wireshark问题分析示例.pptx

wireshark问题分析示例,2014.4.14,Wireshark工具介绍 Wireshark筛选简介 wireshark与mtklog分析原理 综合分析示例,一、Wireshark工具介绍,Wireshark是windows平台用于查看网口数据包的工具。winpcap工具或者tcpdump工具捕获的日志都可以使用wireshark来查看。wireshark是一个日志分析工具。 Wireshark是开源产品，您可以在网上下载自己想要的版本安装。这里对下载和安装不做介绍。 如果需要在window抓包，则需要安装winpcap；若不需要，则不必安装。,Android环境使用tcpdump,在android手机中，需要先让手机配置好tcpdump工具。 adb push tcpdump /data/local/tcpdump adb shell chmod 6755 /data/local/tcpdump 开始抓包命令： adb shell tcpdump -i ppp0 -p -nnn -vvv -s 0 -w /data/tt.pcap adb pull /data/tt.pcap d:tcpdump,打开一个.cap或.pcap文件,编辑标签主要功能,查找文本一般是查找ascii编码的字符。有筛选字符选项，可以选择仅ascii编码或是可以搜索unicode。一般http协议字段比较容易查找。快捷键：ctrl +f 。,标记：略。 忽略包：略。 设置标记时间：可以设置多个标记时间。设置之后，可以让之后的时候起点从当前标记算起。例如，标记时间可以用于请求超时无响应等分析。,编辑标签还有两个配置选项。一个可以配置字体、颜色等，另个是配置的保存。这里不多介绍。,View菜单主要是设置一些跟显示相关的内容。可以根据需要勾选对应的工具栏。具体细节不做多介绍。各位可以自己尝试不同的显示效果。,右键点击filter框下面显示的列，出来菜单column preference。可以配置主界面显示的列。如果单击某一列，则是按照该列信息排序。Displayed column选项可以设置某列隐藏或者显示。,这里我自定义了3列，用以定位动态分配的socket。,Go 菜单与capture菜单,Go：略。 Capture：用于捕获包。需要在windows安装winpcap。这里对于windows抓包不做多说。,分析菜单,分析菜单有筛选功能，后面介绍。 Wireshark还可以修改解析的协议，甚至自定义协议解码规则。这里不做多介绍。 最下面有个专家信息，比较有用。他可以在日志中指出不同异常等级的打印。,专家信息综合分析统计,统计菜单,统计菜单有一些辅助功能。具体想看什么统计，或者想了解哪些能够统计，可以自己尝试一下，这里不再描述。 统计之前，例如这里点了Summary查看摘要，会有一个输入框，这里可以做一下筛选。不筛选默认空就行。,二、Wireshark筛选简介,Wireshark使用的核心，就是如何快速筛选自己需要的信息，然后快速定位问题。 Wireshark筛选基于两个点。一个是筛选语法，一个是osi七层模型的熟练程度。其中筛选语法比较简单，而七层模型由于协议众多，需要循序渐进学习。,Wireshark筛选语法,逻辑与运算 ：& , and 逻辑或运算： | ,or 逻辑非运算：！,not 算数运算： , =, = 其他运算符：括号() , contains matches。 示例： not (tcp.port = 80) and not (tcp.port = 25) and ip.addr = and http.host contains “yes“,开始筛选,在filter框输入合法的表达式，按回车或者点击后面的apply即可进行筛选。如果是不合法的表达式，则filter框显示成红色。反之则为绿色。取消筛选点击clear即可。,使用常用筛选,点击filter输入框左边的filter按钮，有个常用筛选列表。你可以选择默认的筛选，也可以自定义筛选保存，方便以后使用。,生成表达式,有时候您可以生成一些复杂的表达式，虽然您还不知道刚才那个tcp.跟http.后面到底可以有哪些字段。 如果并不知道协议字段在wireshark里面的字段描述或者其缩写是什么，没有关系。在filter框输入的时候，wireshark有联想功能。（联想，只要你想）。 如果协议层级太深，可以通过expression按钮，来查找和生成对应字段。,示例：生成一个表达式，用以筛选http request的uri中，包含关键字“lenovo”。对于那种需要“一针见血”的筛选尤为突出。,三丶wireshark与mtklog分析原理,思路一：修改一下时间显示方式，便于与mtklog同步，通过http get的时间，来查找main log中 的动作。,Mainlog查找http,思路二：如果已知mainlog中动作，则通过local port id，在filter中筛选。这个local port id，是临时分配给socket的。,一个断点续传问题分析,分析思路： 通过专家分析或TCP特殊包，找到断点； 通过断点的port id,找到http相关信息； 有了http相关信息，则通过匹配http动作相同的字段，来确认多个http的 post或者get。（由于tcp连接中断后，临时分配的port id不再用，重连的时候无法通过上次的port id确认下次连接信息，所以必须通过http信息来匹配）,STEP ONE,找到断点。断点，可以是普通中断，也可以是异常中断。先看一下专家分析。发现没有中断。,一般结束一个tcp连接，可以通过fin/ack的方式来结束。但是在某些紧急情况，没那么多时间可以握手，则直接单方强行结束连接。如下图，可以通过一个reset标记位，找到当时中断了哪个连接的socket.,通过main log和http 包头，确认这个断点想做什么。由于http协议是无状态，无记忆，无连接的，则下次续传必须有部分相同的请求头。,STEP TWO,tcp.port = 43731 & (http.request.method = GET| http.request.method = POST) 通过wireshark找到头信息,STEP THREE,Host, user-agent等信息都可以作为匹配依据。这里通过查找关键字user-agent:AppStore5并筛选http get来定位。,分析结果,查看有多个http get