前言
大家好,這里是浩道linux,主要給大家分享linux、python、網(wǎng)絡通信相關的IT知識平臺。
今天浩道跟大家分享關于網(wǎng)絡延遲及故障分析方法相關的硬核干貨!
一、Wireshark中的輔助工具
我們在安裝完Wireshark時,會發(fā)現(xiàn)系統(tǒng)中還多了一些程序,例如Tshark等。這些程序都采用了命令行的工作方式,雖然體積都很小,但是功能卻十分強大。
1、Wireshark命令行工具
開Wireshark的安裝目錄,然后按照類型對文件進行排序,就可以看到除了Wireshark.exe之外還有如圖所示的一些命令行工具。
首先我們先來簡單地看一下這些工具的功能:
Tshark.exe:這個工具可以看作是Wireshark的命令行版本,可以用來捕獲數(shù)據(jù)包,也可以讀取保存好的數(shù)據(jù)包捕獲文件。
editcap.exe:主要用來轉換捕獲數(shù)據(jù)包捕獲文件的格式。
dumpcap.exe:和tshark.exe一樣用來捕獲數(shù)據(jù)包,保存為libpcap格式文件。
mergecap .exe:用來將多個數(shù)據(jù)包捕獲文件合并成一個。
capinfos.exe:用來將顯示數(shù)據(jù)包捕獲文件的信息。
text2pcap.exe:將十六進制轉儲文件轉換為數(shù)據(jù)包捕獲文件。
2、使用Tshark和Dumpcap進行數(shù)據(jù)包的捕獲
1. Tshark.exe使用方法
Tshark.exe是Wireshark的一個組件,可以用來捕獲數(shù)據(jù)包,也可以用來查看之前保存的數(shù)據(jù)包捕獲文件。
Tshark.exe也提供了對數(shù)據(jù)包的解析和保存功能。雖然沒有圖形化的工作界面,但是Tshark.exe的功能卻十分強大。如果你希望查看Tshark.exe的全部功能,可以在命令行中輸入“tshark–h”就可以查看幫助文件,這個幫助文件很大,下圖只顯示了其中與網(wǎng)絡接口(網(wǎng)卡)有關的部分。
我們首先來看一個使用Tshark.exe捕獲數(shù)據(jù)包的簡單示例,這里至少需要指定捕獲數(shù)據(jù)包所使用的網(wǎng)卡,在Linux下很容易查看到網(wǎng)卡的名稱和編號。
但是查看Windows下網(wǎng)卡的編號則要困難很多,不過在Tshark中,可以使用如下的命令查看每個網(wǎng)卡的編號:
tshark -D
接下來我們使用第4塊網(wǎng)卡來捕獲數(shù)據(jù),為了加快捕獲的速度,這里使用-s參數(shù)來表示只捕獲數(shù)據(jù)包的前512個字節(jié)數(shù)據(jù):
tshark -s 512 -i 4
和Wireshark一樣,Tshark還支持捕獲過濾器和顯示過濾器的使用,這兩種過濾器的語法也和Wireshark中規(guī)定的一樣,例如下面就使用了目標端口為80的過濾器:
tshark -s 512 -i 4 -f 'tcp dst port 80'
捕獲到的數(shù)據(jù)包如圖17-3所示:
需要停止捕獲數(shù)據(jù)包時,可以使用“Ctrl+C”組合鍵。
Tshark中還提供了強大的統(tǒng)計功能,這個功能通過參數(shù)-z來實現(xiàn),這個參數(shù)后面需要使用Tshark所指定的值,可以使用如下命令:
tshark -z -h
Tshark所有可以使用的值如圖所示:
這里面我們選擇使用“io,phs”作為-z參數(shù)的值,這里面我們添加了-q來指定不顯示捕獲的數(shù)據(jù)包信息:
tshark -i 4 -f “port 80” -q -z io,phs
執(zhí)行該命令的結果如圖所示:
Tshark功能詳情,請參考:tshark(1)
2. Dumpcap的用法
Dumpcap也是Wireshark中自帶的一個命令行工具,這種工具的優(yōu)勢就在于對資源的消耗較小。
你可以使用dumpcap.exe -h來查看它的幫助文件:
這里首先來介紹幾個最為常用的選項。
-D:列出當前可以的網(wǎng)卡設備。
-i<>:指定要使用的網(wǎng)卡名字或者序號。
-f<capture filter>:使用BPF語法完成的過濾器表達式。
-b filesize:指定文件的大小。
-w<outfile>:指定用來保存文件的名稱。
這個工具的使用與Tshark很相似,dumpcap詳情功能,請參考:dumpcap(1)
3、使用Editcap對數(shù)據(jù)包進行修改
使用Wireshark在捕獲數(shù)據(jù)包時得到的文件可能會很大,Editcap就可以將這種大文件分割成較小的文件。另外,Editcap也可以通過開始時間和停止時間來獲取捕獲數(shù)據(jù)包文件的子集,刪除捕獲數(shù)據(jù)包文件中重復數(shù)據(jù)等。
同樣我們了解這個工具最好的辦法還是查看它的幫助文件,使用Editcap -h可以看到:
同樣這個幫助文件也很長,這里只顯示了其中的一部分。
下面我們以實例的方式來介紹一下它的應用:
editcap[options]…<infile><outfile>[<packet
這里面的infile和outfile是必要參數(shù),其中infile表示要處理的捕獲數(shù)據(jù)包文件,outfile表示經(jīng)過處理的文件。例如,我們已經(jīng)將Wireshark中捕獲的數(shù)據(jù)包文件保存為Traces.pcapng,現(xiàn)在需要將里面的前2000個數(shù)據(jù)包單獨保存成另一個文件,可以執(zhí)行如下所示的命令:
editcap –r Traces.pcapng packetrange.pcapng 1-2000
這里面使用了一個參數(shù)r,它的作用是保留要處理的文件Traces.pcapng,如果不使用這個參數(shù)的話,這個文件就會被刪除掉。
將一個文件拆分成多個文件時,需要指定拆分的條件,例如一個捕獲了100000個數(shù)據(jù)包的文件,我們就可以按照每2000個數(shù)據(jù)包為一個新文件的方式作為條件。
拆分時使用的參數(shù)為c:
editcap –c 2000 Traces.pcapng SplitTrace.pcapng
當一個文件中包含了重復的數(shù)據(jù)包時,可以使用參數(shù)d或者D來將重復的數(shù)據(jù)包去掉,其中-d在檢測一個數(shù)據(jù)包是否重復的時候,只會和當前數(shù)據(jù)包的前5個進行比較,而參數(shù)-D則可以指定范圍(有效值可以是0~100000)。
editcap –d Traces.pcapng nodupes.pcapng
4、使用Mergecap對數(shù)據(jù)包進行合并
相比起其他工具,Mergecap的功能比較單一,它主要的功能就是將多個文件合并成一個文件,最基本的語法為
mergecap –winfile1.pcapng infile2.pcapng…
也就是mergecap后面跟多個文件名,其中的第一個是其他文件合并生成的。
主要參數(shù)的作用如下:
-a:將多個文件拼接成一個文件,默認為按照數(shù)據(jù)包的時間戳進行合并。
-s<snaplen>:將文件中的數(shù)據(jù)包均截斷為<snaplen>字節(jié)。
-w<outfile>:設置保存為文件名。
-F<capture type>:設置保存的文件類型,默認為pcapng。
-T<encap type>:設置保存文件的封裝類型,默認和原始文件類型一致。
下面的例子中就將source1.pcapng、source2.pcapng、source3.pcapng這3個文件合并成了一個merged.pacap文件。
mergecap –w merged.pacap source1.pcapng source2.pcapng source3.pcapng
另外,我們也可以只截取目標數(shù)據(jù)包的一部分來進行合并,例如截取每個數(shù)據(jù)包的前128個字節(jié),使用的命令如下所示:
mergecap –w merged.pacap -s 128 source1.pcapng source2.pcapng source3.pcapng
5、Capinfos的使用方法
capinfos是一個顯示數(shù)據(jù)包捕獲文件信息的程序。
這個程序最常見的參數(shù)如下所示:
-t輸出包文件的類型
-E輸出包文件的封裝類型
-c輸出包的個數(shù)
-s輸出包文件的大?。▎挝唬篵yte)
-d輸出包所有包的總字節(jié)長度(單位:byte)
-u輸出包文件中包的時間周期(單位:second)
-a輸出包文件中包的起始時間
-e輸出包文件中包的結束時間
-y輸出包文件中包的平均速率(單位:byte/s)
-i輸出包文件中包的平均速率(單位:bit/s)
-z輸出包文件中包的平均字節(jié)長度(單位:byte)
-x輸出包文件中包的平均速率(單位:packet/s)
如果需要查看這個包的所有信息:
capinfos caps.pcap
執(zhí)行的結果如圖所示:
6、USBPcapCMD的使用方法
USB技術的應用越來越廣泛,我們常用的U盤、鼠標、鍵盤都是USB設備。我們有時也會遇見要對這種設備進行調試的情形,但是很少有人知道其實Wireshark也是可以勝任這一任務的。
Wireshark可以像處理網(wǎng)絡中的通信一樣來捕獲和解析USB設備的通信。
Wireshark2.0之后就加入了對USB協(xié)議的支持,USB協(xié)議版本有USB1.0、USB1.1、USB2.0、USB3.1等,目前USB2.0比較常用。這里,我們介紹如何使用Wireshark來捕獲和分析USB協(xié)議。
使用Wireshark對USB進行調試的時候需要考慮所使用的操作系統(tǒng),默認情況下,Windows環(huán)境中需要安裝專門的軟件才能完成這個工作。不過Wireshark2.0以上的版本提供了一個名為USBPcap的工具。這個工具需要管理員的工作權限,這個工具沒有提供圖形化的操作界面,所以我們需要在命令行下完成這些工作。
首先我們將工作目錄切換到USBPcap的安裝目錄:
cd c:program FilesUSBPcap
使用-h作為參數(shù)來查看這個工具的幫助:
C:Program FilesUSBPcap>USBPcapCMD.exe -h
如果現(xiàn)在需要列出當前連接設備的話,我們只需要輸入這個工具的名稱即可,無需任何參數(shù)。執(zhí)行之后你就可以看到一個USB設備里列表,在這個列表可以找到所需要調試的設備。
下圖演示了一個在我的工作環(huán)境(Windows 7)下的USB設備列表,這里面我的計算機連接了一個無線網(wǎng)卡,一個USB鼠標,一個USB鍵盤和一個USB2.0集線器,它們都連接到了\.USBPcap1上。
最后一行會顯示“Select filter to monitor(q to quit):”,在這里面輸入要捕獲信息的控制設備。這里只有一個設備\.USBPcap1,所以我們輸入數(shù)字1。
之后我們還要再輸入一個文件的名稱,你可以按照自己的習慣來命名。這個文件將用來保存捕獲到的USB設備信息。
我們可以使用Enter鍵來開始捕獲USB流量,當開始捕獲之后,這個控制臺不會有任何的顯示。
當捕獲結束的時候,可以使用Ctrl+C組合鍵。然后USBPcap控制臺就會關閉,所有捕獲的數(shù)據(jù)將會保存在C:Program FilesUSBPcap下。
然后我們就可以使用Wireshark來查看這個捕獲文件:
二、Wireshark過濾器
Wireshark的世界里有2種過濾器,分別是采集過濾器和顯示過濾器,采用恰當?shù)倪^濾器,不但能提高數(shù)據(jù)分析的靈活性,而且能讓分析者更快看到自己想要的分析對象。
1、Wireshark采集過濾器
使用Wireshark采集數(shù)據(jù)包時,可能有諸多原因會使用到采集過濾器,比如減少采集的數(shù)據(jù)包大小來節(jié)省磁盤空間,加速問題和目標分析,提高軟件自身工作速率等等。
1. 為什么要使用抓包過濾器
當網(wǎng)絡中數(shù)據(jù)流的規(guī)模相當龐大時,只抓取滿足某些條件的流量就顯得十分重要了。如果用戶需要在生產(chǎn)環(huán)境中進行流量分析,那他一定遲早會需要使用到抓包過器。用戶要在開始抓包之前使用抓包過濾器??傊?,Wireshark抓取的每個數(shù)據(jù)包都會提交給抓包引擎,再由抓包引擎將抓取的數(shù)據(jù)包轉換成人類可以讀懂的格式。但是,如果用戶應用了抓包過濾器,那么Wireshark就會丟棄與用戶需求不符的那些數(shù)據(jù)包。Wireshark不會將這些丟棄的數(shù)據(jù)包交給抓包引擎進行轉換。相比之下,顯示過器就要具體和強大得多了。在使用抓包過濾器時,用戶一定要謹慎,因為如果有些數(shù)據(jù)包因為與用戶定義的規(guī)則不符可能被丟棄,這些丟棄的數(shù)據(jù)包是無法恢復的。
創(chuàng)建過源器時要使用伯克利數(shù)據(jù)包過器(BPF)語法,還有很多協(xié)議分析軟件使用的也是這種語法,因為這種語法是行業(yè)標準。這種語法很容易學習和使用,使用基本的格式來構建用戶的過濾標準就行了。
2. 如何使用抓包過濾器
最簡單直接的使用方式如下圖,在Wireshark主體界面,直接輸入抓捕過濾器表達即可。
也可以選擇已有的過濾器名稱,直接使用。
如下圖:
3. 如何管理過濾器
管理過濾器的目的是提前定義常用的過濾器,在使用的使用直接使用,以避免再去查找語法或書寫規(guī)范等操作。
選擇捕獲——捕獲過濾器,即可打開捕獲過濾器管理窗口。
在捕獲過濾器窗口,你可以定義自己想要的過濾器并保存,下次使用的使用,直接從下拉菜單選擇就行。
在定義捕獲過濾器時,有個小技巧,就是多用復制功能,這種先通過復制形似的過濾器,然后再調整修改的方式能夠加快過濾器的定義速度,提高定義過濾器的準確性。
4. 抓包過濾器語法規(guī)則
捕獲過濾器應用于Winpcap,并使用 Berkeley Packet Filter(BPF)語法。這個語法被廣泛用于多種數(shù)據(jù)包抓包軟件,主要因為大部分數(shù)據(jù)包抓包軟件都依賴于使用BPF的libpcap/Winpcap庫。
掌握BPF語法對你在數(shù)據(jù)包層級更深入地探索網(wǎng)絡來說是非常關鍵的。使用BPF語法創(chuàng)建的過濾器被稱為表達式,并且每個表達式包含一個或多個原語。每個原語包含一個或多個限定詞,然后跟著一個ID名字或者數(shù)字,如下圖是對限定詞的介紹。
下圖是一個完整的抓包過濾器示例:
在這個給定表達式的組成部分中,一個src限定詞和192.168.0.10組成了一個原語。這個原語本身就是表達式,可以用它只捕獲那些源IP地址是192.168.0.10的流量。
你可以使用以下3種邏輯運算符,對原語進行組合,從而創(chuàng)建更高級的表達式。
連接運算符與(&&)
選擇運算符或(II)
否定運算符非(!)
