数据包的过滤、排序和解码
一:数据包过滤过滤需要的ip地址 ip.addr==
在数据包过滤的基础上过滤协议ip.addr==xxx.xxx.xxx.xxx and tcp
过滤端口ip.addr==xxx.xxx.xxx.xxx and http and tcp.port==80
指定源地址 目的地址ip.src==xxx.xxx.xxx.xxx and ip.dst==xxx.xxx.xxx.xxx
seq字段(序列号)过滤(定位丢包问题)
tcp数据包都是有序列号的,在定位问题的时候,我们可以根据这个字段来给tcp报文排序,发现哪个数据包丢失。
seq分为相对序列号和绝对序列号,默认是相对序列号显示就是0 1不便于查看,修改成绝对序列号方法请参考第三式。
二:修改数据包时间显示方式有些同学抓出来的数据包,时间显示的方式不对,不便于查看出现问题的时间点,可以通过view---time display format来进行修改。
修改前:
修改后:
三:确认数据报文顺序有一些特殊情况,客户的业务源目的ip 源目的端口 源目的mac 都是一样的,有部分业务出现业务不通,我们在交换机上做流统计就不行了,如下图网络架构。箭头是数据流的走向,交换机上作了相关策略pc是不能直接访问ser的。
那我们在排查这个问题的时候,我们要了解客户的业务模型和所使用得协议,很巧合这个业务是web。我们从而知道tcp报文字段里是有序列号的,我们可以把它当做唯一标示来进行分析,也可以通过序列号进行排序。
一般抓出来的都是相对序列号0 1不容易分析,这里我们通过如下方式进行修改为绝对序列号。
edit-----preference------protocols----tcp---relative sequence numbers
修改参数如下:
我拿tcp协议举例
把tcp的这个选项去除掉
最后的效果:
四:过滤出来的数据包保存我们抓取数据包的时候数据量很大,但对于我们有用的只有几个,我们按条件过滤之后,可以把过滤后的数据包单独保存出来,便于以后来查看。
五:数据包计数统计网络里有泛洪攻击的时候,我们可以通过抓包进行数据包个数的统计,来发现哪些数据包较多来进行分析。
statistics------conversations
六:数据包解码ips发送攻击日至和防病毒日志信息端口号都是30514,seccenter上只显示攻击日志,不显示防病毒日志。查看ips本地有病毒日志,我们可以通过在seccenter抓包分析确定数据包是否发送过来。
发过来的数据量比较大,而且无法直接看出是ips日志还是av日志,我们先把数据包解码。
(由于没有ips的日志抓包信息,暂用其他代替)
解码前:
解码操作:
解码后:
七:tcp数据报文跟踪查看tcp的交互过程,把数据包整个交互过程提取出来,便于快速整理分析。
八:通过wireshark来查看设备的厂家查看无线干扰源的时候,我们可以看出干扰源的mac地址,我们可以通过wireshark来查找是哪个厂商的设备,便于我们快速寻找干扰源。
例如:mac地址是a4-4e-31-30-0b-e0
我们通过wireshark安装目录下的manuf文件来查找
原文标题:8 个常用的 wireshark 使用技巧
文章出处:【微信公众号:马哥linux运维】欢迎添加关注!文章转载请注明出处。
1月份全球机器人技术投资5亿美元,哪个行业获融资最多?
新型光纤激光器,可实现具有可调谐性的单纵模的激光输出
嵌入式开发中串口通讯方案
荧光灯的组成
IDC预测:大陆PC显示器市场将在今年下半年将呈现下降趋势
数据包的过滤、排序和解码
区块链在商业中扮演怎样的角色
氮化镓充电器Galio推出,支持最大充电器功率为120W
射频大气压辉光放电的典型结构以及产生办法
赛普拉斯推出全新蓝牙低功耗模块和蓝牙智能网格
数字税将争取今年年中达成相关协议
如何利用物联网技术来管理景区
魅族Flyme6新版发布:升级之后果真不一样了!
