Wireshark入门教程-课件.ppt

1、Wireshark 使用心得使用心得Wireshark入门教程 感谢感谢EtherealEthereal和和WiresharkWireshark的创建者的创建者GeraldGerald CombsCombs以及为以及为它们的发展而做出它们的发展而做出努力的上千名开发努力的上千名开发人员人员！Wireshark入门教程Wireshark入门教程Wireshark入门教程Wireshark入门教程Wireshark入门教程Wireshark入门教程Wireshark入门教程Wireshark入门教程Wireshark入门教程语法：ProtocolDirectionHost(s)ValueLogic

2、al OperationsOther expression例子：tcpdst10.1.1.180andtcp dst 10.2.2.2 3128Wireshark入门教程Wireshark入门教程Wireshark入门教程Wireshark入门教程Wireshark入门教程Wireshark入门教程Wireshark入门教程Wireshark入门教程Wireshark入门教程Wireshark入门教程语法：ProtocolString 1String 2ComparisonoperatorValueLogicalOperationsOther expression例子：ftppassiveip

3、=10.2.3.4xoricmp.typeWireshark入门教程Wireshark入门教程Wireshark入门教程英文写法：C语言写法：含义：eq=等于ne!=不等于gt 大于lt=大于等于le=小于等于contains contains 包含matchesmatches符合Wireshark入门教程Wireshark入门教程英文写法：C语言写法：含义：and&逻辑与or|逻辑或xor 逻辑异或not!逻辑非Wireshark入门教程 表达式正确表达式正确 表达式错误表达式错误如果过滤器的语法是正确的，表达式的背景呈绿色。如果呈红色，说明表达式有误Wireshark入门教程Wiresha

4、rk入门教程Wireshark入门教程Wireshark入门教程Wireshark入门教程Wireshark入门教程Wireshark入门教程Wireshark入门教程Wireshark入门教程Wireshark入门教程Wireshark入门教程Wireshark入门教程Wireshark入门教程Wireshark入门教程Wireshark入门教程Wireshark入门教程Wireshark入门教程Wireshark入门教程王翊心王翊心Wireshark 高阶高阶Wireshark入门教程Wireshark入门教程鼠标右键单击Wireshark界面右下角Profile选择配置profileWi

5、reshark入门教程鼠标左键单击Wireshark界面右下角Profile选择不同的profileWireshark入门教程Wireshark入门教程nChat(灰色灰色):HTTP Gets,Application calls,TCP SYNs,FINs,基本工作流信息nNote(青绿色青绿色):TCP Retransmissions,Resets,Keep-Alives,Duplicate ACKs,SNMP 等问题以及常见的应用错误代码例如HTTP 404nWarn(黄色黄色):警告,错序的数据包和非常见的应用错误代码nError(红色红色):严重问题,畸形数据包和校验和错误Wires

6、hark入门教程Wireshark入门教程nTCP Retransmission:发生在ACK超时限后发送方重传数据包nTCP Fast Retransmission:发生在ACK计时器到期之前发送方就开始重传数据包。发送方接收到一些数据包，这些包的TCP序号大于ACK过的数据包TCP序号。发送方收到3个以上DUP ACK时应该启动快速重传。nTCP_Out-of-order:在一个连接中收到数据包的TCP序号小于之前收到的数据包的TCP序号nTCP Previous segment lost:在一个连接中收到的数据包的TCP序号大于期望的下一个应该收到的数据包的TCP序号，表明中间有一个或多

7、个数据包没有按预期到达。通常回和TCP Retransmission伴生Wireshark入门教程nTCP_ACKed_lost_segment:收到的ACK和发送的数据数据包段不匹配。nTCP Keep-Alive:发生在TCP序号等于上一个数据包中的数据的最后一个字节。用来让接收方发送一个ACK。nTCP Keep-Alive ACK:对于 TCP Keep-Alive响应的ACK数据包nTCP DupACK:发生在看到同样的ACK号并且小于发送方发送的数据的最后一个字节。如果接收方发觉接收到数据包的TCP序号间有间隔，它将为这个连接上每一个后续的数据包生成一个DUP ACK，直到丢失的数

8、据包被成功接收（重传成功）。它可以明确的表明有丢弃/丢失的数据包。Wireshark入门教程nTCP ZeroWindow:发生在接收方声明它的接收窗口大小为零。这会告诉发送方停止发送数据，因为接收方的接收缓冲区已经满了。这表明接收方有资源方面的问题，应用不能及时地从TCP缓冲区中提取数据。nTCP ZerowindowProbe:发送方通过发送数据的下一个字节以触发接收方回应一个ACK，看看接收方接收窗口满的情形是否继续存在。如果接收窗口还是零，发送方在下一次试探之前将其维持计数器的事件乘二。nTCP ZeroWindowViolation:发送方不理睬接收窗口为零的信息，继续发送数据。Wi

