wireshark問題分析示例.pptxVIP

wireshark問題分析示例,2014.4.14,Wireshark工具介紹 Wireshark篩選簡介 wireshark與mtklog分析原理 綜合分析示例,一、Wireshark工具介紹,Wireshark是windows平臺用于查看網口數據包的工具。winpcap工具或者tcpdump工具捕獲的日志都可以使用wireshark來查看。wireshark是一個日志分析工具。 Wireshark是開源產品，您可以在網上下載自己想要的版本安裝。這里對下載和安裝不做介紹。 如果需要在window抓包，則需要安裝winpcap；若不需要，則不必安裝。,Android環(huán)境使用tcpdump,在android手機中，需要先讓手機配置好tcpdump工具。 adb push tcpdump /data/local/tcpdump adb shell chmod 6755 /data/local/tcpdump 開始抓包命令： adb shell tcpdump -i ppp0 -p -nnn -vvv -s 0 -w /data/tt.pcap adb pull /data/tt.pcap d:tcpdump,打開一個.cap或.pcap文件,編輯標簽主要功能,查找文本一般是查找ascii編碼的字符。有篩選字符選項，可以選擇僅ascii編碼或是可以搜索unicode。一般http協(xié)議字段比較容易查找?？旖萱I：ctrl +f 。,標記：略。 忽略包：略。 設置標記時間：可以設置多個標記時間。設置之后，可以讓之后的時候起點從當前標記算起。例如，標記時間可以用于請求超時無響應等分析。,編輯標簽還有兩個配置選項。一個可以配置字體、顏色等，另個是配置的保存。這里不多介紹。,View菜單主要是設置一些跟顯示相關的內容?？梢愿鶕枰催x對應的工具欄。具體細節(jié)不做多介紹。各位可以自己嘗試不同的顯示效果。,右鍵點擊filter框下面顯示的列，出來菜單column preference?？梢耘渲弥鹘缑骘@示的列。如果單擊某一列，則是按照該列信息排序。Displayed column選項可以設置某列隱藏或者顯示。,這里我自定義了3列，用以定位動態(tài)分配的socket。,Go 菜單與capture菜單,Go：略。 Capture：用于捕獲包。需要在windows安裝winpcap。這里對于windows抓包不做多說。,分析菜單,分析菜單有篩選功能，后面介紹。 Wireshark還可以修改解析的協(xié)議，甚至自定義協(xié)議解碼規(guī)則。這里不做多介紹。 最下面有個專家信息，比較有用。他可以在日志中指出不同異常等級的打印。,專家信息綜合分析統(tǒng)計,統(tǒng)計菜單,統(tǒng)計菜單有一些輔助功能。具體想看什么統(tǒng)計，或者想了解哪些能夠統(tǒng)計，可以自己嘗試一下，這里不再描述。 統(tǒng)計之前，例如這里點了Summary查看摘要，會有一個輸入框，這里可以做一下篩選。不篩選默認空就行。,二、Wireshark篩選簡介,Wireshark使用的核心，就是如何快速篩選自己需要的信息，然后快速定位問題。 Wireshark篩選基于兩個點。一個是篩選語法，一個是osi七層模型的熟練程度。其中篩選語法比較簡單，而七層模型由于協(xié)議眾多，需要循序漸進學習。,Wireshark篩選語法,邏輯與運算 ：& , and 邏輯或運算： | ,or 邏輯非運算：！,not 算數運算： , =, = 其他運算符：括號() , contains matches。 示例： not (tcp.port = 80) and not (tcp.port = 25) and ip.addr = and http.host contains “yes“,開始篩選,在filter框輸入合法的表達式，按回車或者點擊后面的apply即可進行篩選。如果是不合法的表達式，則filter框顯示成紅色。反之則為綠色。取消篩選點擊clear即可。,使用常用篩選,點擊filter輸入框左邊的filter按鈕，有個常用篩選列表。你可以選擇默認的篩選，也可以自定義篩選保存，方便以后使用。,生成表達式,有時候您可以生成一些復雜的表達式，雖然您還不知道剛才那個tcp.跟http.后面到底可以有哪些字段。 如果并不知道協(xié)議字段在wireshark里面的字段描述或者其縮寫是什么，沒有關系。在filter框輸入的時候，wireshark有聯想功能。（聯想，只要你想）。 如果協(xié)議層級太深，可以通過expression按鈕，來查找和生成對應字段。,示例：生成一個表達式，用以篩選http request的uri中，包含關鍵字“l(fā)enovo”。對于那種需要“一針見血”的篩選尤為突出。,三丶wireshark與mtklog分析原理,思路一：修改一下時間顯示方式，便于與mtklog同步，通過http get的時間，來查找main log中 的動作。,Mainlog查找http,思路二：如果已知mainlog中動作，則通過local port id，在filter中篩選。這個local port id，是臨時分配給socket的。,一個斷點續(xù)傳問題分析,分析思路： 通過專家分析或TCP特殊包，找到斷點； 通過斷點的port id,找到http相關信息； 有了http相關信息，則通過匹配http動作相同的字段，來確認多個http的 post或者get。（由于tcp連接中斷后，臨時分配的port id不再用，重連的時候無法通過上次的port id確認下次連接信息，所以必須通過http信息來匹配）,STEP ONE,找到斷點。斷點，可以是普通中斷，也可以是異常中斷。先看一下專家分析。發(fā)現沒有中斷。,一般結束一個tcp連接，可以通過fin/ack的方式來結束。但是在某些緊急情況，沒那么多時間可以握手，則直接單方強行結束連接。如下圖，可以通過一個reset標記位，找到當時中斷了哪個連接的socket.,通過main log和http 包頭，確認這個斷點想做什么。由于http協(xié)議是無狀態(tài)，無記憶，無連接的，則下次續(xù)傳必須有部分相同的請求頭。,STEP TWO,tcp.port = 43731 & (http.request.method = GET| http.request.method = POST) 通過wireshark找到頭信息,STEP THREE,Host, user-agent等信息都可以作為匹配依據。這里通過查找關鍵字user-agent:AppStore5并篩選http get來定位。,分析結果,查看有多個http get