò)攻擊（如SYN攻擊）。

以下是一個網(wǎng)絡(luò)中心的抓包示例，一個內(nèi)部網(wǎng)絡(luò)有四個HP服務(wù)器和一個Cisco路由器，MAC地址的第一部分已經(jīng)解析了廠商名稱：

當(dāng)我們查看IPv4:191下的endpoints，我們看到有很多來自192.168.10.0, 192.168.30.0，以及其他網(wǎng)絡(luò)地址。

HTTP:

1.?從statistics菜單，選擇HTTP，將會出現(xiàn)以下窗口：

在HTTP子菜單中，可以看到以下信息：

Packet Counter：

每一個網(wǎng)站的報文數(shù)量。幫助識別有多少響應(yīng)和請求。

Requests：

各網(wǎng)站的請求分布。

Load Distribution：

各網(wǎng)站的負載分布。

按照以下操作步驟查看Packet Counter統(tǒng)計信息：

1.?進入Statistics | HTTP | Packet Counter。

2.?顯示以下過濾窗口：

3.?此窗口中，可設(shè)置過濾條件以查看符合過濾條件的統(tǒng)計信息。如果想要查看整個抓包文件的統(tǒng)計信息，留白不填。這就會顯示IP層之上的統(tǒng)計信息，也就是所有HTTP報文。

4.?點擊Create Stat按鈕，會看到以下窗口：

如果要查看某一特定節(jié)點的HTTP統(tǒng)計信息，可以通過display filter的方式配置過濾條件。

按照以下操作步驟查看HTTP Requests統(tǒng)計信息：

1.?進入Statistics | HTTP | Requests，出現(xiàn)以下窗口：

2.?選擇所需過濾條件。對于所有數(shù)據(jù)，留白。

3.?點擊Create Stat按鈕，會出現(xiàn)以下窗口：

4.?要獲得指定HTTP主機的統(tǒng)計信息，設(shè)置過濾條件http.host contains <host_name>?或?http.host==<host_name>。

5.?例如，通過設(shè)置過濾條件http.host contains ndi-com.com，可以獲得站點?www.ndi-com.com的統(tǒng)計信息，如下圖所示：

6.?結(jié)果如下圖所示：

按照以下操作步驟查看Load Distribution統(tǒng)計信息：

1.?進入Statistics | HTTP | Load Distribution。

2.?出現(xiàn)以下窗口：

3.?選擇所需過濾條件。對于所有數(shù)據(jù)，留白。

4.?點擊Create Stat按鈕，會出現(xiàn)以下窗口：

使用要點：

當(dāng)我們打開一個網(wǎng)頁，通常會向若干個URL發(fā)送請求。本例中，我們打開的其中一個網(wǎng)頁是www.cnn.com，并將我們導(dǎo)向edition.cnn.com。我們發(fā)送了若干個請求：到root URL，到breaking_news URL，以及主頁上兩個其他位置。

轉(zhuǎn)載于:https://www.cnblogs.com/daxiong2014/p/4382195.html

創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎勵來咯，堅持創(chuàng)作打卡瓜分現(xiàn)金大獎

總結(jié)

以上是生活随笔為你收集整理的一站式学习Wireshark（七）：Statistics统计工具功能详解与应用的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。