在网络分析中,经常会有这样一个需求,就是想知道当前网络谁最活跃,谁和谁之间的流量传输最大,即占用的带宽最多,以及最活跃的对象占用了多大的带宽。本节和下节介绍的会话分析和终端分析功能,能够给出这个答案。本节主要介绍会话分析,将讨论什么是会话,如何在Wireshark中查看会话,以及在使用会话分析时常见的技巧和经验总结说明。

什么是会话

网络中的一个会话(conversation),就如同现实中两个人在接打电话,举例来说,张三和李四会话可能是这样子的:“你好吗?”我很好,你呢?”非常好!”

而在网络中的会话,描述的是两台主机(端点)之间进行的通信。192.168.1.2192.168.0.10之间的一个会话可能就是这样的“SYN”” SYN/ACK””ACK”(我们将在今后介绍TCP/IP的章节详细介绍)

会话可以说基于数据链路层MAC之间的,也可以是基于网络层IP之间的,如下图举例说明这2类会话。

网深科技 NetInside 网络分析 Wireshark 网络会话

如何打开会话分析

要打开会话分析,点击菜单统计——会话。

在打开的窗口,用户就会看到下图所示内容,这个窗口显示出很多列信息,包括网络中正在传输的数据包、网络中传输的比特数量、数据流量、设备的MAC地址,以及很多其他的详细信息。在窗口的最上方,用户可以看到很多标签,每个标签显示关于一种协议的信息在标签中除了协议名称之外,用户还可以看到个数字,这个数字表示的是当前独立会话的数量。

网深科技 NetInside 网络分析 Wireshark 打开会话分析

如何查看流量最大的会话

想要找出网络中谁的流量最大,看看这些流量是从哪里传输过来的,那么用户就可以在打开的会话分析窗口,点击Pv4标签,然后按照降序来排列数据包。在这里,窗口中显示的第一行信息就是这位用户正在寻找的答案。如下图,该图显示了这里所说的信息。

网深科技 NetInside 网络分析 Wireshark 查看流量最大的会话

在第一行中,用户可以看到各个端点收发了多少数据包字节,以及设备抓包的总时长。如果用户想要创建个过器,也可以用同样的方法右键点击第一行信息,然后就可以创建出用户想要设置的表达式了。选择第一个可选项A<>B,这里只会显示与地址A( Address A)和地址B( Address B)有关的数据包。

会话分析常用技巧

在会话分析过程中,最常用的是针对网络第二、三、四层内容进行分析。通过点击会话分析窗口中不同标签,找到分析答案。

Ethernet标签:来观察具有不同MAC地址的主机间发生过什么样的“沟通”。

IPv4标签:来观察具有不同IPv4地址的主机间有过什么样的“交流”。

TCPUDP标签:来观察具有不同IPv4地址的主机间所建立的各种TCP(UDP)会话。

在现实网络分析中,使用这些常用分析标签,不但能够分析二层的广播风暴、MAC地址冲突等故障,而且能够分析网络中存在的扫描现象,感染病毒的主机定位,异常服务器发现,或者异常的应用连接行为。

遗憾的是,Wireshark无法通过图形方式直观展现这些内容,只能是一行行的表格信息。下图是网深科技NetInside流量分析系统对此类异常行为的分析视图。

网深科技 NetInside 流量分析系统