国产桌面操作系统开发者平台发布 开放麒麟发力
探讨工业物联网的未来发展脉络
工业平板电脑在生产现场数据采集中的应用
R-Car H2主要特性和系统框图_汽车ADAS入门开发板
云安全和传统安全的区别
紫光展锐正式发布全新AIoT解决方案“春藤V5663”
华晶科开发基于高通技术的SoC的边缘运算AI视觉影像解决方案
在数据包过滤的基础上过滤协议ip.addr==xxx.xxx.xxx.xxx and tcp
过滤端口ip.addr==xxx.xxx.xxx.xxx and http and tcp.port==80
指定源地址 目的地址ip.src==xxx.xxx.xxx.xxx and ip.dst==xxx.xxx.xxx.xxx
seq字段(序列号)过滤(定位丢包问题)
tcp数据包都是有序列号的,在定位问题的时候,我们可以根据这个字段来给tcp报文排序,发现哪个数据包丢失。
seq分为相对序列号和绝对序列号,默认是相对序列号显示就是0 1不便于查看,修改成绝对序列号方法请参考第三式。
二:修改数据包时间显示方式有些同学抓出来的数据包,时间显示的方式不对,不便于查看出现问题的时间点,可以通过view---time display format来进行修改。
修改前:
修改后:
三:确认数据报文顺序有一些特殊情况,客户的业务源目的ip 源目的端口 源目的mac 都是一样的,有部分业务出现业务不通,我们在交换机上做流统计就不行了,如下图网络架构。箭头是数据流的走向,交换机上作了相关策略pc是不能直接访问ser的。
那我们在排查这个问题的时候,我们要了解客户的业务模型和所使用得协议,很巧合这个业务是web。我们从而知道tcp报文字段里是有序列号的,我们可以把它当做唯一标示来进行分析,也可以通过序列号进行排序。
一般抓出来的都是相对序列号0 1不容易分析,这里我们通过如下方式进行修改为绝对序列号。
edit-----preference------protocols----tcp---relative sequence numbers
修改参数如下:
我拿tcp协议举例
把tcp的这个选项去除掉
最后的效果:
四:过滤出来的数据包保存我们抓取数据包的时候数据量很大,但对于我们有用的只有几个,我们按条件过滤之后,可以把过滤后的数据包单独保存出来,便于以后来查看。
五:数据包计数统计网络里有泛洪攻击的时候,我们可以通过抓包进行数据包个数的统计,来发现哪些数据包较多来进行分析。
statistics------conversations
六:数据包解码ips发送攻击日至和防病毒日志信息端口号都是30514,seccenter上只显示攻击日志,不显示防病毒日志。查看ips本地有病毒日志,我们可以通过在seccenter抓包分析确定数据包是否发送过来。
发过来的数据量比较大,而且无法直接看出是ips日志还是av日志,我们先把数据包解码。
(由于没有ips的日志抓包信息,暂用其他代替)
解码前:
解码操作:
解码后:
七:tcp数据报文跟踪查看tcp的交互过程,把数据包整个交互过程提取出来,便于快速整理分析。
八:通过wireshark来查看设备的厂家查看无线干扰源的时候,我们可以看出干扰源的mac地址,我们可以通过wireshark来查找是哪个厂商的设备,便于我们快速寻找干扰源。
例如:mac地址是a4-4e-31-30-0b-e0
我们通过wireshark安装目录下的manuf文件来查找
原文标题:8 个常用的 wireshark 使用技巧
文章出处:【微信公众号:马哥linux运维】欢迎添加关注!文章转载请注明出处。
1月份全球机器人技术投资5亿美元,哪个行业获融资最多?
新型光纤激光器,可实现具有可调谐性的单纵模的激光输出
嵌入式开发中串口通讯方案
荧光灯的组成
IDC预测:大陆PC显示器市场将在今年下半年将呈现下降趋势
数据包的过滤、排序和解码
区块链在商业中扮演怎样的角色
氮化镓充电器Galio推出,支持最大充电器功率为120W
射频大气压辉光放电的典型结构以及产生办法
赛普拉斯推出全新蓝牙低功耗模块和蓝牙智能网格
数字税将争取今年年中达成相关协议
如何利用物联网技术来管理景区
魅族Flyme6新版发布:升级之后果真不一样了!
国产桌面操作系统开发者平台发布 开放麒麟发力
探讨工业物联网的未来发展脉络
工业平板电脑在生产现场数据采集中的应用
R-Car H2主要特性和系统框图_汽车ADAS入门开发板
云安全和传统安全的区别
紫光展锐正式发布全新AIoT解决方案“春藤V5663”
华晶科开发基于高通技术的SoC的边缘运算AI视觉影像解决方案