舉例來說,下面的這個表達式只對源地址是192.168.0.10和源端口或目標端口是80的流量進行捕獲。
src 1921680.108 && port 80
5. 常見抓包過濾器列表
以下是常見的抓包過濾器,供參考。
過濾器 | 過濾器 |
host 192.168.1.1 | 所有與主機192.168.1.1相關的流量 |
port 8080 | 所有與8080端口相關的流量 |
src host 192.168.1.1 | 所有從主機192.168.1.1始發(fā)的流量 |
dst host 192. 168.1.1 | 所有去往主機192.168.1.1的流量 |
src port 53 | 所有由53端口發(fā)出的流量 |
dst port 21 | 所有去往21端口的流量 |
src 192.168.1.1 and tcp port21 | 所有從19216811且與tcp端口21相關的流量 |
dst 192.168.1.1 or dst 192.168.1.2 | 所有去往192.168.1.1或者去往192.168.1.2的流量 |
not port 80 | 所有與80端口不相關的流量 |
not src host 192.168.1.1 | 所有非主機192.168.1.1發(fā)出的流量 |
not port 21 and not port 22 | 所有既與21端口無關,也與22端口無關的流量 |
tcp | 所有tcp流量 |
2、Wireshark顯示過濾器
和抓包過濾器不同,顯示過濾器是在現(xiàn)有的數(shù)據(jù)包中通過過濾條件,篩選查看想要的對象,不需要顯示的內容被“隱藏”,而執(zhí)行了抓包過濾器,不需要的數(shù)據(jù)包則會直接被丟棄,無法挽回。
1. 顯示過濾器簡介
顯示過濾器遠比抓包過濾器更加靈活和強大。顯示過濾器不會丟失數(shù)據(jù)包,只是為了增強用戶閱讀而將一部分數(shù)據(jù)包隱藏起來。丟棄數(shù)據(jù)包有時并非明智選擇,因為一旦數(shù)據(jù)包被丟棄,這些數(shù)據(jù)包也就無法再恢復回來了。
在分組列表面板上面的輸入框,你可以輸入顯示過濾器,或者通過下拉顯示近期使用的過濾器記錄,來選擇使用顯示過濾器。
在用戶配置了顯示過濾器之后,只有那些滿足用戶過濾器設置條件的數(shù)據(jù)包才會被顯示出來。使用應用了顯示過濾器之后,就會在Wireshark狀態(tài)欄的第二列看到使用顯示過濾器后的相關信息。
2. 如何快速創(chuàng)建顯示過濾器
顯示過濾器可以在Packet List(數(shù)據(jù)包列表面板)上面右鍵,從作為過濾器、準備過濾器和對話過濾器中快速生成,如下圖所示。顯示過濾器使用的語法很容易理解并使用。對于新手來說,顯示過濾器是一種超級強大的功能,它會讓你分析起數(shù)據(jù)包游刃有余。
顯示過濾器可以用很多不同的參數(shù)作為匹配標準,比如IP地址協(xié)議、端口號、某些協(xié)議頭部的參數(shù)。此外,用戶也用一些條件工具和組合運算符創(chuàng)建出更加復雜的表達式。用戶可以將不同的表達式組合起來,讓軟件顯示的數(shù)據(jù)包范圍更加精確。在數(shù)據(jù)包列表面板中顯示的所有數(shù)據(jù)包都可以用數(shù)據(jù)包中包含的字段進行過濾顯示。
3. 顯示過濾器語法結構
每條顯示過濾器通常都是由若干原詞構成,原詞之間通過連接符(如and或or等)連接,原詞之前還可以添加not表示相反的意思,其語法如下所列。
[not]表達式[and or] [not]表達式
下圖是顯示過濾器表達式中條件運算符的解釋。
下圖是邏輯運算符的說明解釋:
4. 常用顯示過濾器參考
以下是常見顯示過濾器,供參考。
5. 如何保存過濾器
當你創(chuàng)建了很多捕獲和顯示過濾器之后,會發(fā)現(xiàn)其中有一些使用得格外頻繁。為了每次使用它們的時候都不重新輸入,可以讓Wireshark把常用的過濾器規(guī)則保存下來,供以后使用。
選擇分析——顯示過濾器,打開顯示過濾器窗口,就能看到系統(tǒng)默認自帶的部分顯示過濾器。
根據(jù)自己的需求,在顯示過濾器窗口,使用新增和刪除功能,進行過濾器創(chuàng)建和刪除,你也可以使用復制這一快捷的方法,先復制類似形式的已有過濾器,再通過修改名稱和過濾器內容,形成新的過濾器。
三、使用Wireshark分析數(shù)據(jù)包技巧
在進行數(shù)據(jù)包分析過程,一定會遇到成千上萬的數(shù)據(jù)包需要分析的常見。如何在如此大量數(shù)據(jù)的環(huán)境中快速得到你想要的對象,提高分析效率和精準度呢?采用常見的分析技巧,也許能給你帶來極大的幫助。
1、使用查找數(shù)據(jù)包
如果要快速查找到分析想要的數(shù)據(jù),按ctr+f快捷鍵,打開查找輸入框,輸入框中可輸入顯示過濾器、十六進制值、字符串和正則表達式內容。
以下是搜索類型和例子,關于正則表達式,這里不再展開。
當你選好選項并在文本框中輸入搜索關鍵詞之后,單擊查找,就會找到滿足該關鍵詞的第一個數(shù)據(jù)包。如果想要找到下一個匹配的數(shù)據(jù)包,按Ctrl-N,想要找前一個,按Ctrl-B。
2、標記數(shù)據(jù)包
在找到那些符合搜索條件的數(shù)據(jù)包之后,就可以根據(jù)需要進行標記。舉例來說,可能你希望將那些需要分開保存的數(shù)據(jù)包標記出來,或者根據(jù)顏色快速查找它們。被標記的數(shù)據(jù)包會以黑底白字顯示(你也可以單獨將標記了的數(shù)據(jù)包選擇出來,然后作為數(shù)據(jù)包捕獲保存下來)。
被標記的數(shù)據(jù)包將在你的屏幕上以高亮顯示。在下面這個例子中,數(shù)據(jù)包50被標記并且顯示為深色。
如果你想要標記一個數(shù)據(jù)包,右擊Packet List面板,并在彈出菜單中選擇 Mark Packet,或者在Packet List面板中選中一個數(shù)據(jù)包,然后按Ctrl-M。
如果想取消對一個數(shù)據(jù)包的標記,再按一次Ctrl-M就可以將其取消。在一次捕獲中,你想標記多少個數(shù)據(jù)包都可以。如果你想要在標記的數(shù)據(jù)包間前后切換,分別按SHIFT-CTRL-N和SHIFT-CTRL-B切換即可。
3、打印數(shù)據(jù)包
盡管大多數(shù)情況下分析都會在電腦前進行,但你仍然可能需要將捕獲結果打印出來。我經(jīng)常將數(shù)據(jù)包打印出來,并貼在顯眼的位置,這樣在做其他分析的時候,就可以快速地參考這些內容。特別是在做報告的時候,能夠將數(shù)據(jù)包打印成一個PDF文件將是非常方便的。
如果需要打印捕獲的數(shù)據(jù)包,在主菜單中選擇文件——打印,打開打印對話框。
你可將選中的數(shù)據(jù)以文本或者Post Script的格式打印或者輸出到一個文件。與 另存為對話框相似,你也可以按一定范圍打印數(shù)據(jù)包,比如被標記的數(shù)據(jù)包,或者作為過濾器篩選結果顯示出來的數(shù)據(jù)包。對于每一個數(shù)據(jù)包,你也可以在主面板中選擇打印對象。在你做好了這些選擇之后,單擊打印。
4、設定數(shù)據(jù)包相對時間參考
時間在數(shù)據(jù)包分析中非常重要。所有在網(wǎng)絡上發(fā)生的事情都是與時間息息相關的,并且你幾乎需要在每個捕獲文件中檢查時間規(guī)律以及網(wǎng)絡延遲。Wireshark意識到時間的重要性,并提供了一些相關的選項以供設定。下面介紹相對時間參考。
數(shù)據(jù)包的相對時間參考,可以讓你以一個數(shù)據(jù)包作為基準,而之后的數(shù)據(jù)包都以此計算相對時間戳。當一系列的順序事件不是在捕獲開始時被觸發(fā),而是在中間某個地方被觸發(fā),這個功能會變得非常好用。
如果希望將某一個數(shù)據(jù)包設定為時間參考,在 Packet Listi面板中選擇作為相對參考的數(shù)據(jù)包,然后右鍵,選擇設置/取消設置時間參考。同樣,如果要取消一個數(shù)據(jù)包的相對時間參考,還是在這個地方操作。
當你將一個數(shù)據(jù)包設定為時間參考之后,Packet List面板中這個數(shù)據(jù)包的Time列就會顯示為REF*,如下圖所示。只有當捕獲的時間顯示格式設定為相對于捕獲開始的時間,設定數(shù)據(jù)包時間參考才有用處。使用其他設定都不會生成有用的結果,并且其產(chǎn)生的一堆時間會很令人迷惑。
數(shù)據(jù)包相對時間參考在分析網(wǎng)絡性能問題,網(wǎng)絡延時,應用性能問題及最終用戶體驗時都極為重要,熟練掌握相對時間參考設置,能夠讓分析事半功倍。
下圖為網(wǎng)深科技NetInside企業(yè)級應用性能管理系統(tǒng)自動分析出網(wǎng)絡數(shù)據(jù)包中的各種延時及最終用戶體驗,企業(yè)級系統(tǒng)能夠針對任意一個用戶、任意一個IP、任意一個網(wǎng)段或任意一個應用系統(tǒng)做這樣的分析輸出,而這樣的分析只需動動手指就能夠完成。
5、匯總分析一個抓包文件
抓包匯總功能在生成數(shù)據(jù)包分析報告時常常用到。
1. 如何打開匯總分析
要打開匯總分析,首先要打開一個抓包文件。
打開菜單——捕獲文件屬性,彈出的窗口就是匯總分析界面。
2. 匯總分析功能解讀
下圖是匯總分析界面,詳細顯示了該抓包文件的相關信息,下面我們將詳細解讀匯總分析中各個條目的內容。
捕獲文件屬性對話框可以分為下面幾部分。
