To enkle filtre til wireshark til analyse af TCP- og UDP-trafik

Wireshark er en protokolanalysator, der kan downloades. Denne uges indlæg giver en kort introduktion til wireshark og viser to grundlæggende filtre, der kan bruges til at udtrække to forskellige klasser af trafik.

Wireshark kan startes fra kommandolinjen, men det skal normalt køres som root eller som sudo. Figur A viser indfangningsskærmen.

Figur A

Klik for at forstørre.
At starte en optagelse er simpelthen et spørgsmål om at klikke på det ikon, der vises cirkuleret i grønt på figur A. Klik på ikonet ved siden af ​​(cirklet i rødt) stopper optagelsen. Som figur A viser, består wireshark-output af to ruder: den øverste rude viser pakkerne, mens den nederste rude viser detaljer om pakker, der er fremhævet i den øverste rude. Når du stopper en wireshark-session, kan du gemme output i en fil. Dette giver dig mulighed for at analysere den optagne trafik mere detaljeret.

Wireshark-optagelsen, der bruges til den første del af dette indlæg, er hentet fra en session, der kører iperf. Iperf-sessionen var en kontinuerlig transmission på 30 sekunder. Der var anden trafik på netværket ud over iperf-trafikken.

I figur B kan du se cirkuleret TCP-trevejshåndtrykk for at starte en forbindelse.

Figur B

Klik for at forstørre.
Fremhævning af en pakke i den øverste ramme viser et resume af pakken i den nederste rude, som figur B viser. Du kan udvide sektionerne i den nederste rude for at undersøge indholdet af pakken mere detaljeret . Figur C har for eksempel IP- og TCP-sektionerne udvidet. Du kan også udvide datasektionen eller Ethernet-sektionen.

Fig

Klik for at forstørre.

Wireshark vil indikere, om pakken var fragmenteret for at passe inden for den maksimale transmissionsenhed (MTU). I dette tilfælde er MTU 1514 bytes. Som en side, kan du også se protokollen overhead på hver transmitteret ramme. I dette tilfælde kan vi se, at protokollen overhead for rammen er 54 byte. Dette omfatter information om Ethernet-header (14 bytes), IP-headere (20 byte) og TCP-headere (20 bytes). Dette efterlader 1460 bytes til data.

Den anden del af dette indlæg ser på at bruge et par grundlæggende filtre til at adskille trafikklasser. I dette tilfælde i stedet for at køre iperf, blev der taget en optagelse i en normal brugsperiode. Den første klasse, vi ser på, er http-trafik. Denne type trafik bruger TCP i transportlaget og fungerer på port 80. Det filter, der bruges i dette tilfælde, er tcp.port == 80. Det anvendte filter og output er vist i figur D.

Figur D

Klik for at forstørre.
Den anden type trafik, der blev set på (og det kan være af en vis interesse, når du fejler netværksproblemer) er DNS-trafik. DNS bruger port 53 og bruger UDP til transportlaget. For at filtrere DNS-trafik bruges filteret udp.port == 53. Som det kan ses i figur E, blev der foretaget fire forespørgsler til DNS i løbet af denne fangst. Det er muligt at spore forespørgsler og se, om der er problemer forbundet med DNS-opslag.

Figur E

Klik for at forstørre.

Wireshark er et kraftfuldt værktøj, når du vil tjekke, hvad der faktisk sker på et netværk. Det giver værktøjer til at grave dybere ned i de leverede data. I dette tilfælde har vi set på to grundlæggende filtre, der viser, hvordan man ser på TCP-trafik og UDP-trafik.

© Copyright 2021 | pepebotifarra.com