Wireshark使用之数据包长度
【数据包长度】在Wireshark的统计功能中往往是最容易被忽略的一项,也不被工程师所“待见”。其实这项统计分析很实用,很是喜欢,一直是本人用作网络故障分析的“首选项”,抓取数据包或拿到问题数据包文件后,不做任何过滤,第一看“概要信息”,第二就是进行数据包长度分析,其原因有二:
大包和小包的占比。通过图表首先查看是否有小于40字节和大于2560字节的报文存在,如果有则判定为“异常”数据包,大量的小包将会使网络开销增大,线路传输抖动振荡,造成网络不稳定,效率变低。反之大量的大包将会增加负荷,消耗带宽,造成数据传送丢包,延时,拥塞,严重时将造成网络阻断等故障。如:arp扫描,tcp重传等。
分析包分布情况。打开【数据包长度】窗口,首先查看每一档的报文数量,然后可以通过显示过滤器筛选出“怀疑”的协议类型,分析在所有报文总数中的占比情况,逐一分析比对,从数据包长度的每一档报文的分布情况,可以初步分析出是否有“异常”流量存在。如:arp病毒攻击,广播风暴,路由环路等。
如果这两点看不出什么问题,那么问题就很“奇怪”了,且需要深入分析。
【数据包长度】把所有数据包分为十档(如图),每一档都有具体的统计数值,占比等信息。从这一刻开始,重视【数据包长度】吧!
免责声明:
① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。
② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341