如何通过wireshark进行抓包的分析？请各位进，谢谢。

czfengye_2010

    用了这么久的wireshark，如何通过抓包结果来判断报文的正确性？
    我貌似只知道显示黑色的报文好像是有问题的？有这方面的资料吗？还是要靠自己通过对报文或者协议的理解来判断？
    请有经验的师兄帮我解惑，谢谢！
    下图是一个感觉有问题的IP报文，请大家帮我看看！
   
     这个从英文字面理解感觉是校验和的问题，故障现象是目标网站的某个网页一会儿打开很快，一会儿又打不开，甚至提示无法打开。
     这个故障是否和分片有关系？我如何通过抓包结果来定位这个故障，修改MTU值能解决这个问题吗？
     望各位不吝赐教！！！谢谢！！！

peter123

坐等其成。

Rockyw

这个软件还没玩过了

czfengye_2010

自己顶一下！

lees

czfengye_2010 发表于 2014-4-15 14:46
自己顶一下！

解答这个问题我会很啰嗦哎，最近懒得不想打字。而且已经过去了3个月，哈哈。
关于这个wireshark里面显示颜色的问题，不通的颜色是有不同的意义的，比如浅绿色是HTTP，浅分红是IPX网络的，浅蓝色是UDP，浅灰色是TCP，不一定有颜色都有问题，不过默认，深色背景的都是有问题的数据包。颜色可以自定义。具体详细的你可以在wireshark的view-coloring rules中查看的定义。
关于你帖子中的这个数据包，信息实在太少了，仅仅一个截图，表示分析不了。不过，授人以鱼不如授人以渔，简单献丑一下一些简单的分析方法，关于错误你可以看看wireshark的的“expert info(专家信息)”，点击analyse下的expert info或者直接点击左下角那个小圆圈快速查看。这里面会统计出你整个网络交互过程中的错误和警告、注意和细节的报告。


另外一种分析的方法是使用wireshark的“statistics（统计）”功能，这是一个很强大的功能，里面有“summary（汇总摘要）”，在这里你可以看到关于捕获文件的包数目，平均包速率，包大小。


统计中的conversations（会话），也是一个很有帮助的功能。在这里可以看到分类的会话，诸如IP,TCP等。（统计中类似会话功能的endpoints功能也是一个提供会话的统计功能。）



另一个比较强大的统计功能是“flow graph（图形流/不知道我翻译的准不准，囧）”，这个功能很好很强大，可以看到图形交互。另外那个“IO graph”也不错，可以看流量。这些就不上图了（我实在是懒得打不动字了，早上早饭没怎么吃@_@）。
以上是自己的一些小经验，大神飘过吧，献丑。

czfengye_2010

lees 发表于 2014-7-4 10:33
解答这个问题我会很啰嗦哎，最近懒得不想打字。而且已经过去了3个月，哈哈。
关于这个wireshark里面显示 ...

感谢您的回复，非常有用，谢谢！
再问一下，对于您的这些介绍，可有电子文档？我想做更深入的研究，可是总感觉找不到入门方法。

lees

czfengye_2010 发表于 2014-7-6 16:05
感谢您的回复，非常有用，谢谢！
再问一下，对于您的这些介绍，可有电子文档？我想做更深入的研究，可是 ...

很抱歉，电子文档我没有，不过有本书倒是可以推荐你看看，叫做'wireshark数据包分析实战'，这本书大体做了入门，写的挺好，书本是结合Wireshark来抓包分析，更多的就要靠互联网和实战了，另外可以看看www.vants.org,里有很多实例，站长网络分析比较在行，可以借鉴学习。

Mr.黄瓜

学习下哈

zhangxiaokui

zhangxiaokui

harry898

必须支持楼主

harry898

pan.baidu.com/s/1gfsemxd

harry898

pan.baidu.com/s/1gfsemxddsfaasf

曾波

ddddddddddddddddddddddddddddddddddddddddddddddd

曾波

ddddddddddddddddddddddddddddddddddddddddddddddd