在进行数据包分析过程,一定会遇到成千上万的数据包需要分析的常见。如何在如此大量数据的环境中快速得到你想要的对象,提高分析效率和精准度呢?采用常见的分析技巧,也许能给你带来极大的帮助。

本节介绍如何使用查找、标记报文、输出报文及设定数据包相对时间显示等分析技巧,帮助使用者提高分析效率,提示分析技能。

使用查找数据包

如果要快速查找到分析想要的数据,按ctr+f快捷键,打开查找输入框,输入框中可输入显示过滤器、十六进制值、字符串和正则表达式内容。

网深科技 NetInside 网络分析 Wireshark 使用查找数据包

以下是搜索类型和例子,关于正则表达式,以后独立写一节相关文章,详细说明,这里不再展开。

网深科技 NetInside 网络分析 Wireshark搜索类型

当你选好选项并在文本框中输入搜索关键词之后,单击查找,就会找到满足该关键词的第一个数据包。如果想要找到下一个匹配的数据包,按Ctrl-N,想要找前一个,按Ctrl-B

标记数据包

在找到那些符合搜索条件的数据包之后,就可以根据需要进行标记。举例来说,可能你希望将那些需要分开保存的数据包标记出来,或者根据颜色快速查找它们。被标记的数据包会以黑底白字显示(你也可以单独将标记了的数据包选择出来,然后作为数据包捕获保存下来)

被标记的数据包将在你的屏幕上以高亮显示。在下面这个例子中,数据包50被标记并且显示为深色。

网深科技 NetInside 网络分析 Wireshark标记数据包

如果你想要标记一个数据包,右击Packet List面板,并在弹出菜单中选择 Mark Packet,或者在Packet List面板中选中一个数据包,然后按Ctrl-M

如果想取消对一个数据包的标记,再按一次Ctrl-M就可以将其取消。在一次捕获中,你想标记多少个数据包都可以。如果你想要在标记的数据包间前后切换,分别按SHIFT-CTRL-NSHIFT-CTRL-B切换即可。

打印数据包

尽管大多数情况下分析都会在电脑前进行,但你仍然可能需要将捕获结果打印出来。我经常将数据包打印出来,并贴在显眼的位置,这样在做其他分析的时候,就可以快速地参考这些内容。特别是在做报告的时候,能够将数据包打印成一个PDF文件将是非常方便的。

如果需要打印捕获的数据包,在主菜单中选择文件——打印,打开打印对话框。

你可将选中的数据以文本或者Post Script的格式打印或者输出到一个文件。与 另存为对话框相似,你也可以按一定范围打印数据包,比如被标记的数据包,或者作为过滤器筛选结果显示出来的数据包。对于每一个数据包,你也可以在主面板中选择打印对象。在你做好了这些选择之后,单击打印。

网深科技 NetInside 网络分析 Wireshark打印数据包

设定数据包相对时间参考

时间在数据包分析中非常重要。所有在网络上发生的事情都是与时间息息相关的,并且你几乎需要在每个捕获文件中检查时间规律以及网络延迟。Wireshark意识到时间的重要性,并提供了一些相关的选项以供设定。下面介绍相对时间参考。

数据包的相对时间参考,可以让你以一个数据包作为基准,而之后的数据包都以此计算相对时间戳。当一系列的顺序事件不是在捕获开始时被触发,而是在中间某个地方被触发,这个功能会变得非常好用。

如果希望将某一个数据包设定为时间参考,在 Packet Listi面板中选择作为相对参考的数据包,然后右键,选择设置/取消设置时间参考。同样,如果要取消一个数据包的相对时间参考,还是在这个地方操作。

网深科技 NetInside 网络分析 Wireshark数据包相对时间参考

当你将一个数据包设定为时间参考之后,Packet List面板中这个数据包的Time列就会显示为REF*,如下图所示。只有当捕获的时间显示格式设定为相对于捕获开始的时间,设定数据包时间参考才有用处。使用其他设定都不会生成有用的结果,并且其产生的一堆时间会很令人迷惑。

网深科技 NetInside 网络分析 Wireshark 设定数据包相对时间参考

数据包相对时间参考在分析网络性能问题,网络延时,应用性能问题及最终用户体验时都极为重要,熟练掌握相对时间参考设置,能够让分析事半功倍。

下图为网深科技NetInside企业级应用性能管理系统自动分析出网络数据包中的各种延时及最终用户体验,企业级系统能够针对任意一个用户、任意一个IP、任意一个网段或任意一个应用系统做这样的分析输出,而这样的分析只需动动手指就能够完成。

网深科技 NetInside 应用性能管理系统