0#2 wireshark的统计功能

0x00 简介

有时候我们抓取的数据包数量太大，并且大部分为无用的数据包，有了统计功能，我们可以将数据包按协议类型进行归类统计，能准确的观察出，是否协议类型比较可以，比如在FTP的暴力密码攻击时，会产生大量的FTP失败的请求。

---

0x01 Statistics 菜单

在 wireshark 中，统计数据不只会通过记录数据的方式呈现给用户，wireshark中还有一些图形特性，这些图也可以想用户展示抓取的数据。图形更加图形和直白。

---

0x02 capture file properies 抓包文件属性

1. 调用方式：

1. 菜单栏->statistics->capture file properies
2. 快捷键：·[ctrl]+[alt]+[shift]+c

2.显示内容

1. file:显示总体信息
2. time:显示抓取第一个、最后一个的时间和整体时间间隔
3. capture:OS名称、抓包的接口
4. interfaces:所有抓到流量与接口的详细情况
5. statistics:提供各种详细的数据

properies.png

---

0x03 protocol hierarchy 协议分布信息

协议分布窗口可以给用户提供通信中使用到的各个协议的分布信息
比如：
每种协议分别发送和接收栏多少比特、多少数据包
调用:
工具栏->statistics->protocol hierarchy

protocol hierarchy.png

---

0x04 onversations 会话统计

以会话情况进行统计。

1.调用:

工具栏->statistics->conversations

2.内容

1. 协议:该协议的会话数
2. 会话地址
3. 数据包和比特流数量
4. 开始时间持续时间
5. 比特率

conversations.png

---

0x05 endpoints 端点统计

直接对地址进行分析，可以明显的发现哪些占用资源过多，是恶意请求。

1. 调用

工具栏->statistics->endpoints

2. 内容

1. 根据端点，进行筛选

2. map可以通过在地图上把这些地址给标出来，观察哪些地点的请求较多。

   
   endpoint.png

---

0x06 I/O Graph I/O图

1. 调用

1. 工具栏->statistics->I/O Graph

IO Graph.png

---

0x07 Flow Graph 数据流图

当用户面对大量连续断开、大量数据帧丢失，这种特性可以帮助排错

1. 调用

1. 工具栏->statistics->Flow Graph

2. 显示内容

Flow Graph.png

---

0x08 TCP数据流量图

1. 调用

1. 工具栏->statistics->TCP Stream Graphs->Round Trip Time

2.过程

1. 在数据包列表中选择一个TCP数据包
2. 选择工具栏->statistics->TCP Stream Graphs->Round
3. 一开始打开是一片空白(可能是我的电脑问题)，然后切换到别的图，再切换回来就行了

3.显示

Round Trip Time 往返时间图

RTT.png

Throughput graph 吞吐量

Throughput graph.png

tcptrace 时序图

tcptrace.png

---

0x09 Follow TCP Stream 查看TCP数据流

由于wireshark是按流量包进行分析，一个http请求可能有很多个数据包构成，这个特性可以把多个数据包内的内容和在一起显示。

调用

菜单栏->analyze->follow->tcp stream

流程

1. 在列表中选择一个TCP数据包
2. 菜单栏->analyze->follow->tcp stream
   或者
   右键选择数据包，点击follow->tcp stream

显示

follow tcp stram.png

功能:截获传输文件，

利用save as将内容保存为简单的文本格式，修改文件名和后缀可以还原文件
save as:菜单栏->file->save as
快捷键:[ctrl]+[shift]+s

---

0x0A expert infos 专家模式

专家模式对话框中的信息是由解析器提供的，解析器的作用是对Wireshark所了解的所有协议进行转换。

调用

1. 菜单栏->analyze->expert infomations
2. 状态栏左下角的圆圈〇

颜色的表意

1. 红色:error
   错误消息
2. 黄色:warning
   异常消息，很可能不是常规通信的一部分
   如:
   zero window:TCP接收窗口已满
   keep alive:
   acked lost packet:确认的丢包
   previous segent lost:之前的数据段丢失
   out of order:乱序
   fast retransmission:快速重传
3. 青色:notes
   异常消息，不确定是正常情况还是异常情况
   如：
   zero windows probe:客户端发送信息和接收信息不等时，发送的空消息来匹配速率
   keep alive ack: keep alive 数据包的接收方会发送这类ACK进行响应
   zero windows probe ack:与zero windows probe有关
   windows is full:TCP接收窗口当前已满
   TCP重传消息
   重复ACK消息
4. 蓝色:chats
   当前通信的总体信息
   如：windows update:接收窗口更新
5. 绿色:comments
6. 灰色:空

显示

expert infos.png

---