标签: wireshark

一、网络分析的本质 要了解分析流程，就必须认识到这不仅仅是查看数据，而是要解读数据包所讲述的故事。这需要将多个数据包和数据流中的信息关联起来，识别模式和异常，并将数据与更广泛的网络环境联系起来。这一过程既需要技术技能，也需要直观理解，将数据解读的科学性与解决问题的艺术性融为一体。 二、关键分析技术 1、模式识别 有效分析的核心在于模式识别。分析人员必须练就一双慧眼，从异常模式中分辨出正常的流量模式，识别出可能预示着问题或攻击的标准协议行为偏差，并识别出可能预示着性能问题或可疑活动的异常定时模式。Wireshark 的 IO Graphs 和 IOTA 的各种仪表盘等工具在这一过程中非常有用，它们提供了一段时间内流量模式的可视化表示，使分析人员能够快速发现趋势和异常。 2、性能分析 性能分析是这一阶段的另一个重要方面。在这一阶段，分析人员通过测量数据包在网络点之间传输所需的时间、评估实际数据传输速率与预期值之间的差异以及了解数据包重传的原因，深入研究延迟、吞吐量和重传率等指标。Wireshark 的 TCP 流图和 IOTA 的 TCP 流功能为这种深入的性能评估提供了强大的功能，使分析人员能够剖析单个数据流的行为。 图1：TCP连接中的序列号(Stevens)随时间变化的情况 3、安全分析 在当今充满威胁的数字环境中，安全分析已成为数据包检查不可或缺的一部分。分析人员必须善于通过识别可能表明存在未经授权访问企图的流量模式来检测潜在的入侵。他们需要识别网络流量中恶意软件活动的蛛丝马迹，并警惕可能预示着数据外渗企图的异常出站流量。Wireshark 的协议剖析器可以帮助识别可疑的有效载荷，其对话统计数据可以突出显示不寻常的通信模式，而 IOTA 的安全仪表板则在此基础上更进一步，针对潜在的安全威胁提供实时洞察力和详细的数据包信息。 4、应用程序行为分析 通过网络流量了解应用程序行为是分析师的另一项重要技能。这包括检查应用层协议的复杂性以了解应用程序如何通信，识别表明网络资源使用效率低下的模式，以及将应用程序性能与网络指标相关联。Wireshark 的特定协议分析功能和 IOTA 的应用程序仪表板等工具为这一领域提供了宝贵的洞察力，使分析人员能够弥合网络性能与应用程序行为之间的差距。 图2：IOTA的应用概览页面 三、高级分析技术 1、基于时间的分析 随着分析人员经验的积累，他们经常会发现自己需要使用更高级的技术。例如，基于时间的分析包括检查相关数据包之间的时间差，以识别延迟或低效，以及了解数据包序列的顺序和时间，以诊断协议或应用程序问题。Wireshark 的 TCP 流时间序列图对这类分析特别有用，它提供了数据包定时的可视化表示，可以揭示微妙的问题。 图3：IOTA的TCP分析页面 2、对比分析 对比分析是高级分析师工具包中的另一项强大技术。通过将当前流量模式与已建立的基线进行比较，或对网络更改进行前后分析，分析师可以识别正常行为的偏差，并评估网络更改的影响。Wireshark 和 IOTA 都支持加载和比较多个捕获文件，为这类深入比较研究提供了便利。 3、启发式分析 有时，传统的分析技术不足以发现复杂的问题。这就是启发式分析发挥作用的地方。启发式分析包括利用经验和直觉来识别数据中可能无法立即发现的潜在问题，应用网络架构、协议和常见问题的知识来指导调查，以及根据观察到的数据来开发和测试有关网络行为的假设。这种类型的分析通常需要创造性地使用 Wireshark 和 IOTA 中的工具，以新颖的方式结合不同的功能，从而获得新的见解。 4、从分析到行动 分析阶段的最终目标是将洞察力转化为行动。这可能涉及生成报告，以清晰、可操作的格式为利益相关者总结发现，根据分析结果推荐具体的变更或干预措施，或建立持续的分析流程以跟踪已实施解决方案的有效性。Wireshark 和 IOTA 都提供了报告功能，可帮助有效传达分析结果，确保分析成果可以轻松共享并付诸行动。 