网络协议是网络分析的基础信息,网络分析人员拿到一个抓包文件后,往往会快速了解一下。一个抓包文件中都由哪些协议组成,这些协议的占用比例分别是多少,协议层级关系如何等等,这些疑问都可以由Wireshark自带的协议分级功能来回答。本节我们讲解协议分级,如何快速的查看网络中到底都有哪些协议信息。

如何打开协议分级

要打开协议分析,意味着你已经打开了一个抓包文件。

打开菜单——协议分级,弹出的窗口就是协议分级统计界面。

网络分析 NetInside Wireshark 协议分级统计

协议分级统计可以给用户提供通信中使用到的各个协议的分布信息,同时也可以向用户展示出那些不符合网络基准的异常操作。所谓各个协议的分布信息,是指这个界面可以显示某种协议在两台主机间通信数据中所占的百分比以及相关的统计数据,比如显示每种协议分別发送和接收了多少比特、多少个数据包。用户网络当前的流量状态与网络正常状态下建立的流量基线相比较,就很容易发现网络中的异常操作。

协议分级统计详细解读

协议分级统计以直观的树形图展开显示,第一列分级显示了协议信息,以及协议之间的层级关系。

后面分别列举多个指标信息,下面详细解读一下。

网深科技 NetInside 网络分析 Wireshark 协议分级统计

按分组百分比:显示了抓包文件中所含数据包在每一种协议类型中的占比情況(按数据包的个数来统计)

分组:显示了每一种协议类型的数据包的个数。

按字节百分比:显示了抓包文件中所含数据包在每一种协议类型中的占比情況(按数据包的字节数来统计)

字节:显示了每一种协议类型的数据包的字节数

比特/秒:显示了某种协议类型的数据包在抓包时段内的传输速率。

结束 分组:显示了隶属于该协议类型的数据包的净数量。

结束 字节:显示了隶属于该协议类型的数据包的净字节数。

结束 位/秒:显示了隶属于该协议类型的数据包在抓包时段内的净传输速率。

如何知道某人在干什么

如果要快速查看某个人在网络上干了什么,只需要先做个显示过滤器,过滤器的内容是这个人的IP地址,例如ip.addr==10.66.2.100。然后在打开协议分析统计查看,查看到的就是这个人相关的所有协议信息。

网深科技 NetInside 网络分析 Wireshark 过滤器协议信息

协议分级统计窗口能够提供当前网络中活动的协议信息,是分析者经常使用的功能之一,因为它是当前网络的直观写照。