9、reshark入门教程nTCP WindowUpdate:当应用从TCP接收缓冲区中收走数据后，会在TCP层发送一个WindowUpdate数据包给发送方，表明接收缓冲区中有更多的空间来接收数据。通常都发生在ZeroWindow后，并且在WindowUpdate数据包中告知接收缓冲区的大小。nTCP WindowFull:当数据包段中载荷数据将全部填满另一端的接收缓冲区时，这个标志将被设在该数据包段中。发送方知道它已经发送的数据足以填满接收缓冲区，必须马上停止发送数据直到至少有一些数据被确认收到。这会引起发送方和接收方之间数据传递的延迟，降低吞吐量。这个事件发生时，另一端的接收方也许会发生Ze

10、roWindow的情况，并发回TCP ZeroWindow。需要注意的是即便没有ZeroWindow，这种情形也会发生。Wireshark入门教程n规则名称n规则条件n前端颜色（字体颜色）n后端颜色（背景颜色）n规则顺序（上端的规则首先被执行）Wireshark入门教程nA端地址、端口nB端地址、端口nA端到B端数据量、数据包数nB端到A端的数据量、数据包数n起始时间n持续时间（通过Duration和数据包数量和大小可以找出通信时间较长的会话，配合tcp.time_delta 过滤条件可以比较容易地定位发送方或接收方的性能问题）nA端到B端bpsnB端到A端bpsWireshark入门教程Wi

11、reshark入门教程Wireshark入门教程Wireshark入门教程Wireshark入门教程Wireshark入门教程Wireshark入门教程不带私钥保护口令的PEM格式私钥文件:-BEGIN RSA PRIVATE KEY-MIICXgIBAAKBgQDrHdbb+yGE6m6EZ03bXURpZCjch2H6g97ZAkJVGrjLZFfettBAEYa8vYYxWsf8KBpEZeksSCsDA9MnU2H6QDjzqdOnaSWfeXMAr4OsCOpauStpreq7q1hk8iOqy+f4KijRrhWplh1QW1A8gtSIg137pyUhW+WsfwxKwmzjGI

12、C1SwIDAQABAoGBAMneA9U6KIxjb+JUg/99c7h9W6wEvTYHNTXjf6psWA+hpuQ82E65/ZJdszL6.b6QKMh16r5wd6smQ+CmhOEnqqyT5AIwwl2RIr9GbfIpTbtbRQw/EcQOCx9wFiEfotGSsEFi72rHK+DpJqRI9AkEA72gdyXRgPfGOS3rfQ3DBcImBQvDSCBa4cuU1XJ1/MO93a8v9Vj87/yDm4xsBDsoz2PyBepawHVlIvZ6jDD0aXw=-END RSA PRIVATE KEY-带私钥保护口令的PEM格式私钥文件:-BEGIN RSA

13、PRIVATE KEY-Proc-Type:4,ENCRYPTEDDEK-Info:DES-EDE3-CBC,F6C218D4FA3C8B66FR2cnmkkFHH45Dcsty1qDiIUy/uXn+9m/xeQMVRxtiSAmBmnUDUFIFCDDiDc9yifERok2jPr2BzAazl5RBxS2TY/+7x0/dHD11sF3LnJUoNruo77TERxqgzOI0W1VDRA.ygw5JslxgiN18F36E/cEP5rKvVYvfEPMa6IsiRhfZk1jLAuZihVWc7JodDf+6RKVyBXrK/bDtdEih+bOnYu+ZDvjAzVz9GhggCW4

14、QHNboDpTxrrYPkj5Nw=-END RSA PRIVATE KEY-Wireshark入门教程rootlocalhost#openssl rsa-in encrypted.key-out cleartext.keyEnter pass phrase for encrypted.key:writing RSA keyrootlocalhost#rootlocalhost#openssl pkcs12-in pem.cert-inkey pem.key-export-out cert.pkcs12 Enter Export Password:Verifying-Enter Export Password:rootlocalhost#rootlocalhost#openssl rsa-inform DER-in der.key-out pem.keyEnter pass phrase for encrypted.key:writing RSA keyrootlocalhost#去掉私钥保护口令:从 DER编码转换成PEM格式(同时去掉私钥保护口令):从PEM格式转换成PKCS12格式(同时增加私钥保护口令):Wireshark入门教程