图4：分析到行动的工作流程 四、分析的反复性 重要的是要记住，有效的分析往往是反复进行的。最初的发现可能会引发新的问题，要求分析人员重新审视 OIDA 的早期阶段。 关键是要保持好奇心，有条不紊，并对意想不到的发现持开放态度。 分析过程中的每一次迭代都会带来新的见解，完善理解，并带来更有效的解决方案。 五、分析中的自我反思 分析人员在分析阶段工作时，应不断向自己提出探究性问题： 是否已经确定并检查了所有相关的交通模式？是否进行了全面的性能分析？是否考虑了潜在的安全影响？应用程序行为如何影响网络性能？是否进行了基于时间的分析，以了解网络事件的顺序和时间？是否进行了比较分析？是否采用启发式分析来发现不太明显的问题？ 结论：综合分析的力量 通过解决这些问题并应用所讨论的分析技术，分析人员可以全面检查网络数据。这种全面的方法可以带来有意义的见解和有效的问题解决方案，将数据包分析的艺术和科学转化为对网络性能、安全性和可靠性的切实改进。 总之，OIDA 的分析阶段是数据包检查真正发挥作用的地方。在这一阶段，观察、识别和剖析的辛勤工作得到了回报，产生的洞察力可以推动网络运营的实际改进。 当您掌握了分析技术并学会利用 Wireshark 和 IOTA 等工具的强大功能时，您会发现自己不仅仅是在阅读网络流量，而是真正理解了支撑我们互联世界的复杂数字对话。 了解 ITT-IOTA 更多信息，欢迎前往【艾体宝】官方网站

在 OIDA 方法（观察、识别、剖析、分析）中，识别阶段对于在捕获的网络流量中精确定位相关数据至关重要。本文重点介绍如何在这一关键步骤中有效使用 Wireshark 和 Profitap 的 IOTA。 OIDA方法系列文章主要包含四个部分，分别是观察、识别、剖析和分析。本文是该系列的第二部分——学会识别。 一、Wireshark：深入研究相关对话 Wireshark 提供了几种功能强大的工具，用于识别重要的流量模式和对话。 （一）对话框（Conversations dialog） 对话框是识别网络端点之间通信模式的重要工具。 Conversations） 查看按各种标准（字节、数据包、持续时间）排序的对话 右键单击会话，将其用作显示过滤器 （二）将对话框与显示过滤器结合使用 将对话框与显示过滤器结合使用，可以实现精确的流量隔离： 应用初始显示过滤器（如 http） 打开对话框查看特定于 HTTP 的对话 右键单击感兴趣的对话并选择应用为过滤器 现在，显示过滤器将只显示该特定 HTTP 会话的流量 通过这种方法可以逐步完善视图，有助于将相关流量归零。 （三）端点对话框 端点对话框汇总了捕获中的所有端点： Endpoints) 识别主要通话者或可疑端点 与对话框结合使用，跟踪端点通信 （四）协议层次结构 Protocol Hierarchy（协议层次结构）窗口提供捕获中存在的协议细目： Protocol Hierarchy)访问 快速识别主要协议 发现可能显示问题的异常或意外协议 （五）使用协议层次结构 确认预期的应用程序行为 识别潜在的安全问题（如意外协议） 指导进一步过滤和分析 二、IOTA：实时识别和过滤 Profitap的IOTA提供实时仪表盘，可快速突出显示网络流量中值得关注的区域。在仪表盘之间切换和过滤数据的功能可让您快速从鸟瞰视图转向数据包级细节。 （一）应用程序概览仪表板 应用程序总览仪表板可提供网络上应用程序使用情况的即时概览。 主要功能： 实时查看活动应用程序 每个应用程序的带宽使用情况 快速过滤功能 有效使用： 监控意外应用流量 当报告特定应用程序出现问题时，使用仪表板快速过滤并关注该应用程序的流量 （二）TCP分析仪表板 IOTA中的TCP分析仪表板可与Wireshark的对话对话框相媲美，但可提供实时见解。 如何使用： 识别热门通话者和最繁忙的对话 点击特定流量，深入查看详细的数据包数据 使用过滤选项关注特定 IP 地址、端口或协议 TCP 分析仪表板可实时快速识别异常流量模式或潜在瓶颈。 