文件:顯示的是一些總體的信息,比如文件名、文件所在位、長度、哈希、使用的格式、封裝等。
時間:這一部分顯示抓取第一個數(shù)據(jù)包和最后一個數(shù)據(jù)包的時間,以及之間經(jīng)歷的時間(也就是總的抓包時長)。
捕獲:這一部分會顯示捕獲報文的網(wǎng)卡信息、操作系統(tǒng)信息及當前使用的Wireshark系統(tǒng)版本信息。
接口:這里會顯示所有抓取流量接口的詳細信息
統(tǒng)計:這里會顯示與所有顯示過濾器有關的統(tǒng)計數(shù)據(jù),以及應用過濾器之后遭忽略數(shù)據(jù)包的百分比。
捕獲文件描述:用戶可以在這里寫入備注信息。
下圖是統(tǒng)計部分的內容,它們提供了各種詳細的數(shù)據(jù),包括以表格形式提供的匯總數(shù)據(jù),其中包含了各類基本信息,如數(shù)據(jù)包的平均大小、抓取到的數(shù)據(jù)包總數(shù),第一次抓到數(shù)據(jù)包和最后一次抓到數(shù)據(jù)包之間經(jīng)歷的時間等。
比如,我們在應用顯示過濾器之后生成了一個抓包文件。在此之后,我們再次打開捕獲文件屬性窗口??梢钥吹浇y(tǒng)計部分顯示了捕獲文件和使用了顯示過濾器后的結果比較。
捕獲文件屬性窗口所提供的所有信息來源于所有打開的數(shù)據(jù)包文件,如果使用了顯示過濾器,則顯示使用了過濾器的數(shù)據(jù)包。
6、查看數(shù)據(jù)包中協(xié)議信息
網(wǎng)絡協(xié)議是網(wǎng)絡分析的基礎信息,網(wǎng)絡分析人員拿到一個抓包文件后,往往會快速了解一下。一個抓包文件中都由哪些協(xié)議組成,這些協(xié)議的占用比例分別是多少,協(xié)議層級關系如何等等,這些疑問都可以由Wireshark自帶的協(xié)議分級功能來回答。
1. 打開協(xié)議分級
要打開協(xié)議分析,意味著你已經(jīng)打開了一個抓包文件。
打開菜單——協(xié)議分級,彈出的窗口就是協(xié)議分級統(tǒng)計界面。
協(xié)議分級統(tǒng)計可以給用戶提供通信中使用到的各個協(xié)議的分布信息,同時也可以向用戶展示出那些不符合網(wǎng)絡基準的異常操作。所謂各個協(xié)議的分布信息,是指這個界面可以顯示某種協(xié)議在兩臺主機間通信數(shù)據(jù)中所占的百分比以及相關的統(tǒng)計數(shù)據(jù),比如顯示每種協(xié)議分別發(fā)送和接收了多少比特、多少個數(shù)據(jù)包。用戶網(wǎng)絡當前的流量狀態(tài)與網(wǎng)絡正常狀態(tài)下建立的流量基線相比較,就很容易發(fā)現(xiàn)網(wǎng)絡中的異常操作。
2. 協(xié)議分級統(tǒng)計詳細解讀
協(xié)議分級統(tǒng)計以直觀的樹形圖展開顯示,第一列分級顯示了協(xié)議信息,以及協(xié)議之間的層級關系。
后面分別列舉多個指標信息,下面詳細解讀一下。
按分組百分比:顯示了抓包文件中所含數(shù)據(jù)包在每一種協(xié)議類型中的占比情況(按數(shù)據(jù)包的個數(shù)來統(tǒng)計)。
分組:顯示了每一種協(xié)議類型的數(shù)據(jù)包的個數(shù)。
按字節(jié)百分比:顯示了抓包文件中所含數(shù)據(jù)包在每一種協(xié)議類型中的占比情況(按數(shù)據(jù)包的字節(jié)數(shù)來統(tǒng)計)。
字節(jié):顯示了每一種協(xié)議類型的數(shù)據(jù)包的字節(jié)數(shù)
比特/秒:顯示了某種協(xié)議類型的數(shù)據(jù)包在抓包時段內的傳輸速率。
結束 分組:顯示了隸屬于該協(xié)議類型的數(shù)據(jù)包的凈數(shù)量。
結束 字節(jié):顯示了隸屬于該協(xié)議類型的數(shù)據(jù)包的凈字節(jié)數(shù)。
結束 位/秒:顯示了隸屬于該協(xié)議類型的數(shù)據(jù)包在抓包時段內的凈傳輸速率。
3. 如何知道某人在干什么
如果要快速查看某個人在網(wǎng)絡上干了什么,只需要先做個顯示過濾器,過濾器的內容是這個人的IP地址,例如ip.addr==10.66.2.100。然后在打開協(xié)議分析統(tǒng)計查看,查看到的就是這個人相關的所有協(xié)議信息。
協(xié)議分級統(tǒng)計窗口能夠提供當前網(wǎng)絡中活動的協(xié)議信息,是分析者經(jīng)常使用的功能之一,因為它是當前網(wǎng)絡的直觀寫照。
7、數(shù)據(jù)包會話分析
在網(wǎng)絡分析中,經(jīng)常會有這樣一個需求,就是想知道當前網(wǎng)絡誰最活躍,誰和誰之間的流量傳輸最大,即占用的帶寬最多,以及最活躍的對象占用了多大的帶寬。
1. 什么是會話
網(wǎng)絡中的一個會話(conversation),就如同現(xiàn)實中兩個人在接打電話,舉例來說,張三和李四會話可能是這樣子的:“你好嗎?”,“我很好,你呢?”,“非常好!”。
而在網(wǎng)絡中的會話,描述的是兩臺主機(端點)之間進行的通信。192.168.1.2和192.168.0.10之間的一個會話可能就是這樣的“SYN”” SYN/ACK””ACK”。
會話可以說基于數(shù)據(jù)鏈路層MAC之間的,也可以是基于網(wǎng)絡層IP之間的,如下圖舉例說明這2類會話。
2. 如何打開會話分析
要打開會話分析,點擊菜單統(tǒng)計——會話。
在打開的窗口,用戶就會看到下圖所示內容,這個窗口顯示出很多列信息,包括網(wǎng)絡中正在傳輸?shù)臄?shù)據(jù)包、網(wǎng)絡中傳輸?shù)谋忍財?shù)量、數(shù)據(jù)流量、設備的MAC地址,以及很多其他的詳細信息。在窗口的最上方,用戶可以看到很多標簽,每個標簽顯示關于一種協(xié)議的信息在標簽中除了協(xié)議名稱之外,用戶還可以看到個數(shù)字,這個數(shù)字表示的是當前獨立會話的數(shù)量。
3. 如何查看流量最大的會話
想要找出網(wǎng)絡中誰的流量最大,看看這些流量是從哪里傳輸過來的,那么用戶就可以在打開的會話分析窗口,點擊Pv4標簽,然后按照降序來排列數(shù)據(jù)包。在這里,窗口中顯示的第一行信息就是這位用戶正在尋找的答案。如下圖,該圖顯示了這里所說的信息。
在第一行中,用戶可以看到各個端點收發(fā)了多少數(shù)據(jù)包字節(jié),以及設備抓包的總時長。如果用戶想要創(chuàng)建個過器,也可以用同樣的方法右鍵點擊第一行信息,然后就可以創(chuàng)建出用戶想要設置的表達式了。選擇第一個可選項A<>B,這里只會顯示與地址A( Address A)和地址B( Address B)有關的數(shù)據(jù)包。
4. 會話分析常用技巧
在會話分析過程中,最常用的是針對網(wǎng)絡第二、三、四層內容進行分析。通過點擊會話分析窗口中不同標簽,找到分析答案。
Ethernet標簽:來觀察具有不同MAC地址的主機間發(fā)生過什么樣的“溝通”。
IPv4標簽:來觀察具有不同IPv4地址的主機間有過什么樣的“交流”。
TCP或UDP標簽:來觀察具有不同IPv4地址的主機間所建立的各種TCP(或UDP)會話。
在現(xiàn)實網(wǎng)絡分析中,使用這些常用分析標簽,不但能夠分析二層的廣播風暴、MAC地址沖突等故障,而且能夠分析網(wǎng)絡中存在的掃描現(xiàn)象,感染病毒的主機定位,異常服務器發(fā)現(xiàn),或者異常的應用連接行為。
遺憾的是,Wireshark無法通過圖形方式直觀展現(xiàn)這些內容,只能是一行行的表格信息。
8、數(shù)據(jù)包終端分析
和會話分析類似,會話分析告訴我們,網(wǎng)絡中誰與誰之間的表現(xiàn)最活躍,占用的流量最大。終端分析,能夠告訴我們,每個終端的不同表現(xiàn)和數(shù)據(jù)。終端可以是一個MAC地址,也可以是一個IP地址,還可以是一個IP地址+端口(TCP或UDP應用)。
1. 如何使用終端分析
終端即網(wǎng)絡會話中的一側。要打開終端分析,點擊菜單統(tǒng)計——終端。即可打開終端分析窗口。
每臺主機都可以借助網(wǎng)絡接口卡(NIC)中的物理地址(常常稱為MAC地址)進行通信,設備會使用這個地址在一個本地網(wǎng)絡中實現(xiàn)通信。
比如說,在我們觀察到一個網(wǎng)絡中的流量異常繁忙時,就會發(fā)現(xiàn)這個流量與網(wǎng)絡中日常傳輸?shù)牧髁磕J讲煌=酉聛?,我們就希望能夠找出到底是哪臺設備創(chuàng)建流量的模式與過去不一樣。對于網(wǎng)絡管理員來說,這時就應該使用終端分析,在打開終端分析窗口之前,可以從數(shù)據(jù)包列表面板中隨便點擊一個TCP數(shù)據(jù)包。此時,用戶會在頂部看到很多標簽,每個標簽分別顯示一種不同的協(xié)議。其中有些協(xié)議是激活的,有些則是非激活的。當流量中包含了與某種協(xié)議有關的數(shù)據(jù)包時,這個標簽中顯示的協(xié)議就是激活的;否則,這個協(xié)議就是非激活的。
首次打開終端分析界面,默認顯示二層網(wǎng)絡的終端分析信息。在窗口中,用戶可以看到很多關于各個端點的詳細信息,比如傳輸?shù)臄?shù)據(jù)包總數(shù)、傳輸?shù)目傋止?jié)數(shù),以及一個端點接收和傳輸?shù)淖止?jié)總數(shù)與數(shù)據(jù)包總數(shù)。
