加入收藏 | 设为首页 | 会员中心 | 我要投稿 宜春站长网 (https://www.0795zz.com/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 运营中心 > 建站资源 > 策划 > 正文

熟练使用Wireshark排除网络故障的方法

发布时间:2019-04-25 09:36:54 所属栏目:策划 来源:程序员书屋
导读:1 概述 本章会讨论如何娴熟地将Wireshark作为网络排障工具来使用,先讲如何配置用户界面,再谈如何配置全局和协议参数,接下来将讨论Wireshark文件夹、配置文件、文件夹和插件[3]。 本章还会讲解Wireshark的配色规则及配置方法,同时会介绍新添加进Wiresha

: GeoIP是一个数据库,Wireshark可根据该数据库里的内容来呈现(其所抓数据包IP包头中源和目的)IP地址所归属的地理位置。若勾选该复选框,Wireshark便会针对所抓IPv4和IPv6数据包的IP地址来呈现其所归属的地理位置。该子选项功能涉及名称解析,一旦开启,会拖慢Wireshark实时抓包速率。第10章会介绍如何配置GeoIP。

9.调整Protocol配置选项里的TCP和UDP配置参数

UDP是一种非常简单的协议,与Wireshark版本1相比,Wireshark版本2的Protocols配置选项里的UDP协议配置子选项几乎没有变化,可供配置的参数也不多,一般无需调整;而TCP协议则很是复杂,Protocols配置选项里TCP协议配置子选项中可供配置的参数较多,如图2.11所示。

熟练使用Wireshark排除网络故障的方法

图2.11

调整TCP协议配置子选项名下的参数,其实也就是调整Wireshark对TCP报文段的解析方式,以下是对其中某些参数的解释。

  • Validate the TCP checksum if possible

:Wireshark有时会抓到超多校验和错误(checksum errors)的数据包,这要归因于在抓包主机的网卡上开启的TCP Checksum offloading(TCP校验和下放)功能。该功能一开,便会导致Wireshark将抓到的本机生成的数据包显示为checksum errors(具体原因后文再表)。因此,若Wireshark抓到了超多校验和错误的数据包,则有必要先取消勾选该复选框,再去验证是否真的存在校验和问题。

  • Analyze TCP sequence numbers

:要让Wireshark对TCP数据包做详尽分析,就必须勾选该复选框,因为TCP sequence numbers(TCP序列号)是TCP最重要的特性之一。

  • Relative sequence numbers

:主机在建立TCP连接时,会随机选择一个序列号,并将其值存入相互交换的第一个报文段的TCP头部的序列号字段。只要勾选了该复选框,Wireshark就会把一股TCP数据流中第一个TCP报文段的(TCP头部的)序列号字段值显示为0,后续TCP报文段的序列号字段值将依次递增,从而隐藏了真实的序列号字段值。在大多数情况下,都应该让Wireshark显示TCP报文段的相对序列号(relative number),以方便网管人员查看。

  • Calculate conversation timestamps

:该复选框一经勾选,在抓包主窗口的数据包结构区域中,只要是TCP数据包,就会在transmission control protocol树下多出一个timestamps结构,点击其前面的箭头,就能看到Wireshark记录的该TCP数据包在本股TCP数据流中的时间烙印(timestamp)。让Wireshark显示每个TCP数据包的时间烙印,将有助于排查时间敏感型TCP应用程序的故障。

2.2.3 幕后原理

通过修改Preferences窗口中Protocols选项下相关协议子配置选项的参数,便能开启或禁用Wireshark软件对相应协议流量的某些分析功能。需要注意的是,为了保证Wireshark软件的运行速度,应尽量禁用不必要的分析功能

对TOS和DiffServ的介绍,详见本书第10章。

SNMP是一种用来行使网络管理功能的协议。SNMP对象标识符(OID)的作用是标识对象及其在管理信息库(MIB)中的位置。所谓对象,既可以是一个计数器,对流入接口的数据包进行计数;也可以是路由器接口的IP地址、设备的名称及安装位置、CPU负载或任何其他可呈现或可测量的实体。

SNMP MIB按树形结构来构建,如图2.12所示。顶层MIB对象ID分属不同的标准组织。每家网络厂商都会为自己的网络产品定义私有分枝(包括受管理的对象)。

图2.12

Wireshark在解析SNMP MIB时,不但会显示对象ID,还会显示其名称,这有助于排障人员识别受监控的数据。

3 抓包文件的导入和导出

将抓包文件分享给其他的运维团队或设备厂商的支持人员,以期查明网络故障的根本原因是常有的事儿。这样的抓包文件会包含很多数据包,而排障人员感兴趣的或许仅限于若干数据流或部分数据包。Wireshark不但支持将所抓数据有选择地导出至新的文件,甚至还能修改其格式,以便传输。本节将探讨Wireshark支持的各种抓包文件导入和导出功能。

3.1 准备工作

运行Wireshark软件,点击主工具条上的Capture按钮,开始抓包(或打开一个已保存的抓包文件)。

3.2 配置方法

在Wireshark主抓包窗口内,既可以把抓来的所有数据都保存进一个文件,也能以不同的格式或文件类型导出自己所需要的数据。

现在来讲解如何执行这些操作。

1.完整或部分导出抓包文件

既能把抓来的所有数据包(或抓包文件中的所有数据包)完整保存进一个文件,也能以各种文件格式和文件类型导出特定的数据。

要把抓来的所有数据包完整保存进一个文件(或将现有的抓包文件完整另存为一个新的文件),请按以下步骤行事。

  • 点击File菜单里的Save菜单项(或按Ctrl+S键),在弹出窗口的“文件名”输入栏内输入有待保存的抓包文件的名称。
  • 点击File菜单里的Save as菜单项(或按Shift +Ctrl +S键),在弹出窗口的“文件名”输入栏内输入有待保存的抓包文件的新名称。

若要保存抓包文件(或已抓数据包)中的部分数据(比如,经过显示过滤器过滤的数据),请按以下步骤行事。

  • 点击File菜单里的Export Specified Packets菜单项,Export Specified Packets窗口会立刻弹出,如图2.13所示。
熟练使用Wireshark排除网络故障的方法

图2.13

(编辑:宜春站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

热点阅读