三、结论 掌握数据包分析中的识别阶段包括有效使用 Wireshark 的对话框、端点对话框和协议层次结构等工具，以及 IOTA 的应用程序和流量仪表板。利用这些工具，分析人员可以快速定位相关数据、识别异常模式，并将调查重点放在最相关的信息上。 本文是系列文章的第二部分，后续文章将深入探讨OIDA的“剖析”和“分析”阶段。 下面是OIDA识别核对表，通过遵循此核对表并有效使用所讨论的工具，分析师可以确保在识别阶段采用全面的方法，为数据包分析的后续阶段奠定坚实的基础。 附：OIDA 识别核对表 为确保在识别阶段采取彻底的方法，请考虑以下核对表： 您是否使用了 Wireshark 的协议层次结构来概述捕获中的协议？ 是否使用 Wireshark 的 “对话 ”对话框或 IOTA 的 “TCP 分析 ”仪表板确定了主要对话？ 您是否在 Wireshark 中应用了适当的显示过滤器来关注相关流量？ 如果使用 IOTA，您是否使用了应用程序仪表板来识别和过滤特定应用程序流量？ 您是否使用 Wireshark 的端点对话框或 IOTA 的 TCP 分析仪表板交叉引用了感兴趣的端点？ 您是否发现了任何需要进一步调查的意外协议或应用程序？ 您是否使用了过滤技术来隔离特定对话或数据流以进行更深入的分析？ 是否检查了流量模式中的任何异常或意外的高流量会话？ 如果正在调查报告的问题，您是否成功隔离了与受影响应用程序或服务相关的流量？ 您是否已准备好根据初步发现中出现的新信息对识别流程进行迭代？ 欢迎前往艾体宝itbigtec了解更多Profitap-IOTA！

您是否在数据包分析中遇到了挑战？专业人员经常发现自己对错综复杂的数据包分析束手无策。OIDA方法（观察、识别、剖析、分析）可用于更好地应对这一挑战。这种方法旨在简化数据包分析流程，使新手更容易掌握，同时提高经验丰富的分析人员的效率。 OIDA方法系列文章主要包含四个部分，分别是观察、识别、剖析和分析。本文是该系列的第一部分。 一、什么是 OIDA？ OIDA 代表一个四步流程，旨在指导分析人员完成数据包分析之旅： 观察： 在正确的时间和地点捕获正确的数据。 识别： 精确定位捕获数据中的相关信息。 剖析：分解已识别的数据进行详细检查。 分析： 从分解的信息中得出有意义的结论。 虽然每个步骤都至关重要，但本文重点关注基础性的第一步：观察。该步骤为后续所有分析奠定了基础，并能显著影响结果的质量。 二、学会观察 数据包分析中的观察不仅仅是捕获或接收数据，而是一个需要精心规划和执行的战略过程。 1、确定目标 在开始数据包捕获之前，必须明确定义目标。无论是排除特定应用程序的故障、调查安全事件还是了解整体网络性能，目标都会指导从捕获位置到持续时间的整个观察策略。 2、选择最佳捕获点 网络流量流经许多点，选择正确的捕获点至关重要。要分析两台服务器之间的流量，理想的捕获点是所有相关流量都能看到，而不会被无关数据淹没。了解网络拓扑结构是做出这一决定的关键。如果接收现有流量，还应确保能看到所有相关流量。因此，还应该询问网络图。 3、把握捕获时机 有些网络问题具有间歇性或时间敏感性。在正确的时间进行观察，是捕捉到问题还是完全错过问题的关键。这可能需要在高峰时段安排捕获，或设置触发器，在满足特定条件时开始捕获。此外，有些问题可能需要长期监控才能获得足够的信息来发现。性能分析也是如此，在性能分析中，长期捕获往往有利于获取更多的历史数据。 4、选择正确的工具 虽然 Wireshark 是一款功能强大且广受欢迎的数据包分析工具，但它并不总是适用于所有情况。Profitap 的 IOTA 等设备可提供流量捕获、板载分析和实时洞察，这在某些情况下是非常宝贵的。IOTA 能够提供网络流量的即时可见性，是正确工具如何加强 OIDA 观察阶段的例证。以下将探讨这一关键步骤的核心要素。 