如果想要分析網(wǎng)絡三次信息,只需點IPv4標簽。就可以輕而易舉的查看到網(wǎng)絡中IP地址信息,通過排序,就能找到數(shù)據(jù)量最大的終端地址。
2. 終端分析技巧
在終端分析窗口,顯示了大量的標簽和密密麻麻的數(shù)據(jù)排列,可能有讓人摸不著頭腦。下面介紹部分終端分析的技巧,用來識別和分析常見的網(wǎng)絡故障。
Ethernet端點(MAC地址)少,IP端點(IP地址)多:對于這種現(xiàn)象,可能的原因是有一臺路由器來負責轉發(fā)所有進、出本地LAN(IP子網(wǎng))的IP流量。也就是說,對于源或目的IP地址不隸屬于本地IP子網(wǎng)的所有數(shù)據(jù)包,其源或目的MAC地址都會是那臺路由器內網(wǎng)LAN口的MAC地址,這屬于正常情況。
IP端點(IP地址)少,TCP端點(TCP端口號)多:就是每個IP端點都試圖建立或已經(jīng)建立了多條TCP連接。對于
這種現(xiàn)象,可能正常也可能不正常。若建立或試圖建立多條TCP連接的IP端點為服務器,這就屬于正常情況;否則,極有可能是有人在發(fā)動網(wǎng)絡攻擊(比如, TCP SYN攻擊),或開啟了基于P2P的程序而導致的。
終端分析通常與會話分析結合使用,可以快速發(fā)現(xiàn)網(wǎng)絡中占用流量最大的節(jié)點或會話,也可以配合顯示過濾器使用。通過終端分析,也能夠發(fā)現(xiàn)部分常見網(wǎng)絡或應用故障,協(xié)助管理員快速解決問題。
9、HTTP協(xié)議分析工具
Web應用作為全球使用最多的應用,HTTP協(xié)議可謂功不可沒。無論是個人博客、電子交易平臺或是新聞資訊,Web站點隨處可見,而后臺默默無聞支撐其運行的則是HTTP協(xié)議,因此,如果要運維和優(yōu)化好關鍵的基于Web應用的核心業(yè)務系統(tǒng),掌握HTTP協(xié)議基礎和工作原理,常見故障分析和性能優(yōu)化等技能必不可少。
Wireshark內置了強大的HTTP協(xié)議分析功能。
點擊菜單統(tǒng)計——HTTP,就可以看到Wireshark內置的針對HTTP的分析功能列表,一共4個,分別是分組計數(shù)器、請求、負載分配和請求序列(Request Sequences)。
如下圖:
分組計數(shù)器:用來了解抓包文件中HTTP數(shù)據(jù)包的總數(shù),以及其中HTTP請求數(shù)據(jù)包和HTTP響應數(shù)據(jù)包分別為多少。
請求:用來了解(主機)請求訪問的Web站點的分布情況,以及所訪問的Web站點上的具體資源(指向資源的URL)。
負載分配:用來了解抓包文件中HTTP數(shù)據(jù)包(包括HTTP請求和HTTP響應數(shù)據(jù)包)在各Web站點間的分布情況(即訪問過哪些web站點)。
請求序列:HTTP請求序列使用HTTP的Referer和Location頭部信息,將捕獲的HTTP請求排序以樹狀顯示。該功能可以讓分析人員能夠看到一個HTTP請求與下一個HTTP請求的關系。
10、讓Wireshark圖形說話
Wireshark內置了強大的數(shù)據(jù)流圖形,通過圖形可以直觀的分析和定位故障原因。使用者想要精準的分析出問題原因,熟練掌握和使用圖形功能是必備要求之一。
Wireshark自帶了I/O圖表、流量圖、TCP流圖形、UDP多播流以及對語音流量分析中的部分圖形,由于UDP多播流正在開發(fā),語音流分析使用相對較少,目前重點簡單介紹前三種圖形功能。
1. I/O圖表
I/O圖表,借助于該工具,同時配搭預先定義的顯示過濾器,便可以生成各種易于閱讀的信息統(tǒng)計圖表。比如,可生成單一IP主機吞吐量統(tǒng)計圖表、兩臺或多臺主機間流量負載統(tǒng)計圖表、應用程序網(wǎng)絡吞吐量統(tǒng)計圖表,以及TCP現(xiàn)象分布統(tǒng)計圖表等。
通過這種方式,我們可以看到流量的波峰和波谷,這個圖形可以用來找出網(wǎng)絡中的問題,甚至可以用來進行流量監(jiān)測。在圖中x軸的數(shù)據(jù)表示時間,單位為秒,而y軸的數(shù)據(jù)表示的則是每單位時間的數(shù)據(jù)包數(shù)量。x軸和y軸的范圍可以根據(jù)用戶的需要而進行調整,X軸的范圍是從10到0.001秒,而y軸數(shù)值的范圍則是數(shù)據(jù)包/字節(jié)比特。
2. 流量圖
流量圖,該工具直觀顯示了會話節(jié)點之間的信息,包括時間、端口及詳細的TCP傳輸控制和數(shù)據(jù)傳輸報文信息。
這是Wireshark最強大的特性之ー,當用戶需要面對存在大量連接斷開、大量數(shù)據(jù)幀丟失或者大量流量重傳等情況的環(huán)境時,這種特性就可以協(xié)助用戶進行排錯。數(shù)量圖可以讓我們創(chuàng)建一個很多列的圖,這張圖會顯示兩個端點間傳輸流量的匯總信息,它甚至可以讓用戶將輸出結果導出為一個簡單的文本格式文件。這是驗證客戶端和服務器之間連接狀態(tài)的最佳方式。
3. TCP流圖形
TCP流圖形,利用該工具,可深入分析單個TCP連接的內部傳輸和控制細節(jié)。因此,該工具能大大幫助網(wǎng)管人員分析和查找TCP故障,定位故障根本原因。
TCP流圖形又可以按照功能細分,分別有時間分析、吞吐量分析、往返延時分析及窗口大小變化分析等等。
四、基于生成的IP統(tǒng)計分析
在網(wǎng)絡分析過程,往往會使用到對某個地址的詳細內容進行分析和統(tǒng)計,這個要求使用顯示過濾器配合會話及終端分析功能還不足以滿足。
1、怎樣打開IP統(tǒng)計
基于IP統(tǒng)計分別針對IPv4和IPv6,這里只介紹IPv4的統(tǒng)計功能。點擊菜單統(tǒng)計——IPv4 Statistics下拉菜單,能看到Wireshark自帶的4個統(tǒng)計IP的功能(分別是所有地址、目標和端口、IP協(xié)議類型及源–目標地址)。
如下圖:
2、IP統(tǒng)計分析詳細介紹
以下是對各個IP統(tǒng)計功能的詳細介紹。
1. 所有地址
所有地址IP統(tǒng)計,顯示抓包文件中每個IP地址的數(shù)據(jù)包個數(shù),頻率,占有百分百和高峰值相關信息。
使用者也可以通過顯示過濾器,只查看某一個或幾個IP的統(tǒng)計數(shù)據(jù),顯示過濾器在下方直接輸入即可。
2. 目標和端口
目標和端口,統(tǒng)計了各個IP傳輸層端口的數(shù)據(jù)包個數(shù)及相關信息。這個功能能夠詳細查看任意IP地址都在通過哪些端口傳輸數(shù)據(jù)。
3. IP協(xié)議類型
IP協(xié)議類型,統(tǒng)計不同協(xié)議的數(shù)據(jù)包個數(shù),占比及相關信息。
4.源-目標地址
源和目標地址統(tǒng)計,分別查看作為源地址或目的地址的IP統(tǒng)計信息。
在一份分析報告中,如果要詳細分析并記錄某個IP地址的內容和網(wǎng)絡活動,采用上述IP統(tǒng)計功能,就能夠精確、細致的統(tǒng)計該地址的所有細節(jié)信息,該功能也可用于異常分析。
五、如何定位網(wǎng)絡性能問題
定位分析網(wǎng)絡性能問題是網(wǎng)絡分析中最為常見的需求之一,影響網(wǎng)絡性能的因素很多,每一個轉發(fā)數(shù)據(jù)包的環(huán)節(jié)出現(xiàn)了問題,都有可能會造成性能的下降。
幸運的是,如果我們采集到了這些數(shù)據(jù)傳輸過程的原始報文,那么則可以通過Wireshark撥繭抽絲,一步步找到問題的可能答案。
1、IO圖形分析工具介紹
首先,打開你想要分析的抓包文件。
點擊菜單統(tǒng)計——I/O圖表。
下圖是I/O圖表信息,在圖形窗口中,上半部分區(qū)域為圖形顯示區(qū)域,下半部分區(qū)域為顯示過濾器配置區(qū)域。
在下半部分區(qū)域,通過“+”或復制按鈕,新增一個圖形名稱,寫入過濾器內容,設置顏色,同樣可以設置圖形的樣式,Y軸和X軸的信息,以及圖形顯示粒度。勾選最前面的enabled列復選框,就能生效。
在Style列,雙擊對應的行,可以選擇圖形顯示風格,例如line(線)、 Impulse(脈沖)、Fbar(粗線)、Dot(點)等等。
在Y Axis列,雙擊對應的行,可以選擇Y軸數(shù)據(jù)單位,例如Packets(數(shù)據(jù)包)、 Bytes(字節(jié))、bits(位)等等,還有很多公式可選擇,具體內容后續(xù)會有詳細講解。
還有很多其它設置,比如Y字段,顯示粒度,顯示間隔,鼠標行為,顯示時間等,相對比較簡單,不再一一細述。
2、使用I/O工具分析
上面講述了I/O圖形分析工具的基本信息,以下看看如何使用該工具分析。
I/O分析工具的精髓在于與顯示過濾器的配合使用,所以對使用者來說,對顯示過濾器的理解和熟練程度,直接關系到I/O分析工具的功能發(fā)揮如何。
例如,如果要分析192.168.30.124這個地址在某段時間的數(shù)據(jù)傳輸狀況,使用者可以創(chuàng)建過濾器,然后設置該對象的圖形顯示格式,調整Y軸和X軸的信息,不但能夠從整體上查看這個地址的數(shù)據(jù)傳輸情況,也能夠查看到更細微信息(例如把X軸時間調整為10毫秒的時間傳輸情況)。
3、測試網(wǎng)絡吞吐量
網(wǎng)絡吞吐量在網(wǎng)絡分析中常常遇到,比如分析者想知道某個客戶端和服務器的傳輸速率,或者某臺服務器在網(wǎng)絡中的帶寬大小等。利用數(shù)據(jù)包分析軟件,能夠精確分析任何對象的網(wǎng)絡吞吐量,這為進一步容量規(guī)劃、策略調整及應用優(yōu)化都有重要意義。
