IT網(wǎng)絡(luò)運(yùn)維 | Wireshark抓包分析故障

2020-04-20 10:10 作者：艾銻無限 瀏覽量：

 
在網(wǎng)絡(luò)運(yùn)維過程中，經(jīng)常會遇到一些網(wǎng)絡(luò)故障無法判斷或定位的問題，這時候就需要進(jìn)行網(wǎng)絡(luò)抓包分析了。今天就跟大家介紹如何使用Wireshark抓包，抓包后的界面顯示（因?yàn)閃ireshark打開數(shù)據(jù)包后又是另一副界面）。如何保存或?qū)С鲎ト〉膱笪牡葍?nèi)容

第一次抓包
現(xiàn)在可以開始你的第一次數(shù)據(jù)包捕獲實(shí)驗(yàn)了。你可能會想：“當(dāng)網(wǎng)絡(luò)什么問題也沒有的時候，怎么能捕獲數(shù)據(jù)包呢？

首先，網(wǎng)絡(luò)總是有問題的。第二，做數(shù)據(jù)包分析并不一定要等到有問題的時候再做。事實(shí)上，大多數(shù)的數(shù)據(jù)包分析員在分析沒有問題的網(wǎng)絡(luò)流量上花的時間要比解決問題的時候多。為了能高效地解決網(wǎng)絡(luò)問題，你也同樣需要得到一個基準(zhǔn)來與之對比。舉例來說，如果你想通過分析網(wǎng)絡(luò)流量來解決關(guān)于DHCP的問題，你至少需要知道DHCP在正常工作時的數(shù)據(jù)流是什么樣子的。更廣泛地講，為了能夠發(fā)現(xiàn)日常網(wǎng)絡(luò)活動的異常，你必須對日常網(wǎng)絡(luò)活動的情況有所掌握。當(dāng)你的網(wǎng)絡(luò)正常運(yùn)行時，你以此作為基準(zhǔn)，就能知道網(wǎng)絡(luò)流量在正常情況下的樣子。OK，讓我們一起動手，開始采集數(shù)據(jù)包吧。

首先打開Wireshark，雙擊顯示有流量的網(wǎng)卡。如下圖。 選擇抓包網(wǎng)卡，這樣，就已經(jīng)開始數(shù)據(jù)包捕獲了，很輕松吧。接下來，你可能看到了如下的畫面。 Wireshark主窗口

Wireshark主窗口將你所捕獲的數(shù)據(jù)包顯示或拆分成更容易使人理解的方式的地方，也將是你花費(fèi)時間最多的地方。我們使用剛剛捕獲的數(shù)據(jù)包來介紹一下Wireshark的主窗口。
Wireshark主窗口的設(shè)計(jì)使用了3個面板，主窗口的3個面板相互有著聯(lián)系。

 
如果希望在 Packet Details(數(shù)據(jù)包細(xì)節(jié))面板中查看一個單獨(dú)的數(shù)據(jù)包的具體內(nèi)容，你必須現(xiàn)在Packet List(數(shù)據(jù)包列表)面板中單擊選中那個數(shù)據(jù)包。在你選中了數(shù)據(jù)包之后，你可以通過在Packet Details面板中選中數(shù)據(jù)包的某個字段，從而在 Packet Bytes(數(shù)據(jù)包細(xì)節(jié))面板中查看相應(yīng)字段的字節(jié)信息。

下面介紹了每個面板的內(nèi)容。

Packet List(數(shù)據(jù)包列表):最上面的面板用表格顯示了當(dāng)前捕獲文件中的所有數(shù)據(jù)包，其中包括了數(shù)據(jù)包序號、數(shù)據(jù)包被捕獲的相對時間、數(shù)據(jù)包的源地址和目標(biāo)地址、數(shù)據(jù)包的協(xié)議以及在數(shù)據(jù)包中找到的概況信息等列。

Packet Details(數(shù)據(jù)包細(xì)節(jié)):中間的面板分層次地顯示了一個數(shù)據(jù)包中的內(nèi)容，并且可以通過展開或是收縮來顯示這個數(shù)據(jù)包中所捕獲到的全部內(nèi)容。

Packet Bytes(數(shù)據(jù)包字節(jié)):最下面的面板可能是最令人困惑的，因?yàn)樗@示了一個數(shù)據(jù)包未經(jīng)處理的原始樣子，也就是其在網(wǎng)絡(luò)上傳輸時的樣子。這些原始數(shù)據(jù)看上去一點(diǎn)都不容易理解。
保存和導(dǎo)出數(shù)據(jù)包
數(shù)據(jù)包采集完成后，可以像文件一樣保存，你也可以將這個保存后的文件傳給朋友，他們使用Wireshark依舊能夠打開。這個常見的word文檔道理類似。

選擇工具條中的保存捕獲文件按鈕，在彈出的窗口中，寫上文件名和選擇保存目錄，這個抓包文件就被成功保存了。  
以上內(nèi)容由北京艾銻無限科技發(fā)展有限公司整理