从一道面试题开始说起

CCIE 认证

答案:

小试牛刀: 一个简单的应用实例

服务器 A:

服务器 B

• IP: 192.168.182.131
• 子网掩码: 255.255.255.0

服务器 A 上 eth1 上有抓包数据:

• 从报文上来看, 不走网关, 直接找 B

检查 A 的路由表:

删除该项恢复正常.

Excel 文件的保存过程

抓包:

你一定会喜欢的技巧

一、抓包

1. 只抓包头
   1. 每个帧最大 1514B
   2. 启用巨型帧可达 9000B
   3. Capture —> Options, 设置 “Limit each packet to”: 每个包只抓前 n 个字节 (新版本没了?)
      1. tcpdump -s 有同样效果: tcpdump -i eth0 -s 80 -w /tmp/tcpdump.cap

1. 只抓必要的包
   1. Capture Filter
      1. host 10.32.200.131
   2. tcpdump -i eth0 host 10.32.200.131 -w /tmp/tcpdump.cap
   3. 注意广播包

二、个性化设置

1. 时间格式

1. 不同类型的网络包可以自定义颜色
   1. View —> Coloring Rules

1. 其它设置
   1. Edit —> Preferences
   2. Protocols —> TCP
      1. Relative sequence numbers

1. 时区
   1. 更改自己电脑的时区

三、过滤

• ip

1. 过滤协议

   • 协议名

• ||

1. ip + port

1. 用鼠标帮助过滤
   1. Prepare a Filter —> Selected: 生成过滤表达式
   2. Apply as Filter —> Selected: 生成并执行

1. 保存过滤后的包
   1. File —> Save As
   2. Displayed

再打开保存的文件后会报错, 因为保存的是部分 tcp stream.

四、让 Wireshark 自动分析

1. Analyze —> Expert Info Composite (专家信息)
   1. 重传的统计
   2. 连接的建立统计
   3. 重置统计

重传统计:

1. Statistics —> Service Response Time
   1. 响应时间统计

SMB2 读写操作的响应时间:

1. Statistics —> TCP Stream Graph
   1. 生成统计图

1. Statistics —> Summary
   1. 一些统计信息

平均流量:

五、最容易上手的搜索功能

• Ctrl + F

Patrick 的故事

nb.

Wireshark 的前世今生

1. Wireshark 的前身是 Ethereal
2. 作者是 Gerald Combs
3. Wireshark 是开源免费的