1. Wireshark能測試哪些吞吐量
所謂測試網(wǎng)絡吞吐量,既可以指測算通信線路上兩臺設備(客戶端和服務器、IP電話-IP電話等)間相互通信的吞吐量,也可以指測算兩臺設備上運行的某一具體應用程序間相互通信的吞吐量。
一般來說,常規(guī)的流量測試方法包括:測算主機到主機的流量、測試發(fā)往某指定服務器的所有流量、測試發(fā)往某指定服務器運行的某種應用程序的所有流量、統(tǒng)計發(fā)生在某指定服務器與TCP性能有關的所有現(xiàn)象。
如下圖:
測試鏈路上未端設備之間基于單個連接所發(fā)生的流量,并了解流量的來源,是定位網(wǎng)絡故障的第一步。
2. 測試兩端設備的吞吐量
打開需要測試的抓包文件,點擊菜單統(tǒng)計——I/O圖表,在選項中,設置所有分組Y軸單位為bits,默認看到的就是該抓包文件中所有對象的吞吐量。
如下圖:
假如,要測試客戶端192.168.30.124與服務器114.112.96.29之間的吞吐量,則可以在I/O圖表下部添加過濾器,表達式為 ip.addr==114.112.96.29 && ip.addr==192.168.30.124,再設置顯示樣式和顏色,Y軸設置為bits,時間間隔使用默認的1秒。這時候新建項目所顯示的內容,就是我們想要測試的這2個終端之間的吞吐量。
如下圖:
3.測試某個應用程序的吞吐量
測試某個應用程序的吞吐量,方法與測試兩端連接吞吐量的類似。只是過濾器內容不同。假如要測試某個抓包文件443端口的所有流量。方法如下。
打開抓包文件,點擊菜單統(tǒng)計——I/O圖表,設置過濾器,表達式為tcp.port==443,太簡單調整顯示設置,即可得到443端口應用的流量。如下圖。
4、使用TCP數(shù)據(jù)流圖形分析窗口大小
滑動窗口控制機制,是整個TCP協(xié)議工作的中控臺或核心站。當TCP連接建立時,協(xié)議棧會為不同的連接劃分出獨立的緩沖空間,而在數(shù)據(jù)傳輸過程中,則存在復雜的傳輸控制過程。由于這個過程管理和處理的復雜性,很多性能問題往往就出現(xiàn)在這里。
1. 打開TCP窗口分析界面
打開需要分析的抓包文件。選擇想要分析的數(shù)據(jù)幀。
點擊菜單統(tǒng)計——TCP流圖形——窗口尺寸。
如下圖:
窗口大小分析面向單向TCP會話,從打開的窗口可以看到題目信息,窗口尺寸對于某某連接及方向。如下圖,顯示了114.112.96.29向192.168.30.124流向中,443端口發(fā)往54645端口數(shù)據(jù)的窗口大小及數(shù)據(jù)傳輸情況。
2. 分析TCP滑動窗口
在TCP窗口分析界面,默認顯示2類線條。最上面淺綠色的是接收方宣告的窗口大小(Windows Size),代表接收方還有多大緩沖空間可接收數(shù)據(jù)。下方深色黑點則代表數(shù)據(jù)發(fā)送方的實際數(shù)據(jù)傳輸大小。
在滑動窗口分析過程,分析人員可以使用鼠標放縮功能,定位到具體的某一個細節(jié),詳細分析。如下圖,通過鼠標放縮,查看數(shù)據(jù)發(fā)送方在某一時刻具體的數(shù)據(jù)發(fā)送大小和數(shù)量。
3. 常見TCP窗口故障分析技巧
TCP滑動窗口分析是網(wǎng)絡性能分析中關鍵的分析對象之一。針對TCP窗口可能出現(xiàn)的相關信息或錯誤,Wireshark通過內置專家系統(tǒng)會自動提示,或者以不同的顏色區(qū)分顯示。分析人員也可以根據(jù)自己的喜好或分析習慣,自定義顯示樣式。
下面簡要列舉一下在Wireshark專家系統(tǒng)中,可能會看到的關于TCP窗口的相關信息,這其中可能是錯誤,也可能是告警或記錄。
Zero Window:如果TCP接收方窗口已滿,這時接收方會通知發(fā)送方,讓發(fā)送方暫停一段時間,不要繼續(xù)發(fā)送消息。這時,在Wireshark專家系統(tǒng)中就會查看到這類消息。
Zero Window Probe:如果從客戶端那里接收數(shù)據(jù)包的服務器不能以客戶端發(fā)送數(shù)據(jù)包的相同速率來處理數(shù)據(jù)包,就會導致丟包的情況。在這種情況下,服務器就會向客戶端發(fā)送零窗口探測包。讓客戶端暫停一段時間不要發(fā)送數(shù)據(jù)包,同時保持這條連接不會斷開。
Zero Window Probe ACK:和Zero Window Probe消息的例子有關。Zero Window Probe ACK消息是客戶端發(fā)送的消息,其作用是對服務器的請求做出響應。
Window is full:這種消息的作用是通知發(fā)送方主機,TCP接收窗口當前已滿。
Windows Update:這類消息可以讓發(fā)送方意識到TCP接收窗口的大小已更新。
當然,與TCP窗口相關的分析信息不僅限于上述列舉出來的??傊?,滑動窗口分析在數(shù)據(jù)包分析過程占有較高的比重和分量,是分析人員不能忽視的對象。只有詳細了解了在Wireshark中顯示的這些關于TCP窗口的信息的意義和產(chǎn)生原因,才能在實戰(zhàn)中得心應手,精準分析出問題根本原因。
5、服務器響應延時分析
下面這臺關鍵主機,服務器的響應延時竟然有1秒多。
因為表單中看到的數(shù)據(jù)是個平均值,所以時延分布情況,需要時一步確認。在單個IP最終用戶體驗分析中,搜索43的主機,情況如下:
發(fā)現(xiàn)這臺主機的服務器響應延時都在秒級波動,最高值達到4秒,基于采樣時間原因,我們有理由相信真實延時肯定會更大,且在同時間段,幾乎沒有流量,那么這個現(xiàn)象就比較奇怪了。
沒有連接失敗請求,沒有多大流量,但服務器響應延時較大,因為生產(chǎn)網(wǎng)都是千M網(wǎng)絡,看上去根本不存在影響時延的因素,所以什么原因導致此情況,值得探究。
為了進一步分析,我們在netinside系統(tǒng)里面,把這臺主機在時間點13:36前后的數(shù)據(jù)包下載下來(按時間點下載主要是為了減少數(shù)據(jù)包的大小,更精準分析問題),導入wireshark,一探究竟。
因為服務器的響應時間,本質上就是RTT(RoundTrip Time),即往返時間。測量方法是發(fā)送一個特定序號的字節(jié),并記錄時間。
當收到確認的ACK之后,把ACK的時間,減掉之前記錄的發(fā)送時間,就可以得到RTT值,該值比較大時,通常會被專家系統(tǒng)診斷為“網(wǎng)絡或服務器繁忙“。
1.配置wireshark
數(shù)據(jù)包導入wireshark后,分析RTT需要先進行簡單配置,如下:
該步驟是開啟TCP會話時間戳計算,默認可能已經(jīng)開啟,如果沒有開啟的話,手動按上面方法開啟即可,然后按以下方法,把RTT應用為列:
列的名字,可以自行修改。需要注意的是,這個時間戳是由發(fā)送端系統(tǒng)依據(jù)自己的時鐘打上去的,如果系統(tǒng)時間本身有誤,則會給分析帶來困擾,所以分析之前,先要確認各系統(tǒng),包括抓包系統(tǒng)的時間沒有問題。
2.RTT分析
經(jīng)過上個步驟的配置,在wireshark中分析RTT就很簡單了,只要在“應用顯示過濾器”中,輸入“tcp.analysis.ack_rtt > 4”,然后回車就可以了。
里面的“4”,就是我們在netinside系統(tǒng)中看到的4秒延遲,因為我們確定實際延遲比會比這個大,所以我們只要”>4″即可,結果如下圖:
通過過濾,我們可以快速找到RTT>4數(shù)據(jù)包,因為我們之前是精確定位下載,所以可以看到有一個數(shù)據(jù)包的RTT值是9秒多,這與我們推測符合。
很顯然,光看一個數(shù)據(jù)看不出什么情況,此時我們就需要把綠色框中“86”記下,并通過這個流ID,把這個數(shù)據(jù)包相關的流過濾出來進行分析,如下圖:
把TCP流過濾出來后,發(fā)現(xiàn)個奇怪地方,即>4的RTT好像有三個(紅框),而我們剛才過濾時,只看到了9.99的這個,那么為什么10秒的就不算RTT呢?
這個是不是wireshark有問題?請注意綠框,數(shù)據(jù)長度為0的ACK,我們先把TCP流圖打開看下,如下圖:
通過上圖,我們可以看到兩個間隔10秒,都是由43產(chǎn)生的,并非是一個有效的交互,上下兩個報文的seq及ACK都相同。
這種現(xiàn)象原因是,上面playload長度為0的ACK僅僅是通知對端滑窗,因為沒有傳數(shù)據(jù),所以對端不再響應,處于等待狀態(tài)。
而后43開始正常發(fā)送數(shù)據(jù)時,接著使用相同的SEQ與ACK,這樣就把TCP的交互繼續(xù)流動起來。所以,這個10秒是由43本身等待造成,不算是RTT,而真正算RTT的就是綠框標注的,即9秒的那個交互。
由此產(chǎn)生的一個疑問就是,43到底在干什么,在一個TCP的交互中,總是會停下來休息一伙?我們接著查看觸碼內容,如下圖:
基于解碼內容,基本可以推斷,這可能是一個操作mongoDB的定時任務,這樣話,前面的間隔10秒與第三條間隔9秒的,本質上沒有太大區(qū)別,都屬于43向170的請求。
也就是說43主機每間隔差不多10秒左右就會發(fā)一個請求給170。因為是請求間隔,所以我們基本認為,這種延遲理論上不影響實際業(yè)務。
不過需要注意的是,netinsdie系統(tǒng)里面看到是43這臺服務器的響應延時,而我們分析的實際情況是43服務器的請求延時,這明明就是兩個概念,這兩種不同的延時對是否存在問題的判斷是有顯著區(qū)別的,那這是什么問題呢?
