在网络分析中，经常会有这样一个需求，就是想知道当前网络谁最活跃，谁和谁之间的流量传输最大，即占用的带宽最多，以及最活跃的对象占用了多大的带宽。本节和下节介绍的会话分析和终端分析功能，能够给出这个答案。本节主要介绍会话分析，将讨论什么是会话，如何在Wireshark中查看会话，以及在使用会话分析时常见的技巧和经验总结说明。

什么是会话

网络中的一个会话(conversation)，就如同现实中两个人在接打电话，举例来说，张三和李四会话可能是这样子的:“你好吗?”，“我很好,你呢?”，“非常好!”。

而在网络中的会话，描述的是两台主机(端点)之间进行的通信。192.168.1.2和192.168.0.10之间的一个会话可能就是这样的“SYN”” SYN/ACK””ACK”(我们将在今后介绍TCP/IP的章节详细介绍)。

会话可以说基于数据链路层MAC之间的，也可以是基于网络层IP之间的，如下图举例说明这2类会话。

如何打开会话分析

要打开会话分析，点击菜单统计——会话。

在打开的窗口，用户就会看到下图所示内容，这个窗口显示出很多列信息，包括网络中正在传输的数据包、网络中传输的比特数量、数据流量、设备的MAC地址，以及很多其他的详细信息。在窗口的最上方，用户可以看到很多标签，每个标签显示关于一种协议的信息在标签中除了协议名称之外，用户还可以看到个数字,这个数字表示的是当前独立会话的数量。

如何查看流量最大的会话

想要找出网络中谁的流量最大，看看这些流量是从哪里传输过来的,那么用户就可以在打开的会话分析窗口，点击Pv4标签，然后按照降序来排列数据包。在这里，窗口中显示的第一行信息就是这位用户正在寻找的答案。如下图，该图显示了这里所说的信息。

在第一行中，用户可以看到各个端点收发了多少数据包字节,以及设备抓包的总时长。如果用户想要创建个过器，也可以用同样的方法右键点击第一行信息，然后就可以创建出用户想要设置的表达式了。选择第一个可选项A<>B,这里只会显示与地址A( Address A)和地址B( Address B)有关的数据包。

会话分析常用技巧

在会话分析过程中，最常用的是针对网络第二、三、四层内容进行分析。通过点击会话分析窗口中不同标签，找到分析答案。

Ethernet标签：来观察具有不同MAC地址的主机间发生过什么样的“沟通”。

IPv4标签：来观察具有不同IPv4地址的主机间有过什么样的“交流”。

TCP或UDP标签：来观察具有不同IPv4地址的主机间所建立的各种TCP(或UDP)会话。

在现实网络分析中，使用这些常用分析标签，不但能够分析二层的广播风暴、MAC地址冲突等故障，而且能够分析网络中存在的扫描现象，感染病毒的主机定位，异常服务器发现，或者异常的应用连接行为。

遗憾的是，Wireshark无法通过图形方式直观展现这些内容，只能是一行行的表格信息。下图是网深科技NetInside流量分析系统对此类异常行为的分析视图。