协议分析及Wireshark使用ppt课件

1、协议分析及Wireshark运用鼎利通讯为什么要抓包？ 查找网络缺点，网络管理员的帮手 做游戏外挂的分析数据需求运用 做底层协议开发需求运用 学习和了解协议运用 破解及非法用途抓包支持的协议常用 运用层：WAP、FTP、SMTP、POP3、Fetion、PING 传输层：UDP、TCP、RTP 网络层：IP、ARP、IGMP 链路层：PPP，PPOE 物理层：以太网、令牌环、FDDI、X.25、帧中继、RS-232、v.35 前台对抓包的支持 采用WinPCAP库，和Wireshark一样 在拨号之后才干抓包 可以支持同时对多个拨号网络进展抓包 对抓包数据的呈现：仅仅是显示抓包数据 未对抓包进

2、展统计分析前台缺乏 不能抓取PPP过程 处理方案：首先拨号，然后设定抓包的拨号网络，然后停顿拨号，此时再启动抓包进程，最后按正常流程测试 未对抓包的数据提供统计、分析、KPI输出和图表呈现等 未对抓包业务数据提供分析报表功能抓包分析KPITCP/IP重传率 定义：TCP重传的帧数 / 一切TCP帧数 * 100%，反响运用层传输质量 影响TCP/IP重传率的相关参数：MTU，ACK超时设定 受TCP/IP影响的KPI：运用层速率 引申目的：TCP ACK重传率 定义：TCP ACK包重传帧数 / 一切TCP IP重传帧数 * 100% TCP/IP和无线关系：误帧率/误码率高导致TCP/IP重

3、传，RLP重传加强ACK包的可靠性，防止由于RLP误码或ACK超时而导致TCP/IP不用要的重传 可以给出RLP重传率、TCP/IP重传率、运用层速率等三者的关系图，可以给出TCP/IP ACK包重传次数和RLP重传次数的比例曲线。 TCP ACK重传率很高，那么阐明网络需求优化RLP对ACK的重传，将大大提高运用层速率。抓包KPITCP丢包率 定义：TCP帧总数 TCP收到ACK的帧数/TCP总帧数 * 100% 丢包率是重要的目的，严重影响TCP/IP的传输性能，正常情况下丢包率和重传相差不多抓包KPITCP误帧率 定义：Checksum不正确的总包数 / TCP总包数 * 100% 误帧

4、率越低越好，误帧会影响速率 但误帧不一定需求重传，而且由于TCP checksum offload功能，不一定误帧就表示一定不正确需求重传抓包KPI复位率 定义：RST帧数 / 一切帧数 * 100% RST呈现了网络的有效性可效力才干，比率越大，网络质量越差抓包KPITCP帧呼应时延(RTT) 定义：第N帧收到ACK的时间 第N帧PSH的时间，单位：毫秒 意义：帧时延可以反映TCP/IP网络呼应速度，可以检查网关设备、路由设备、效力器的呼应速度和才干 输出：最大值、最小值、平均值抓包显示参数 MTU 最大传输单元，影响TCP/IP重传率和运用层速率 最大，最小，平均值 MTU正常的值设定：1

5、500以太网，1492PPPoE拨号网络 TCP Window Size 最大，最小，平均值 TCP Window Size影响TCP/IP速率 TTL 暂无用途，需求结合PING/ICMP才干运用抓包分析KPI包重组率 定义：TCP/IP重组(Reassemble)帧数 / 总TCP/IP帧数 * 100% 包重组率越低越好，正常应该为0。 TCP/IP重组帧数过大阐明中间有路由器不支持当前设定的MTU握手胜利率 定义：SYN恳求收到对应ACK的次数 / SYN恳求的次数 * 100% 握手胜利率阐明TCP/IP的可效力才干 握手胜利率依赖网关、效力器的处置才干等抓包KPI拥塞率 定义：标识

6、为CWR的帧数 / 总TCP帧数 * 100% 拥塞率越低越好，拥塞率抓包结合数据分析 抓包结合运用层业务可以给出运用层失败的缘由及比例，分类等 支持的业务包括：WAP、FTP、SMTPWAP 2.0/HTTP抓包分析WAP重定向比率定义：WAP 300307呼应数 / 一切WAP呼应数 * 100%重定向越多，对无线网络压力越大，重定向数据是无效数据，浪费带宽WAP 2.0主要失败缘由比例502 WAP网关失败504 WAP网关超时其他50 x 效力器端错误400 恳求错误404 地址错误403 权限受限其他4xx，客户端错误可以列出每一次WAP失败的错误Code信息及其文字描画，WAP失败

7、概略包括：时间、网关地址:端口、本地IP地址:端口、失败代码、失败缘由、恳求地址FTP 抓包分析 FTP命令失败概略： 时间，效力器地址:端口，下载文件地址，命令，命令错误代码什么是Wireshark？ Wireshark前身是Ethereal， /download.html 协议分析利器，主要是用来抓包及分析网络数据包格式和协议 免费，且是目前最好用的工具 Wireshark几乎是万能的协议抓包和分析工具，只需是以太网上的都能抓 其他类似工具：Sniffer ProWireshark优点 方便运用，与其他抓包工具相比易用的多，界面也友好的多 支持的协议多 支持过滤：

8、抓包过滤和显示过滤，强大的表达式功能 一边抓包一边分析 跨平台 如何开场？ 如何抓包？ 指定接口Interface 指定抓包范围，数据过滤capture filter 如何查看包？ 帧构造 帧内容 如何过滤包？ Filter express常用功能 协议查看和分析 协议过滤 语法：=，!=，,=, 大于大于lt=大于等于大于等于le=小于等于小于等于英文英文C语言语言含义含义and&逻辑与逻辑与or|逻辑或逻辑或xor逻辑异或逻辑异或not!逻辑非逻辑非snmp | dns | icmp显示SNMP或DNS或ICMP封包。ip.addr = 显示来源或目的IP地址为的封包。ip.src != or ip.dst != 显示来源不为或者目的不为的封包。Ip.addr=|ip.addr=8Ip.port=9000&ip.addr=0，ftp表达式构建工具表达式构建工具如何在WiFi下抓包？ WLAN，WiFi方式在默许的情况下无法抓包，需求封锁网卡的混杂方式例子 电信FTP问题 P