實際上,在一個TCP流里面,其實是無法區(qū)別應用請求方向的,TCP的主動打開還是被動打開,并不能決定應用層哪個是請求,哪個是響應,所以站點TCP層的角度,方向是可以切換分析,如下圖:
從43往170這個方向看,服務器延時(RTT)在0.3MS左右,所以很顯然,170的響應延時挺正常。而如果我們切換方向,則會如下:
從上可以看到,切換方向后,就有一個近10秒的延遲,而從TCP層看,這個延遲是由43來響應產(chǎn)生的,而我們通過上面的分析也就知道,這其實是43的請求間隔,而非響應延遲。
所以,如果站在43是臺服務器的角度,把這個10秒延遲歸到服務器響應延遲里面,從TCP的角度是完全沒有問題的。
從剛才的分析中,我們在wireshark里面對問題抽絲剝繭,進行了透視,得出明確的結論。
一般情況下,不帶業(yè)務請求的,通常是在三次握的時候,所以也被叫做IRTT,這個時間,基本只包含網(wǎng)絡與服務器內核響應延時,所以會當做業(yè)務分析延時的一個基準。
在wireshark里面,如果你抓包有抓到三次握手,那么它會聰明的把這兩個時間放在一起,供我們分析,如下圖:
所以,基于這兩個數(shù)值的對比,我們就可以大概率確定,問題所在方向,是應用還是網(wǎng)絡或服務器本身。而且通過服務器響應延時的方向,即服務端或者客戶端,我們也可以看到與wireshark中切換方向看到的同一效果。
到這階段,我們基本上可以預見,應用可能存在問題,只不過,這種問題,對于業(yè)務來講,是正常還是不正常,我們就得看業(yè)務邏輯了,而這個時候,就只能導到wireshark中去解個碼。
對于內部不同業(yè)務場景下,對TCP的使用建立模型,標定基線,是后續(xù)進一步高效運維,快速發(fā)現(xiàn)并排除潛在業(yè)務影響的關鍵基礎。
九、網(wǎng)絡延遲排查實戰(zhàn)
1、建立一個訪問遠程服務器的仿真網(wǎng)絡
我們在生活和工作中經(jīng)常會遇到應用程序可以使用,但是速度卻變得十分緩慢的情況。例如,在使用瀏覽器查看某個網(wǎng)頁的時候,可能會等待很長時間才能查看到頁面的內容。對于大多數(shù)人來說,這是一個非常棘手的問題,因為在這個過程中有很多設備參與其中,而這些設備又分布在不同的位置,使用者不可能對它們逐一進行排查,所以也很難找到問題所在。
為了能夠更好地了解整個網(wǎng)絡的狀況,我們首先來構建一個模擬的仿真網(wǎng)絡,在這個網(wǎng)絡中存在著客戶端、服務器以及連接它們的各種設備。
構建完成的仿真網(wǎng)絡如圖所示:
這個網(wǎng)絡主要由以下3個部分組成:
客戶端所在網(wǎng)絡,包括“客戶端”“內部交換機”“網(wǎng)關”“DNS服務器”。
互聯(lián)網(wǎng),包括“互聯(lián)網(wǎng)路由器”。
服務器所在網(wǎng)絡,包括“目標網(wǎng)關”“交換機”“HTTP服務器”。
下面我們給出這個網(wǎng)絡的具體設計過程,步驟如下所示。
(1)設計中的兩個主要網(wǎng)絡的IP地址分配為:客戶端所在網(wǎng)絡IP地址為192.168.1.0/24,目標網(wǎng)絡所在網(wǎng)絡IP地址為192.168.4.0/24。
(2)打開ENSP,按照圖7-1中所示向網(wǎng)絡拓撲中添加兩個Server,一個Client,一個交換機S3700,3臺路由器AR1220。
(3)其中client的設置如圖所示。
(4)DNS服務器的基礎設置如圖所示。
如下圖所示,在服務器信息中的“DNSServer”中添加一條DNS記錄,主機域名為“www.a.com”,IP地址為“192.168.4.100”,單擊“增加”按鈕之后將其添加到DNS記錄之后,再單擊“啟動”按鈕。
(5)兩臺交換機不進行任何配置,3臺路由器的左側均為GE0/0/0接口,右側為GE0/0/1接口。
(6)3個路由器使用了動態(tài)路由協(xié)議rip,其中網(wǎng)關路由器的配置如下:
[Huawei]interface GigabitEthernet0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.1 255.255.255.0
[Huawei-GigabitEthernet0/0/0]quit
[Huawei]interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.1 255.255.255.0
[Huawei-GigabitEthernet0/0/1]quit
[Huawei-rip-1]network 192.168.1.0
[Huawei-rip-1]network 192.168.2.0
(7)互聯(lián)網(wǎng)路由器的配置如下:
[Huawei]interface GigabitEthernet0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 192.168.2.2 255.255.255.0
[Huawei-GigabitEthernet0/0/0]quit
[Huawei]interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.3.1 255.255.255.0
[Huawei-GigabitEthernet0/0/1]quit
[Huawei-rip-1]network 192.168.2.0
[Huawei-rip-1]network 192.168.3.0
(8)HTTP路由器的配置如下:
[Huawei]interface GigabitEthernet0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 192.168.3.2 255.255.255.0
[Huawei-GigabitEthernet0/0/0]quit
[Huawei]interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.4.1 255.255.255.0
[Huawei-GigabitEthernet0/0/1]quit
[Huawei-rip-1]network 192.168.3.0
[Huawei-rip-1]network 192.168.4.0
(9)HTTP服務器的基礎配置,如圖所示。
在其中的服務器信息中設置HttpServer,這里需要建立一個網(wǎng)頁。如果你手頭沒有專門用來設計網(wǎng)頁的工具,可以使用最常見的Word來完成,在C盤下建立一個名為net的文件夾。然后新建一個Word文檔,在文檔中輸入“Hello word”。
然后在菜單欄中依次單擊“另存為”→“其他格式”,起名為“default.htm”。將其保存到C盤net文件夾中(該文件更需要讀者自行創(chuàng)建),如圖所示。
接下來我們在HTTP服務器中將net文件夾作為網(wǎng)站發(fā)布出去,這個網(wǎng)站只包含了一個名為“default.htm”的頁面,如圖所示。
好了,到現(xiàn)在為止,我們已經(jīng)完成了整個仿真環(huán)境的模擬,不妨使用client來訪問HTTP服務器以驗證它是否能正常工作。我們在客戶端中打開“客戶端信息”選項卡,左側首先選擇HttpClient,然后在右側的地址欄中輸入“http://192.168.4.100/default.htm”。
可以看到當在地址欄中輸入地址之后單擊獲取按鈕時,就會顯示一個“File download”的文件保存對話框,這就表示已經(jīng)成功地打開了目標頁面。這里需要注意的是,模擬的瀏覽器并沒有IE或者Firefox那么強大的功能,它無法真正地從數(shù)據(jù)包中解析并顯示網(wǎng)頁的內容。
2、在Wireshark中觀察遠程訪問的過程
現(xiàn)在我們已經(jīng)建立好了一個仿真網(wǎng)絡,它雖然簡化了很多,但是運行原理和真實網(wǎng)絡是完全一樣的。剛剛我們使用客戶端的瀏覽器訪問了HTTP服務器,這個過程一共只用了幾秒(甚至更短)。但是在這個過程中都發(fā)生了什么呢,我們對此一無所知。那么現(xiàn)在我們就在Wireshark的幫助下來解讀剛剛所經(jīng)歷的一切。
在仿真網(wǎng)絡中,我們可以使用Wireshark在任何一個節(jié)點查看數(shù)據(jù)包,這也是它的優(yōu)勢所在。但是在實際工作中,我們是不可能做到這一點的。因此在這個示例中,我們僅考慮在上圖網(wǎng)絡中的內部進行數(shù)據(jù)包的觀察,實驗過程如下所示。
(1)如下圖所示,在client的端口上啟動Wireshark,在實際工作中,你可以選擇使用TAP來分流client的數(shù)據(jù)。
(2)在client的客戶端中輸入“http://www.a.com/default.htm”,按下“獲取”按鈕,如圖所示。
(3)返回Wireshark,查看捕獲到的數(shù)據(jù)包,如圖所示。
下面我們就以捕獲到的數(shù)據(jù)包文件為例來詳細地了解剛剛都發(fā)生了什么?
按照最簡單的思路來說,客戶端會產(chǎn)生一個請求發(fā)送給服務器,然后服務器再將資源發(fā)回給客戶端。
不過實際的情形要遠遠比這復雜得多,該如何做才能將請求數(shù)據(jù)包發(fā)送到目標服務器呢?
首先我們需要明確的一點是在這個過程中客戶端的工作是由“操作系統(tǒng)”和“應用程序”兩個部分共同完成的。而客戶端上網(wǎng)的這個過程就是先從“操作系統(tǒng)”開始的。
(1)首先我們使用的客戶端計算機位于一個局域網(wǎng)內部,它所有的通信要分為局域網(wǎng)內部通信和局域網(wǎng)外部通信兩種。當我們在嘗試使用瀏覽器去訪問HTTP服務器的時候,第一個步驟就是要判斷這個訪問的服務器與我們所使用的主機是否在同一個局域網(wǎng)中。這個判斷需要由操作系統(tǒng)完成,本例中我們要訪問HTTP服務器的IP地址為192.168.4.100。
操作系統(tǒng)要先將自己的IP地址和子網(wǎng)掩碼轉換成二進制,然后進行“與”運算。例如當前主機的IP地址為192.168.1.10,子網(wǎng)掩碼為255.255.255.0。
計算的過程如下表所示:
將轉換為二進制的11000000.10101000.00000001.00001010與11111111.11111111.11111111.00000000進行與運算之后,11000000.10101000.00000001.00000000就是客戶端所在的子網(wǎng),轉換成十進制就是192.168.1.0。
同樣的方法計算目標地址192.168.4.100所在的子網(wǎng)為192.168.4.0,二者不在同一子網(wǎng)。因此這個訪問的服務器與我們所使用的主機不在同一個局域網(wǎng)中。
(2)同一局域網(wǎng)的通信可以直接發(fā)送給目標,但是發(fā)往不同局域網(wǎng)的通信則要先交給網(wǎng)關。因為HTTP服務器位于局域網(wǎng)的外部,所以現(xiàn)在客戶端計算機的第一個工作就是要找到網(wǎng)關。之前客戶端的設置中已經(jīng)將網(wǎng)關設置為“192.168.1.1”。在這次通信中所有的數(shù)據(jù)包都應該由這個網(wǎng)關轉發(fā)。 但是在局域網(wǎng)內部是無法使用IP地址進行通信的,因為局域網(wǎng)中的交換機只能識別MAC地址。
如果你僅僅告訴交換機IP地址,交換機是不能將其轉發(fā)到網(wǎng)關的。所以現(xiàn)在我們需要一種可以將IP地址轉換成MAC地址的機制,在網(wǎng)絡協(xié)議中就提供了一個專門完成這個任務的協(xié)議:ARP。
ARP是通過一個查找表(ARP緩存)來執(zhí)行這種轉換的。當在ARP緩存中沒有找到地址時,則向網(wǎng)絡發(fā)送一個廣播請求,網(wǎng)絡上所有的主機和路由器都接收和處理這個ARP請求,但是只有相同IP地址的接收到廣播請求的主機或路由器,發(fā)回一個ARP應答分組,應答中包含它的IP地址和物理地址,并保存在請求主機的ARP緩存中。其他主機或路由器都丟棄此分組。
(3)當我們成功地找到網(wǎng)絡出口之后,接下來要做的就是客戶端和服務器建立一個連接。這個連接也正是通過TCP協(xié)議的三次握手實現(xiàn)的。
(4)當連接成功建立之后,操作系統(tǒng)的工作就完成了,此時將會由應用程序來構造HTTP請求數(shù)據(jù)包。那么需要注意的是,TCP 3次握手的最后一個數(shù)據(jù)包是由客戶端的操作系統(tǒng)發(fā)出的,而HTTP請求數(shù)據(jù)包是由客戶端上的應用程序所完成的。
一般情況下,操作系統(tǒng)在完成TCP操作時所消耗的時間可以忽略不計。但是應用程序在構造請求或者回應時卻可能造成明顯的延遲。在這個階段,客戶端所發(fā)送的TCP數(shù)據(jù)包和HTTP之間的間隔就是應用程序產(chǎn)生所花費的時間。
