Wireshark高级特性:
analyze里面有expert infomation,可以看到一些tcp重传信息,可以看到一些警告,窗口大小不够等信息.
statistics里面有flow graph,可以看到网络中每台主机的通信,以及通信的信息.
statistics里面有packet length可以看到,处于哪部分长度的数据较多.
preferences里面有名称解析,名称解析里面有使用自定义的hosts文件来标识一台主机.
statistics里面有HTTP,对应的http.request,可以看到抓到的数据包的所有对域名网页的http请求
statistics里面的protocol hierarchy(协议分层)可以看到数据包里面的每种协议的数据包数目或者说请求数,比如DNS数据包,正常情况下,一个DNS请求对应一个DNS回复,就能得到域名所对应的IP地址
statistics里面的conversation可以看到每两个设备之间的会话,比如ipv4会话
当出现这样一种情况的时候,我们这样处理.网速变慢,或者一个网页迟迟没有加载出来,我们就可以先通过HTTP里面的http.requests查看是否有异常的http请求,然后通过protocol hierarchy查看DNS数据报数目是否异常,有没有异常的DNS解析,然后我们通过conversations定位异常的对话,可以按照bytes排序,查看那些本地主机发出数据远大于收到的会话,然后通过filter,把这两个ip.addr应用规则&一下,然后我们就可以直接查看packet页面的数据流.
这里我给出四张图片,我们可以看到通过protocol hierarchy
我们看到了DNS有217个数据包,然后通过HTTP里面的http.requests
看到了所有http请求,最后我们通过conversations
看到了,我的主机和74开头的主机之间对话异常,我们通过点击这个会话,然后进行过滤显示,
我们看到出现了很多的我主机发出的SYN数据报,但是没有收到SYN/ACK数据报回复,导致我的主机发出了很多TCP重传,严重影响网络.
我们主机向目标IP发起TCP连接,发送HTTP请求获取网页内容,对于与未知的IP的会话,并没有与相应IP地址对应的DNS请求,我们如何获得这个IP地址的呢?
那是因为大部分系统使用一种DNS缓存机制,这一机制在系统内建立的域名与IP地址之间的映射缓存,访问已经缓存的DNS记录、经常访问的域名时,系统使用本地的映射缓存,但并不发起DNS请求.直到这些域名与IP地址间的映射过期,才进行新的DNS请求以获得域名的IP地址.
当域名与IP地址映射关系变更了,但是设备没有发起DNS请求以获得新的地址,那么,下一次访问这一域名时,该设备就会尝试连接一个无效的地址,