Wireshark är en kraftfull nätverksprotokollanalysator som utmärker sig för att analysera TCP- och UDP -trafik. Så här använder du den för TCP/UDP -analys:
1. Fånga trafik:
* Val av gränssnitt: Starta Wireshark. Du får en lista över nätverksgränssnitt. Välj gränssnittet där TCP/UDP -trafiken du vill analysera flödar. Detta är avgörande. Att välja fel gränssnitt kommer att fånga irrelevanta data. Om du är osäker, titta på gränssnittsnamn och beskrivningar-en Wi-Fi-adapter kommer att märkas tydligt som sådan.
* Start Capture: Klicka på "Start" -knappen för att börja fånga paket. Wireshark kommer att börja fånga all trafik på det valda gränssnittet. Låt fångsten köras under en tillräcklig tid för att säkerställa att du fångar relevanta händelser.
* filtrering (valfritt, men rekommenderas starkt): För att undvika att överväldiga dig med irrelevant data, använd filter. Du kan filtrera förbi:
* protokoll: `TCP` eller` UDP` visar endast TCP respektive UDP -paket.
* IP -adress: `ip.addr ==192.168.1.100` visar endast paket till eller från denna IP -adress.
* port: `TCP.PORT ==80` visar endast TCP -trafik på port 80 (http). `UDP.PORT ==53` visar endast UDP -trafik på port 53 (DNS).
* kombination: Du kan kombinera filter. Till exempel visar `TCP och Port 80 och IP.Addr ==192.168.1.100` endast TCP -trafik på port 80 till eller från 192.168.1.100. Använd `||` (eller) för att kombinera olika filterkriterier.
* visningsfilter: Dessa filter används * efter * fångsten är klar och påverkar vad som visas. De appliceras i fältet "Display Filter" längst upp i Wireshark -fönstret.
* Fånga filter: Dessa filter tillämpas * före * fångsten börjar till och med och berättar för Wireshark att bara fånga paket som matchar filterkriterierna. De är inställda i dialogrutan "Fånga filter".
2. Analysera fångad trafik:
När du har fångat den relevanta trafiken presenterar Wireshark paketen i en lista. Varje rad representerar ett enda paket. Nyckelkolumnerna inkluderar:
* no .: Paketnummer.
* Tid: Tidsstämpel av paketankomst.
* Källa: Källa IP -adress och port.
* Destination: Destination IP -adress och port.
* protokoll: Protokoll som används (TCP, UDP, etc.).
* Längd: Paketlängd.
Specifik TCP -analys:
* TCP -ström: Högerklicka på ett TCP -paket och välj "Följ" -> "TCP -ström." Detta kommer att visa dig hela konversationen mellan källan och destinationen, ofta rekonstruerar data om applikationsnivå (t.ex. HTTP-förfrågningar och svar).
* TCP -segmentflaggor: Undersök TCP -flaggorna (SYN, ACK, FIN, RST, PSH, etc.) inom paketdetaljerna. Dessa flaggor är avgörande för att förstå tillståndet för TCP -anslutningen.
* Sekvens- och bekräftelsesnummer: Analysera sekvensen och bekräftelsesnummer för att förstå flödet av data och identifiera potentiella vidarebefordringar (på grund av paketförlust).
* Fönsterstorlek: Observera fönsterstorleken för att diagnostisera potentiella problem med överbelastningskontroll.
Specifik UDP -analys:
* Följ UDP -ström: Högerklicka på ett UDP -paket och välj "Följ" -> "UDP -ström." Till skillnad från TCP garanterar UDP inte leverans eller beställning. Strömmen visar helt enkelt rådata som skickas i varje UDP -paket.
* nyttolastinspektion: Undersök nyttolasten för UDP-paketet för att förstå data på applikationsnivå (t.ex. DNS-frågor och svar). Du behöver ofta känna till applikationsprotokollet (DNS, DHCP, etc.) för att tolka nyttolasten korrekt. Wiresharks protokoll dissektorer hjälper till med detta.
3. Använda Wiresharks funktioner:
* Protokollhierarki: Paketdetaljfönstret visar en hierarkisk nedbrytning av paketets struktur, så att du kan undersöka varje lager (Ethernet, IP, TCP/UDP, applikation).
* färgkodning: Wireshark använder färgkodning för att lyfta fram olika aspekter av nätverkstrafiken, till exempel TCP-återtagande.
* Expertinformation: Leta efter varningar och fel som flaggats i avsnittet "Expertinfo". Detta kan lyfta fram potentiella problem som tappade paket eller anslutningsproblem.
* Statistik: Wireshark tillhandahåller olika statistik som kan ge sammanfattningar av den fångade trafiken.
Exempel Scenarier:
* Felsökning av en webbplatsanslutning: Fånga trafiken medan du försöker komma åt en webbplats, filtrera efter `TCP och Port 80` eller` TCP och Port 443` och undersöka HTTP -förfrågningar och svar i TCP -strömmen för att identifiera problem.
* Analysera DNS -frågor: Fånga trafik, filtrera av `UDP och Port 53` och undersöka DNS -frågor och svar för att se vilka DNS -servrar som kontaktas och vilka poster som begärs.
* Undersökning av nätverkstockningar: Fånga trafik och analysera TCP -fönsterstorlekar och vidarebefordringar för att identifiera potentiella trängselpunkter.
Genom att effektivt använda filtrering, följande strömmar och undersöka paketdetaljer, ger Wireshark dig möjlighet att djupt analysera TCP- och UDP -trafik, hjälpa till att diagnostisera nätverksproblem och förstå nätverksbeteende. Kom ihåg att konsultera Wiresharks omfattande dokumentation för mer avancerade tekniker.