(5)當客戶端上應用程序產(chǎn)生的請求發(fā)送出去之后,經(jīng)過路徑到達服務器之后,服務器會給出回應,這兩個數(shù)據(jù)包之間的時間就是數(shù)據(jù)包傳送的時間加上服務器上應用程序的響應時間。
3、Wireshark中時間顯示
在對數(shù)據(jù)包進行分析的時候,時間是一個很重要的參考值。Wireshark會根據(jù)系統(tǒng)的時鐘來為捕獲到的每個數(shù)據(jù)包加上一個時間戳。Wireshark在保存文件的時候,也會將捕獲數(shù)據(jù)包的時間保存起來。當你使用另外一臺設備來打開這個文件的時候,Wireshark會根據(jù)新設備所處的時區(qū)對時間進行調整。我們在分析一些Wireshark官方的數(shù)據(jù)包時,就會遇到這種情況。因為這些數(shù)據(jù)包往往是在美國產(chǎn)生的,而我們位于中國,看到數(shù)據(jù)包的時間會與當時捕獲的時間有所不同。
我們平時使用的時間格式有兩種,一種是常用的某年某月某日,稱為絕對格式。另一種就是形如秒表上的顯示,這個示數(shù)表示的是經(jīng)過了多久,例如2分21秒,稱為相對格式。
默認情況下,Wireshark中提供了一個顯示捕獲數(shù)據(jù)包時刻的“Time”列,如下圖所示。
這個列中顯示的是相對值,捕獲到第一個數(shù)據(jù)包的時間定義為零點,之后捕獲到數(shù)據(jù)包的時間值都是距離這個零點的時間間隔,單位為微秒。
Wireshark為了能夠更好地對數(shù)據(jù)包進行分析,還提供了多種時間的顯示方式。如果要修改這些顯示方式的話,可以在菜單欄上依次單擊“視圖”→“時間顯示格式”,Wireshark中提供的包括如圖所示的選項。
默認情況下,Wireshark使用的“自捕獲開始經(jīng)過秒數(shù)”,那么第一個捕獲到數(shù)據(jù)包的時間值就是0.000000,所有其他的數(shù)據(jù)包都是參照第一個數(shù)據(jù)包定的,這樣就是顯示了從捕獲開始所經(jīng)過的時間。我們也可以使用其他的格式,從Wireshark這個菜單中提供的名稱上可以很清楚地了解到這些格式的意義。例如“自上一個捕獲分組經(jīng)過的秒數(shù)”就表示顯示當前數(shù)據(jù)包和它前面時間數(shù)據(jù)包的間隔。而“自上一個顯示分組經(jīng)過的秒數(shù)”則表示在使用了顯示過濾器的情況下,當前數(shù)據(jù)包和它前面數(shù)據(jù)包的間隔。
這個菜單的下半部分顯示了時間的精度,默認為自動。這里我們同樣可以對其進行調整,這些精度可以設置為秒、十分之一秒、百分之一秒、毫秒、微秒、納秒等。大部分的設備都可以精確到毫秒級,但是如果要精確到納秒級別的話,就需要考慮網(wǎng)卡是否支持。如果使用一個不支持納秒的設備捕獲數(shù)據(jù)包的話,而我們又在這里設置了精度為納秒的話,最后面的3位就會顯示全部為0。 只使用某一種時間格式的話不太容易看出數(shù)據(jù)包之間的關聯(lián),但是來回切換時間格式又過于煩瑣。這時我們就可以選擇在原有時間列的基礎上再添加新的列,這個列用來顯示當前包與前面包的時間間隔,具體的步驟如下。
(1)首先單擊菜單欄上的“編輯”→“首選項”,或者直接單擊工具欄上的“首選項”按鈕。
(2)然后在如下圖所示的首選項窗口左側選擇“外觀”→“列”。
(3)這時首選項窗口的右側就會顯示出當前數(shù)據(jù)包列表中的全部列,點擊左下方的“+”號就可以添加新的一列。
(4)這時在首選項窗口的右側就會添加新的一行,這一行分成兩個標題和類型兩個部分,我們單擊標題處為新添加的列起一個名字,這里我們?yōu)槠淦鹈麨閠cp.time_delta。
(5)在類型下面的Number下拉列表框處,選中我們需要的列內容。
其中和時間有關的選項如圖所示:
“Absolute date,as YYYY-MM-DD,and time”:這個選項用來顯示捕獲設備所處時區(qū)的日期和時間,例如“2018-04-25 12:53:06.775724”。
“Absolute date,as YYYY/DOY,and time”:這個選項同樣是用來顯示捕獲設備所處時區(qū)的日期和時間。但是不顯示月和日,而是一年中的第多少天。例如2018年4月25日就是這一年的第115天,按照這個格式顯示就是“2018/115 12:53:06.775724”。
Relative time:這個選項用來顯示當前數(shù)據(jù)包距離捕獲第一個數(shù)據(jù)包的時間間隔。
Delta time:這個選項用來顯示當前數(shù)據(jù)包距離上一個數(shù)據(jù)包的時間間隔。
Delta time displayed:這個選項用來顯示當前數(shù)據(jù)包距離上一個數(shù)據(jù)包(在使用了顯示過濾的情況下)的時間間隔。
Custom:雖然上面提供了很多可以使用的時間格式,但是我們可能還會需要進行一些自定義的操作。例如在計算同一個會話中這些數(shù)據(jù)包之間的時間間隔,這時前面的格式就無法滿足這個需求了,于是Wireshark還提供了一個Custom(自定義)功能。
如圖所示,我們在類型里選擇使用Custom類型,在字段處輸入“tcp.time_delta”,最后在字段發(fā)生處添加一個“0”。
(6)單擊“OK”按鈕即可將這個列添加到數(shù)據(jù)包列表面板中。
在數(shù)據(jù)包列表面板中已經(jīng)多了一個名為“tcp.time_delta”的列,但是現(xiàn)在該列還不能正常工作。我們還需要完成如下的步驟。
在Wireshark首選項窗口中依次選擇“Protocols”→“TCP”。
勾選“Calculate conversation timestamps”,默認這個選項是不被選中的。選中之后Wireshark會為TCP會話中的數(shù)據(jù)包再加上一個新的時間戳,用來表示該數(shù)據(jù)包在當前會話的產(chǎn)生時間。
單擊“OK”按鈕。這時再查看數(shù)據(jù)包列表面板就可以看到新的一列已經(jīng)起作用了。
Wireshark提供了這么多的時間格式,那么我們又該如何對它們進行選擇呢?這個問題的答案其實很簡單,首先我們需要明確Wireshark分析的目的是什么,然后才能確定要使用的時間格式。比如我們需要知道捕獲數(shù)據(jù)包的具體日期和時間,或者需要找出與系統(tǒng)日志相關的數(shù)據(jù)包時,就可以采用“Absolute date,as YYYY-MM-DD,and time”這種絕對時間格式。如果我們要研究在開始捕獲之后的一段特定時間內發(fā)生的事件,就可以使用”“Relative time”這種相對時間格式。如果你希望對特定數(shù)據(jù)包(例如客戶端和服務器之間的請求和應答)之間的時間間隔進行研究,“Delta time”這種時間格式則是很好的選擇。
這里還必須提到一點,在默認情況下,Wireshark會以捕獲第一個數(shù)據(jù)包的時間作為原點。但是我們也可以自行將某一個數(shù)據(jù)包定義為原點,具體的方法是在一個數(shù)據(jù)包上單擊鼠標右鍵,在彈出的菜單上選中“設置/取消設置時間參考”,此時這個數(shù)據(jù)包的時間列就會顯示為“*REF*”。如果我們使用了相對時間格式的話,它之后的所有數(shù)據(jù)包都會將這個數(shù)據(jù)包的捕獲時間作為原點。
4、各位置延遲時間的計算
在整個上網(wǎng)過程中,一共可以分成4個階段,但是由于其中的ARP階段位于內網(wǎng),而且速度非??欤虼送ǔ2粫鹁W(wǎng)絡延遲,這里只考慮后面的3個階段,分別是網(wǎng)絡傳輸延遲、客戶端應用程序引起的延遲和服務器應用程序引起的延遲。需要注意的一點是,這種延遲分類的方法是基于Wireshark捕獲數(shù)據(jù)包得出的。
下圖顯示了上網(wǎng)過程中捕獲到的數(shù)據(jù)包:
這5個數(shù)據(jù)包的含義如下圖所示,其中①②③④⑤分別對應著上圖中的第9、10、11、12、13這幾個數(shù)據(jù)包。
網(wǎng)絡拓撲圖:
1. 網(wǎng)絡傳輸延遲的計算
當發(fā)生網(wǎng)絡延遲時,我們首先需要考慮的就是傳輸線路導致的延遲。如圖所示,我們首先來查看捕獲到的TCP 3次握手中的第2個數(shù)據(jù)包。
它的tcp.time_delta值為0.062,這個值是由3個時間共同組成的:
從客戶端到服務端的時間;
服務端操作系統(tǒng)接收TCP 3次握手的syn請求,并回應一個(syn,ack)回應;
從服務端到客戶端的時間。
考慮操作系統(tǒng)在處理TCP握手時的時間很短,這個值可以看作是由第一個和第3個時間組成的,也就是數(shù)據(jù)包在線路上傳輸所花費的時間。如果這個值較大的話,則說明線路傳輸時出現(xiàn)了延時,這個原因可能是由服務端和客戶端之間的設備造成的。
2. 客戶端延遲的計算
第2個網(wǎng)絡延遲的位置就位于客戶端,這是由于客戶端上的應用程序造成的。我們平時所使用的瀏覽器就是一個典型的例子,當你使用瀏覽器打開了太多的窗口時,速度就會變得十分緩慢。另外,很多用來完成網(wǎng)絡操作的客戶端由于設計的缺陷也會消耗大量的時間。
這部分延遲時間的值可以通過查看第12個數(shù)據(jù)包的time_delta值得到。其中第11個數(shù)據(jù)包是由操作系統(tǒng)產(chǎn)生并發(fā)送出去的,這是因為客戶端操作系統(tǒng)在處理TCP連接時的時間很短,例如圖中這個值為0(實驗環(huán)境,實際情況中要比這大一些)。
在客戶端操作系統(tǒng)向目標發(fā)送了TCP 3次握手的最后一次握手包之后,客戶端的應用程序還會繼續(xù)向目標發(fā)送一個HTTP請求。這個請求所花費的時間就是客戶端延遲的時間。
3.服務端延遲的計算
如果排除了前面兩個網(wǎng)絡延遲的可能性,那么延遲的位置就只能位于服務器。由于我們現(xiàn)在的觀察點位于客戶端,所以并不能直接獲得服務器產(chǎn)生HTTP回應的時間。我們可以觀察第12個數(shù)據(jù)包(客戶端發(fā)出的HTTP請求)和第13個數(shù)據(jù)包(服務端發(fā)出的HTTP回應)之間的時間來計算這個時間。
如圖所示,這個0.109秒是由網(wǎng)絡傳輸和服務端產(chǎn)生回應共同構成的,所以我們可以大致估計服務端用來生成回應的時間為0.109?0.062=0.047。
如果網(wǎng)絡發(fā)生延遲的話,我們可以根據(jù)下面的方法來確定延遲發(fā)生的位置。
如果上面網(wǎng)絡拓撲圖中的②處數(shù)據(jù)包的延時較大的話,則可以確定延遲發(fā)生在傳輸?shù)穆窂缴稀?/p>
如果上面圖網(wǎng)絡拓撲圖中的④處數(shù)據(jù)包的延時較大的話,則可以確定延遲發(fā)生在客戶端處。
如果上面圖網(wǎng)絡拓撲圖中的⑤處數(shù)據(jù)包的延時較大的話,則可以確定延遲發(fā)生在服務器處。
十、網(wǎng)絡故障排查實戰(zhàn)
1、建立一個用于測試的仿真網(wǎng)絡
為了能夠更好地了解整個網(wǎng)絡的狀況,我們首先來構建一個模擬的仿真網(wǎng)絡,在這個網(wǎng)絡中存在著客戶端、服務器以及連接它們的各種設備。
構建完成的仿真網(wǎng)絡如圖所示:
這個網(wǎng)絡結構的配置和延遲的網(wǎng)絡拓撲圖基本一樣,只是在內部網(wǎng)絡中多添加了PC1和PC2,其中PC1的配置如圖所示。
而PC2的IPv4配置中采用了DHCP方式,如圖所示。
另外由于這個實驗中我們還需要一臺DHCP服務器,這里為了精簡網(wǎng)絡結構,所以我們在原來的網(wǎng)關路由器上開啟了DHCP功能,開啟的命令如下所示:
interface GigabitEthernet0/0/0
ip address 192.168.1.1 255.255.255.0
2、導致不能上網(wǎng)的原因
在實際生活中導致計算機不能上網(wǎng)的原因有很多,正常情況下我們可以按照如下的步驟來進行故障排除。
檢查用戶所用設備的網(wǎng)卡是否正常啟動。
檢查用戶所用設備上每個網(wǎng)卡的IP地址、子網(wǎng)掩碼、默認網(wǎng)關配置是否正確。
檢查用戶所在網(wǎng)絡的ARP協(xié)議是否正常工作,例如網(wǎng)關的MAC地址是否正確。
檢查用戶所在網(wǎng)絡的DNS協(xié)議是否正常工作。
檢查用戶所使用的具體網(wǎng)絡服務是否正常工作。
下面我們就按照這個順序來分別研究一下這些故障,其中前兩個故障的排除都屬于計算機的基本配置。
3、檢查計算機的網(wǎng)絡設置
1. 確保網(wǎng)卡正常啟動
