Wireshark 数据包分析学习笔记 Day4

端点(endpoint)是指网络上能够发生或者接收数据的一台设备。两个端点之间的通信被称之为会话(conversation)。

名称解析

也可以通过自定义 hosts 文件实现，文件目录如下：

Windows:<USERPROFILE>\Application Data\Wireshark\hosts

OS X：/Uers/<username>/.wireshark/hosts

在 Name Resolution 选择 Only use the profile “hosts” file。

解析器是一个网络原始数据流和 Wireshark 程序之间的翻译器。若要支持某个协议，就需要一个内置的解析器。

在正常情况下，一个以太网的帧最大长度为 1518 字节，除去以太网、IP、以及 TCP 头，还剩下 1460 字节以应用层协议的头或者数据使用。

双向时间(RTT)就是数据包到服务端以及接收到数据包确认所需的时间之和。

数据包分析常用的两个命令行工具——TShark(用于 windows、linux、OS X 系统)和 tcpdump(用于 UNIX 系统)。

在 Windows 上安装了 Wireshark 之后，默然也会安装 TShark。需要在 cmd 里去运行相应命令。可以在 Wireshark 的安装路径下执行 tshark –v 来查看是否安装。

保存数据包

tcpdump  -i eth0 –w packets.pcap

要想从保存的文件中回读数据包，可使用-r，-c 来限制在屏幕上显示的数据包数量

tcpdump  –r packets.pcap –c 10

读取 packers.pcap，过滤出目的 TCP 端口为 80 的数据包，最后把这些数据包写入一个名叫 http_packers.pcap 的新文件里

tcpdump  –r packets.pcap ‘tcp dst port 80’ –w http_packers.pcap

在 tcpdump 中可以使用-v 来增加冗余，至多可以加到 3 层。-X 参数来查看数据包的 ASCII 形式或者十六进制形式。-x 只查看十六进制，-A 只输出 ASCII 形式。

-n 会禁用 IP 名称解析，-nn 会禁用端口服务解析

当你要应用一个极其复杂的过滤器表达式可以放在 BPF 过滤器文件中，用-F 参数。