5、确保符合法律和道德规范 在开始数据包捕获之前，必须确保必要的权限到位，并遵守所有相关法律和公司政策。在许多司法管辖区，未经同意捕获某些类型的数据可能是非法的。在观察过程中，应始终优先考虑道德因素。 6、获取足够的数据 捕获足够的数据是进行深入分析的关键，尽管避免过多的数据捕获同样重要。这通常需要平衡捕获持续时间、缓冲区大小和数据管理技术。延长捕获时间或增加缓冲区大小可以提供更全面的数据，但可能导致文件过大或系统无法跟上，从而导致数据丢失。 为应对这一挑战，可以实施循环捕获缓冲区。这种技术涉及创建多个固定大小或持续时间的捕获文件，当前文件达到限制时，自动开始新的文件。 持续捕获数据而不会创建难以管理的大文件。 即使需要丢弃旧数据，也能保留最新数据。 通过处理更小、更易管理的文件大小，简化捕获后的分析。 降低因系统资源限制导致的数据丢失风险。 关键在于找到全面数据收集与高效数据管理之间的平衡，并根据具体的分析任务量身定制方法。 7、记录过程 在观察和捕获过程中进行记录至关重要。记录时间、地点、捕获持续时间以及任何相关的网络条件，为 OIDA 方法的后续步骤，特别是在分析阶段，提供了宝贵的信息。 三、结论 掌握观察的艺术为成功的数据包分析奠定基础。分析的质量取决于捕获的数据质量。精心规划和执行观察策略可以使 OIDA 的后续步骤——识别、剖析和分析——更加简单和有效。 显然，这个过程是迭代的。初次尝试可能无法清晰显示问题，需要重新捕获。然而，这个过程旨在解决所有痛点，确保第一步就能捕获相关信息。 本文是系列文章的第一部分，后续文章将深入探讨 OIDA 的“识别”、“剖析”和“分析”阶段。 四、OIDA 观察清单 你是否明确定义了要调查的问题或场景？ 你是否确定了在网络中捕获相关流量的最佳位置？ 你是否选择了适合需求的数据包捕获工具（如 Wireshark、tcpdump、Profitap IOTA）？ 你是否确定了捕获相关流量的最佳时间窗口？ 你是否拥有在该网络上捕获流量的必要权限？ 你是否配置了捕获过滤器以关注相关流量（如适用）？ 你的捕获缓冲区大小是否适当？ 你是否确保有足够的存储空间存储预期的捕获文件大小？ 你的捕获设备的时钟是否同步，以确保准确的时间戳？ 你是否准备好记录捕获的详细信息（时间、地点、持续时间、网络条件）？

艾体宝干货 | 用于故障排除的最佳 Wireshark 过滤器 引导语： 在网络故障排除过程中，Wireshark是一款非常强大的工具，它可以用来分析网络数据包并解决各种问题。本文将介绍一些好用的Wireshark过滤器，以便更有效地进行故障排除。 简介： Wireshark是一种流行的网络协议分析工具，可用于捕获和分析网络数据包。在网络故障排除中，Wireshark是一款不可或缺的工具，它可以帮助您识别和解决各种网络问题。本文将介绍一些最佳的Wireshark过滤器，帮助您提取和分析特定的数据包，加快故障排除的速度，提高工作效率。 关键词： Wireshark, 过滤器, 故障排除, 网络问题, 数据包 分析网络行为和排除网络故障就像用漏斗过滤渣滓。因此，网络协议分析仪 Wireshark 通过帮助网络工程师过滤特定的数据段，如特定的 IP 地址、值或协议，使故障排除过程更易于管理。 从网络流量的捕获或跟踪文件开始，可以应用过滤器将搜索范围缩小到特定的数据段，如特定的 IP 地址、值或协议，从而使故障排除过程更易于管理。 Wireshark 过滤器： 网络分析必备工具 一、Wireshark过滤器 我们列出了一系列有用的过滤器，以提高数据分析效率。这些过滤器适用于实时捕获和导入的文件，可精确检查协议字段和数据流的 HEX 值，满足各种故障排除方案的独特需求。以下是他们的最佳选择： 1、ip.addr == x.x.x.x 过滤以特定 IP 地址作为源地址或目标地址的数据包。是分析进出特定 IP 流量的理想工具。 