雖然在正常情況下設備的網(wǎng)卡都是啟用的,但是也有很多情況網(wǎng)絡故障確實是由于網(wǎng)卡沒有啟動所造成的。在Windows操作系統(tǒng)中我們可以使用命令行中的ipconfig命令來查看網(wǎng)卡的狀態(tài)和基本信息(IP地址、子網(wǎng)掩碼、網(wǎng)關等信息)。如果在Linux系統(tǒng)中的話,可以使用ifconfig命令。
如圖所示,這里面的①部分的“本地連接4”就是一個沒有啟動的網(wǎng)卡,而②部分的“本地連接2”則是一個正常工作的網(wǎng)卡,我們需要確保當前要使用的網(wǎng)卡已經(jīng)啟動。
2. 檢查IP配置的正確性
一臺計算機如果需要正常上網(wǎng)的話,那么就需要配置如下信息:
IP地址;
子網(wǎng)掩碼;
網(wǎng)關地址;
DNS服務器地址。
通常一臺計算機的IP配置有兩種方法,一是手動配置,二是使用DHCP分配的方式。這里面的網(wǎng)絡配置包括IP地址、子網(wǎng)掩碼、網(wǎng)關和DNS服務器地址。當你使用ipconfig命令查看之后,發(fā)現(xiàn)網(wǎng)卡雖然啟用,但是沒有顯示IP地址時,就需要詢問網(wǎng)絡管理員,或者參考同一單位其他人的計算機來確定IP配置所使用的方法。如果該計算機所處網(wǎng)絡采用手動配置的方法,那么就需要根據(jù)網(wǎng)絡的部署對其進行配置。
下圖給出了Windows環(huán)境下對IP配置的方法:
如果這個網(wǎng)絡要求采用DHCP動態(tài)分配IP方法的話,那么我們就需要對其進行分析了。
如圖所示,以內部網(wǎng)絡的PC2為例,該主機采用DHCP動態(tài)分配IP地址的方式。但是在工作中卻發(fā)現(xiàn)該主機無法上網(wǎng)。
我們對這個主機進行檢查,使用“ipconfig”命令查看這臺主機的網(wǎng)絡設置,發(fā)現(xiàn)并沒有得到IP地址等信息。
現(xiàn)在我們可以確定該計算機不能上網(wǎng)的原因在于沒有通過DHCP協(xié)議獲得IP地址等信息,但是究竟是由于本機受到病毒感染從而造成DHCP協(xié)議不能正常工作,還是DHCP服務器沒有正常工作,這還需要我們進一步分析。
首先我們可以在PC2處使用Wireshark進行抓包分析:
在Wireshark中使用“bootp”作為顯示過濾器,可以看到如下圖所示的數(shù)據(jù)包。
這里可以看到PC2在網(wǎng)絡中持續(xù)發(fā)送“DHCP Discover”數(shù)據(jù)包,這些數(shù)據(jù)包的目的地址為“255.255.255.255”,表示這是一個廣播數(shù)據(jù)包。而源IP地址為“0.0.0.0”則是因為該計算機現(xiàn)在還沒有得到IP地址,不過由于它本身具有MAC地址,所以可以在局域網(wǎng)內部通信。
我們打開這個數(shù)據(jù)包的Ethernet部分可以看到它的MAC地址為“54:89:98:1c:67:fb”,如圖所示,這也正表明了該數(shù)據(jù)包來自于PC2。
繼續(xù)向下移動到Bootstrap位置,我們可以看到這個信息的類型為Boot Request (1)。
DHCP的消息一共有8種,下表給出了DHCP協(xié)議中的8種類型。
按照DHCP協(xié)議的要求,客戶端會在網(wǎng)絡中廣播“DHCP Discover”請求,用來尋找DHCP服務器,而當服務器收到這個請求之后,會用DHCP Offer來響應DHCP DISCOVER報文,此報文攜帶了各種配置信息。但是在我們剛剛捕獲到的數(shù)據(jù)包中,卻沒有發(fā)現(xiàn)“DHCP Offer”報文,這說明在DHCP服務器端出現(xiàn)了問題。
通過排查,我們發(fā)現(xiàn)DHCP服務器已經(jīng)被關閉。我們隨后啟動DHCP服務器,然后繼續(xù)使用Wireshark查看捕獲到的數(shù)據(jù)包。
如果一臺機器正常啟動的話,最先捕獲到的兩個數(shù)據(jù)包分別為DHCP Discover和DHCP Offer數(shù)據(jù)包,然后是DHCP Request和DHCP Acknowledgment數(shù)據(jù)包。
在DHCP Offer數(shù)據(jù)包中包含如下數(shù)據(jù):
你(客戶端)的IP地址:這是DHCP服務器提供可以使用的IP地址。
子網(wǎng)掩碼:這是DHCP服務器提供的可以在網(wǎng)絡上使用的子網(wǎng)掩碼。
域名服務器:這是DNS服務器的IP地址。
網(wǎng)關:這是網(wǎng)關的IP地址。
這些信息是保證網(wǎng)絡通信最基本的內容,正常情況下,用戶的設備會收到一個這樣的DHCP Offer數(shù)據(jù)包回應。
下面我們給出了一個完整的DHCP Offer數(shù)據(jù)包的詳細內容,如圖所示。
當網(wǎng)絡比較繁忙時,我們也可以使用過濾器來只顯示出指定類型的DHCP數(shù)據(jù)包,例如只顯示DHCP Acknowledgement類型的數(shù)據(jù)包,這個過濾器表達式為:
bootp.option.dhcp==5
如果方便的話,可以將這個過濾器作為一個按鈕。另外我們也可以將顯示異常的DHCP過濾器字符串作為一個按鈕,例如當網(wǎng)絡中出現(xiàn)第4類型、第6類型、第7類型的DHCP數(shù)據(jù)包都會導致用戶設備不能上網(wǎng),這個過濾器如下所示:
bootp.option.dhcp==4||bootp.option.dhcp==6||bootp.option.dhcp==7
可以單擊過濾表達式右側的“+”,然后在標簽里輸入名稱DHCP Error,在過濾器中輸入上面的表達式,然后單擊“OK”按鈕。
以后如果你需要使用這個過濾器,只需要單擊右側的“DHCP Error”。
4、檢查與網(wǎng)關的連接
當客戶端獲得了IP地址、網(wǎng)關和DNS服務器信息之后,接下來要檢查的就是網(wǎng)關。因為網(wǎng)關充當著整個網(wǎng)絡的出入口,所以客戶端必須要能夠連接到它。
如圖所示,我們可以使用“ping”命令來測試與網(wǎng)關的連接情形。
如果ping不通的話,則說明與網(wǎng)關的連接出現(xiàn)了問題。如果線路沒有問題的話,則可能考慮兩種情況,一是網(wǎng)關已經(jīng)關閉,二是ARP協(xié)議出現(xiàn)了問題。
計算機需要使用ARP協(xié)議來解析位于同一網(wǎng)絡的網(wǎng)關的MAC地址。如果希望更好地對ARP數(shù)據(jù)包進行觀察的話,可以使用過濾器來完成對ARP數(shù)據(jù)包的過濾,顯示過濾器的寫法為“arp”。
另外你也可以在用戶的設備上使用“arp-a”命令來查看系統(tǒng)緩存中的IP與MAC地址的對應關系,如下圖所示。
如果ARP緩存中網(wǎng)關的IP地址與MAC地址對應沒有問題,就可以判斷ARP協(xié)議能夠正常工作。
5、檢查DNS協(xié)議
當我們需要連接到互聯(lián)網(wǎng)的某個網(wǎng)站的時候,使用的往往是一個域名而不是IP地址,這個過程中需要連接到DNS服務器對其進行查詢。
一個正常的DNS應答數(shù)據(jù)包的格式如圖所示:
如果一個客戶機不能獲取Web服務器或者應用服務器的IP地址,那么我們可以通過數(shù)據(jù)包分析的方法來分析這個故障,分析的目標就是來自DNS服務器的響應。
通過對比對失敗的DNS響應與正常的DNS響應之間的區(qū)別可以找出故障的根源。這種失敗可能由于DNS服務器配置的故障,或者由于你查詢時使用了錯誤的URL和主機名。
6、檢查網(wǎng)絡傳輸路徑
好了,如果之前的檢查都沒有問題的話,那么從現(xiàn)在開始起,發(fā)出的數(shù)據(jù)包將遠離我們,踏上去往目標服務器的路上,雖然不到一秒,但是這個數(shù)據(jù)包可能已經(jīng)穿越了半個世界。
這里我們會使用Wireshark協(xié)議來分析離開網(wǎng)關之后的數(shù)據(jù)包。在這個分析過程中需要用到traceroute工具,它將顯示出一條從我們主機到目標主機的通路。在Windows系統(tǒng)中,啟動traceroute工具的命令為tracert。
下圖顯示了從本機到百度官方網(wǎng)站的路徑:
這個工具利用了數(shù)據(jù)包中TTL值的特性,這個值就是數(shù)據(jù)包的生存時間。雖然稱之為生存時間,但是這和我們平時所講到的時間并不相同,它的值只有在經(jīng)過一個路由器之后才會減少。當一個路由器收到TTL值為0的數(shù)據(jù)包就會將其丟棄掉,并向這個數(shù)據(jù)包的源地址發(fā)回一個ICMP報文。
利用這個TTL的這個特性,traceroute程序會先向目標發(fā)送一個數(shù)據(jù)包,但是這個數(shù)據(jù)包永遠不會到達目標。因為它的TTL值被設置為1,所以它僅僅到達了第一個中轉站(路由器)就被丟棄,但是這個路由器需要向源地址發(fā)送一個ICMP數(shù)據(jù)包。這樣源主機就知道數(shù)據(jù)所經(jīng)過的第一個路由器了。
接著向目標發(fā)送TTL值為2的數(shù)據(jù)包,收到應答之后,再發(fā)送TTL值為3的數(shù)據(jù)包。這樣一直到數(shù)據(jù)包到達目標為止,利用traceroute程序,我們就可以知道從源地址到達目標地址之間所經(jīng)過的路由器。
這里推薦使用一個更好的工具PingPlotter,這個工具要遠遠比系統(tǒng)自帶的工具要強大,你可以從PingPlotter官網(wǎng)下載一個免費的版本。這個工具相對traceroute最大的優(yōu)勢在于可以指定發(fā)送數(shù)據(jù)包的大小。
首先我們啟動Wireshark,然后PingPlotter中的對話框中輸入要目標地址“www.baidu.com”。
按下右側的三角形按鈕,這時就會開始向目標發(fā)送數(shù)據(jù)包了。等數(shù)據(jù)包到達www.baidu.com時,就可以在Wireshark中停止數(shù)據(jù)包的捕獲了,在此期間數(shù)據(jù)包經(jīng)過的路徑如圖所示。
在Wireshark找到并選中PingPlotter發(fā)出的第一個數(shù)據(jù)包,然后在數(shù)據(jù)包詳細信息面板中選中IP協(xié)議部分。
利用這個工具我們就可以查看在到達目標網(wǎng)站之前,數(shù)據(jù)包都經(jīng)過了哪些路由器以及在哪個路由器出現(xiàn)了問題。
7、檢查目標服務器
如果一個用戶到達目標服務器的故障是功能性的,也就是說兩者的連接沒有問題,但是用戶卻不能正常使用目標服務器上的應用。
可能導致故障的原因如下:
用戶提供的URL或者端口是錯誤的;
這個端口被防火墻所屏蔽;
應用程序不再正常工作。
第一個原因往往是用戶錯誤輸入造成的,另外兩個因素往往會導致所有人都無法訪問。我們還需要確定到底是目標主機整體都無法訪問,還是僅僅是一個程序無法訪問。如果服務器無法訪問,那么顯示ICMP信息應該為Destination Host is Unreachable或者Destination Port is Unreachable,如果目標防火墻啟用了屏蔽,那么所有的ICMP數(shù)據(jù)包都得不到回應。
如果服務器正常工作,但是應用程序卻是無法訪問的,僅僅在客戶端進行數(shù)據(jù)包捕獲獲取的信息可能并不足以找到故障的原因。但是通過查看TCP會話連接建立的數(shù)據(jù)包可以找到很多有用的信息。
如果用戶可以與目標程序建立TCP連接,但是應用程序卻不能正常工作。這時我們需要考慮的因素很多,最簡單的方法就是比較用戶與其他用戶連接目標的數(shù)據(jù)包有什么不同。
如果排除了上面提到的這些可能性,下面列出的這些因素也可能會導致出現(xiàn)一個功能性的故障。
(1)用戶認證:這種故障出現(xiàn)的主要原因是用戶缺少適當?shù)恼J證、授權、權限等。這是我們檢查用戶是否正常工作的第一個步驟。
(2)用戶自己計算機上的配置:很多應用程序需要特定的配置,例如將特定文件放置在特定目錄中。還有一些應用程序需要考慮特殊插件例如java、net framework等。通常,應用程序會提供應用程序配置的錯誤故障。
審核編輯:湯梓紅
-
網(wǎng)絡
+關注
關注
14文章
7568瀏覽量
88797 -
python
+關注
關注
56文章
4797瀏覽量
84695 -
Wireshark
+關注
關注
0文章
49瀏覽量
6518
原文標題:【建議收藏】網(wǎng)絡延遲及故障分析方法指南匯總!
文章出處:【微信號:浩道linux,微信公眾號:浩道linux】歡迎添加關注!文章轉載請注明出處。
發(fā)布評論請先 登錄
相關推薦
評論