經(jīng)典的開源的網(wǎng)絡(luò)抓包工具 Wireshark 相信大部分人（或者搞過(guò)網(wǎng)絡(luò)）的人都知道它，用過(guò)的人基本了解它的強(qiáng)大功能。

1、數(shù)據(jù)包過(guò)濾

a. 過(guò)濾需要的IP地址 ip.addr==

b. 在數(shù)據(jù)包過(guò)濾的基礎(chǔ)上過(guò)濾協(xié)議ip.addr==xxx.xxx.xxx.xxx and tcp

c. 過(guò)濾端口ip.addr==xxx.xxx.xxx.xxx and http and tcp.port==80

d. 指定源地址 目的地址ip.src==xxx.xxx.xxx.xxx and ip.dst==xxx.xxx.xxx.xxx

e. SEQ字段（序列號(hào)）過(guò)濾（定位丟包問(wèn)題）

TCP數(shù)據(jù)包都是有序列號(hào)的，在定位問(wèn)題的時(shí)候，我們可以根據(jù)這個(gè)字段來(lái)給TCP報(bào)文排序，發(fā)現(xiàn)哪個(gè)數(shù)據(jù)包丟失。

SEQ分為相對(duì)序列號(hào)和絕對(duì)序列號(hào)，默認(rèn)是相對(duì)序列號(hào)顯示就是0 1不便于查看，修改成絕對(duì)序列號(hào)方法請(qǐng)參考第三式。

2、修改數(shù)據(jù)包時(shí)間顯示

有些同學(xué)抓出來(lái)的數(shù)據(jù)包，時(shí)間顯示的方式不對(duì)，不便于查看出現(xiàn)問(wèn)題的時(shí)間點(diǎn)，可以通過(guò)View---time display format來(lái)進(jìn)行修改。

修改前：

修改后：

3、確認(rèn)數(shù)據(jù)報(bào)文順序

有一些特殊情況，客戶的業(yè)務(wù)源目的IP 源目的端口 源目的mac 都是一樣的，有部分業(yè)務(wù)出現(xiàn)業(yè)務(wù)不通，我們?cè)?a href="http://www.socialnewsupdate.com/v/tag/1392/" target="_blank">交換機(jī)上做流統(tǒng)計(jì)就不行了，如下圖網(wǎng)絡(luò)架構(gòu)。箭頭是數(shù)據(jù)流的走向，交換機(jī)上作了相關(guān)策略PC是不能直接訪問(wèn)SER的。

那我們?cè)谂挪檫@個(gè)問(wèn)題的時(shí)候，我們要了解客戶的業(yè)務(wù)模型和所使用得協(xié)議，很巧合這個(gè)業(yè)務(wù)是WEB。我們從而知道TCP報(bào)文字段里是有序列號(hào)的，我們可以把它當(dāng)做唯一標(biāo)示來(lái)進(jìn)行分析，也可以通過(guò)序列號(hào)進(jìn)行排序。

一般抓出來(lái)的都是相對(duì)序列號(hào)0 1不容易分析，這里我們通過(guò)如下方式進(jìn)行修改為絕對(duì)序列號(hào)。

Edit-----preference------protocols----tcp---relative sequence numbers

修改參數(shù)如下：

我拿TCP協(xié)議舉例

把TCP的這個(gè)選項(xiàng)去除掉

最后的效果：

4、過(guò)濾出來(lái)的數(shù)據(jù)包保存

我們抓取數(shù)據(jù)包的時(shí)候數(shù)據(jù)量很大，但對(duì)于我們有用的只有幾個(gè)，我們按條件過(guò)濾之后，可以把過(guò)濾后的數(shù)據(jù)包單獨(dú)保存出來(lái)，便于以后來(lái)查看。

5、數(shù)據(jù)包計(jì)數(shù)統(tǒng)計(jì)

網(wǎng)絡(luò)里有泛洪攻擊的時(shí)候，我們可以通過(guò)抓包進(jìn)行數(shù)據(jù)包個(gè)數(shù)的統(tǒng)計(jì)，來(lái)發(fā)現(xiàn)哪些數(shù)據(jù)包較多來(lái)進(jìn)行分析。

Statistics------conversations

6、數(shù)據(jù)包解碼

IPS發(fā)送攻擊日至和防病毒日志信息端口號(hào)都是30514，SecCenter上只顯示攻擊日志，不顯示防病毒日志。查看IPS本地有病毒日志，我們可以通過(guò)在SecCenter抓包分析確定數(shù)據(jù)包是否發(fā)送過(guò)來(lái)。

發(fā)過(guò)來(lái)的數(shù)據(jù)量比較大，而且無(wú)法直接看出是IPS日志還是AV日志，我們先把數(shù)據(jù)包解碼。

（由于沒(méi)有IPS的日志抓包信息，暫用其他代替）

解碼前：

解碼操作：

解碼后：

7、數(shù)據(jù)包報(bào)文跟蹤

查看TCP的交互過(guò)程，把數(shù)據(jù)包整個(gè)交互過(guò)程提取出來(lái)，便于快速整理分析。

8、通過(guò)其查看設(shè)備的廠家

查看無(wú)線干擾源的時(shí)候，我們可以看出干擾源的mac地址，我們可以通過(guò)Wireshark來(lái)查找是哪個(gè)廠商的設(shè)備，便于我們快速尋找干擾源。

例如：mac地址是A4-4E-31-30-0B-E0

我們通過(guò)Wireshark安裝目錄下的manuf文件來(lái)查找

審核編輯：湯梓紅