2、ip.addr == x.x.x.x && ip.addr == y.y.y.y “对话 ”对话框，即可获得当前打开的跟踪中的对话列表。 3、http or dns 侧重于 HTTP 和 DNS 协议，便于调查网络流量和域名解析。 4、tcp.port == xxx 通过特定端口号隔离 TCP 数据包，简化通过指定端口的流量检查。如果需要过滤多个端口，也可以提供一个过滤值列表：tcp.port in {80, 443}。这将过滤 80 或 443 端口上的所有流量。 5、tcp.seq == x 按 TCP 序列号过滤数据包，用于分析数据包顺序。 6、tcp.flags.reset==1 显示所有 TCP 重置，这对识别突然终止的连接至关重要。 7、tcp.flags.push==1 识别 TCP 推送事件，对排除数据流问题至关重要。 8、tcp 包含 "关键字 显示包含指定术语的 TCP 数据包，帮助进行特定内容搜索。请注意，引号内的字符串将被转义。因此，搜索文件补丁可能会产生意想不到的结果。为避免这种情况，也可以强制搜索避免内容转义，例如： tcp contains r “C:\foo” 9、tcp.stream eq X Conversations 对话框。 10、http.request 捕获 HTTP GET 和 POST 请求，突出显示网页访问模式。具体来说，它会捕获存在 http.request 字段的所有数据包。如果只需过滤特定请求，可相应指定：http.request.method in {POST,PUSH} 11、!(arp 或 icmp 或 dns) 排除指定协议，集中分析相关流量。 12、udp 包含 “xx:xx:xx” ! 按十六进制值过滤 UDP 数据包，用于精确定位特定数据段。 13、dns.flags.rcode != 0 识别有解析错误的 DNS 请求，对诊断域名问题至关重要。 14、tcp.payload == bb:cc 过滤所有前两个字节包含 bb:cc 的报文的有效载荷字段。这可以用在很多地方，例如，eth.addr == 94:37:f7 将过滤所有来自具有华为供应商 ID 的网卡的流量。 二、专业tips： 如何将常用筛选器添加为按钮？ 地址栏右侧的小 + 允许创建所谓的 “过滤按钮”。这些按钮可用作常用显示过滤表达式的快捷方式。 添加新按钮时，可以将字段直接拖到 + 号上，也可以在应用筛选器时点击它。在后一种情况下，它会自动将当前的筛选器添加到创建对话框中，只需为按钮提供一个名称即可。在名称中添加两个斜线 // 后，按钮甚至可以组合在一起。 2. 如何拖放筛选器？ 与其复制筛选器，不如直接将筛选器拖入搜索栏。 3、捕获可操作的网络数据 网络数据包决定着故障排除过程的成败。网络数据包捕获的主要优势之一是其提供的详细程度。捕获数据包内的所有信息（包括源地址和目标地址、协议信息和有效载荷数据）的能力可对网络流量进行更全面的分析，使其成为排除网络故障的宝贵工具。 ProfiShark 或 IOTA 等数据包捕获工具具有硬件时间戳和硬件捕获过滤器等高级功能，可提供高保真捕获文件以供分析。 Profishark IOTA 用于现场故障排除和工业网络的高性能现场数据包捕获。 高保真现场流量捕获 硬件时间戳 非侵入式流量访问 与 Wireshark 或任何 PCAP 分析仪结合使用 故障安全 流量捕获与分析，只需一个盒子。中小型企业和数据中心。 部署在边缘和远程站点 集成分析仪表板 在线或带外 1 TB 或 2 TB 捕获存储 捕获性能 3.2 Gbps

该抓包工具默认配置下不支持61850的MMS报文解析。在软件中做如下设置后可以支持MMS报文解析。 a.打开菜单Edit-Preferences。 b.在左侧Protocol列选择PRES。 c. 点击右侧“Users Context Lists”选项中的Edit按钮。 d.在弹出的对话框中，填入2个参数，如下图，即可。